Tisková zpráva: Integrovaný systém řízení rizik v rámci kybernetické bezpečnosti a jeho SW podpora

V roce 2015 začal platit kybernetický zákon. V rámci tohoto zákona jsou instituce a firmy povinny zajistit požadavky z něho plynoucí. Při naplnění požadavků kybernetického zákona je potřeba pokrýt několik oblastí – sběr incidentů, analýza incidentů, řízení rizik, reportování o incidentech a další.

Hlavní tři oblasti zákona jsou :

·      Administrativní a organizační opatření

·      Technická opatření

·      Bezpečnostní dokumentace

Mnoho dodavatelských firem se vrhlo na zajištění kybernetické bezpečnosti, a to zejména ve druhé oblasti. Soustředily se především na technické řešení sběru incidentů a jejich analýzy. Rovněž třetí oblast bývá řešena, ať již konzultačními společnostmi, či dodavatelskými firmami technického řešení.

Stranou zájmu zůstává zatím první oblast, a to především oblast – řízení rizik.

V rámci kybernetického zákona je tato oblast poměrně přesně vymezena a definována. Jedná se o paragrafy – Předpis č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) HLAVA II SYSTÉM ZAJIŠTĚNÍ KYBERNETICKÉ BEZPEČNOSTI -  Bezpečnostní opatření § 5  (2) Organizačními opatřeními jsou za b) řízení rizik, a dále jsou rozpracované ve  Vyhlášce o kybernetické bezpečnosti č. 316/2014 Sb.- podrobně rozpracováno – § 3     Systém řízení bezpečnosti informací – (1) Orgán a osoba uvedená v § 3 písm. c) a d) zákona v rámci systému řízení bezpečnosti informací – za b) řídí rizika podle § 4 odst. 1( v tomto paragrafu a odstavci je detailně popsáno jak řídit rizika)

Instituce a firmy k implementaci řízení rizik musí dospět. Až pomine první kolo – nasazení různých sond a sledování incidentů, bude nutné se soustředit i na další požadavky plynoucí z kybernetické zákona – jako je identifikace a ohodnocení aktiv, hrozeb a incidentů. A z toho vyplývající řízení rizik, provázání incidentů na rizika, příprava protiopatření. Pro tuto oblast naše firma Datacons připravila řešení, plně pokrývající požadavky zákona a vyhlášek.

Při implementaci řízení rizik pro požadavky kybernetického zákona je vhodné se na tuto problematiku podívat poněkud šířeji. Je vhodné zvážit zda nenasadit řízení rizik jako Enterprise Risk Management, ne pouze Governance Risk Management. Je nutné také zvážit jednoznačnou návaznost na požadavky interního auditu. A celý životní cyklus organizačních a administrativních opatření  doplnit odpovídajícím SW řešením. Protože pokud počet rizik překročí hranici cca 100 rizik, je těžké bez SW podpory zajistit celý proces řízení rizik.

Společnost Datacons připravila SW řešení uvedené první oblasti kybernetického zákona, tedy řešení organizačních a administrativních opatření, které splní nejen požadavky diskutovaného zákona.

SW řešení je nazváno Datacons ARM Cybersecurity a svou podstatou je schopno pokrýt všechny ze zákona požadované evidence a aktivně s nimi pracovat. Výhodou je provázání jednotlivých evidencí mezi sebou, používání ze zákona přednastavených hodnot dle a zejména pak administrativní pokrytí celého životního cyklu informací požadovaných v rámci zákona o kybernetické bezpečnosti.

Uvedené řešení lze bez problémů integrovat do technických systémů sběru a sledování informací, důležitých pro kybernetickou bezpečnost (SIEM apod.)

Životní cyklus rizika:

zivotni_cyklus_rizika

Vzhledem k tomu, že celý systém je postaven na obecném systému řízení rizik organizace, jsme schopni uvedené řešení rozšířit (bez zásadní potřeby změny licencí) na další procesní oblasti společnosti, do nichž a kterých se řízení rizik dotýká. Jedná se zejména o obecné procesy :

  • řízení rizik (včetně identifikace a ohodnocení)
  • řízení a evidence incidentů
  • práce s aktivy (včetně identifikace a ohodnocení)
  • práce s hrozbami a protiopatřeními (včetně identifikace a ohodnocení)
  • práce s auditem (interní, externí)
  • práce s KPI

Všechny uvedené procesy jsme schopni evidovat a aktivně s nimi pracovat v rámci jednoho řešení.

Naše Integrované SW řešení pokrývá proces dle těchto tyto normy a zákonů:

  • ISO 9001:2015, ISO 31000, ISO 27000, ISO13485, Soulad s ISO 27001, ISO 20000-1
  • Zákon 320/2001 včetně aktualizace 2016, Vyhláška 316/2014, standard COSO požadovanou Ministerstvem financí ČR
  • Předpis č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
  • Vyhlášce o kybernetické bezpečnosti č. 316/2014 Sb.- podrobně

O společnosti Datacons:

Datacons s.r.o. poskytuje dodávky služeb a SW v IT s orientací specializovaná řešení. Zaměřuje se především na tyto oblasti:

  • Risk management – dodávka a implementace SW Active risk management
  • Projektové řízení – dodávky SW a implementace SW pro projektové řízení -  Oracle Primavera, Oracle Primavera Portfolio management
  • Business Inteligence a datové sklady
  • Business Architektura, IT strategie

Pracovníci společnosti Datacons s.r.o. mají rozsáhlé zkušenosti z mnohaletého působení v IT a realizace velkých projektů na trhu v České republice a Slovenské republice.

Společnost Datacons má unikátní know-how v oblasti nasazení systémů IT, architektury, řízení rizik  a další.

Autor: Ing. Čestmír Pail – CEO Datacons s.r.o. 

Rádi bychom vám nabídli prostor pro vaše tiskové zprávy. Pokud chcete, abychom o vás dali vědět, případně o vaší slevové akci, pořádané konferenci, novém produktu a podobně, můžete nás kontaktovat na emailovou adresu redakce@objevit.cz.

Komentáře

Nahoru