Dnes vyšlo 2 článků

Tisková zpráva: Integrovaný systém řízení rizik v rámci kybernetické bezpečnosti a jeho SW podpora. Proč nasadit Enterprise risk management?

V roce 2015 začal platit kybernetický zákon. V rámci tohoto zákona jsou instituce a firmy nuceny zajistit požadavky z něho plynoucí. K naplnění požadavků kybernetického zákona je potřeba pokrýt několik oblastí – sběr incidentů, analýza incidentů, řízení rizik, reportování o incidentech a další.

Hlavní tři oblasti zákona jsou :

  1. Organizační opatření
  2. Technická opatření
  3. Bezpečnostní dokumentace

Mnoho dodavatelských firem se vrhlo na zajištění kybernetické bezpečnosti, a to zejména ve druhé oblasti, a soustředilo se především na technické řešení sběru incidentů a jejich analýzy. Rovněž třetí oblast bývá řešena, ať již konzultačními společnostmi, či dodavatelskými firmami technického řešení.

Stranou zájmu zůstává zatím první oblast, a to především oblast – řízení rizik.

V rámci kybernetického zákona je tato oblast poměrně přesně vymezena a definována. Jedná se o paragrafy – Předpis č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)  HLAVA II SYSTÉM ZAJIŠTĚNÍ KYBERNETICKÉ BEZPEČNOSTI -  Bezpečnostní opatření § 5 odst. (2) Organizační opatření – písm. b) řízení rizik, a dále jsou rozpracované ve  Vyhlášce o kybernetické bezpečnosti č. 316/2014 Sb. – podrobně rozpracováno – § 3 Systém řízení bezpečnosti informací – Odst. (1).

Instituce a firmy k implementaci myšlení na základě řízení rizik musí dospět. V rámci zákona je vhodné vést celý cyklus rizika jako je identifikace a ohodnocení aktiv, hrozeb a incidentů, reportování aj. A z toho vyplývá řízení rizik – provázání incidentů, aktiv, organizační struktury na rizika, příprava protiopatření. Také je nutné navázat rizika definovaná v rámci kybernetického zákona na interní audity. Společnost Datacons se zabývá implementací řízením rizik a interních auditů. Pokusili jsme se náš nástroj použít i pro kybernetický zákon a můžeme konstatovat, že toto řešení plně pokrývá požadavky zákona a vyhlášek.

Při implementaci řízení rizik pro požadavky kybernetického zákona je nutné se na tuto problematiku podívat poněkud šířeji. Je vhodné zvážit, zda nenasadit řízení rizik jako Enterprise risk management a ne pouze jako Governance Risk Management GRC. Je nutné také zvážit jednoznačnou návaznost na požadavky interního auditu a celý životní cyklus organizačních a administrativních opatření doplnit odpovídajícím SW řešením – protože pokud počet aktiv a rizik překročí hranici cca 100, je těžké bez SW podpory zajistit celý proces řízení rizik a pokrytí kybernetického zákona. Bohužel se tento proces nedaří zajistit pomocí excellů (nejedná se o řízení rizik, ale o evidenci rizik, není auditní stopa, není správný reporting, nejsou provázána aktiva, rizika, incidenty a další nedostatky).

V rámci Enterprise risk management a řešení kybernetického zákona mohou být pokryty i požadavky na normy řady ISO 27 000.

Při celém řešení je nutné uvažovat s možností rozšíření řízení rizik i do dalších oblastí – řízení rizik např. pro normy aktualizované řady ISO9000, environmentální rizika dle normy řady ISO14 000, rizika finanční, BOZP, operativní, dodavatelská, zaměstnanců a další. Celé řešení se potom nazývá – Integrovaný systém řízení rizik (Enterprise risk management) – výsledkem je continuous risk management, pravidelné řízení rizik, průřezově přes celou společnost a přes všechny oblasti rizik.

Jsou již na trhu nástroje pro řešení Enterprise risk management, které nejsou limitovány a je možné v nich řídit i rizika dalších oblastí velmi jednoduše.

V případě použití Governance Risk Management je nutné každou oblast řízení rizik složitě implementovat, customizovat a nastavovat. Toto je možné provádět pouze ve spolupráci s dodavatelskou firmou a pro zákazníka tyto customizace vychází finančně velmi náročně.

Již existuje SW pro řešení uvedené první oblasti kybernetického zákona, tedy řešení organizačních opatření, které splní nejen požadavky diskutovaného zákona, ale plně se chová jako Enterprise risk management .

SW řešení kompletně splňuje požadavky – Enterprise risk management a svou podstatou je schopno pokrýt všechny ze zákona požadované evidence a aktivně s nimi pracovat. Výhodou je provázání jednotlivých evidencí mezi sebou, používání ze zákona přednastavených hodnot a zejména pak administrativní pokrytí celého životního cyklu informací požadovaných v rámci zákona o kybernetické bezpečnosti.

Uvedené řešení lze bez problémů integrovat do technických systémů sběru a sledování informací, důležitých pro kybernetickou bezpečnost (SIEM apod.)

Životní cyklus rizika v rámci kybernetického zákona:

cile_organizace

V rámci kybernetického zákona jsou pokryty tyto procesy:

  • řízení rizik (včetně identifikace a ohodnocení)
  • řízení a evidence incidentů
  • práce s aktivy (včetně identifikace a ohodnocení)
  • práce s organizační strukturou (provázení rizika, aktiv a org. struktury)
  • práce s hrozbami a protiopatřeními (včetně identifikace a ohodnocení)
  • práce s auditem (interní, externí)
  • práce s KPI

Vzhledem k tomu, že celý systém je postaven na obecném systému řízení rizik organizace, jsme schopni uvedené řešení rozšířit (bez zásadní potřeby změny licencí) na další procesní oblasti společnosti, kterých se řízení rizik dotýká v rámci Enterprise risk management.

Všechny uvedené procesy jsme schopni evidovat a aktivně s nimi pracovat v rámci jednoho řešení.

Takové integrované SW řešení pro Enterprise risk management, by mělo pokrývat procesy dle těchto norem a zákonů:

  • Normy řady ISO 9001, ISO 31 000, ISO 27 000, ISO 13 485, ISO 20000-1, ISO 18 000
  • Zákon 320/2001 včetně aktualizace 2016, standard COSO požadovaný Ministerstvem financí ČR
  • Předpis č. 181/2014 Sb. Zákon o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) – co se má dělat
  • Vyhlášceo kybernetické bezpečnosti č. 316/2014 Sb. – jak se to má dělat

O společnosti Datacons:

Datacons s.r.o. poskytuje dodávky služeb a SW v IT s orientací specializovaná řešení. Zaměřuje se především na tyto oblasti:

  • Risk management – dodávka a implementace SW Active risk management
  • Projektové řízení – dodávky SW a implementace SW pro projektové řízení -  Oracle Primavera, Oracle Portfolio Project management
  • Risk management – dodávka a implementace SW Active risk management
  • Business Inteligence a datové sklady
  • Business Architektura, IT strategie

Pracovníci společnosti Datacons s.r.o. mají rozsáhlé zkušenosti z mnohaletého působení v IT a realizace velkých projektů na trhu v České republice a Slovenské republice.

Společnost Datacons má unikátní know-how v oblasti nasazení systémů IT architektury, řízení rizik a další.

Autor: Ing. Mynářová Petra – konzultantka řízení rizik společnosti Datacons s.r.o.

Rádi bychom vám nabídli prostor pro vaše tiskové zprávy. Pokud chcete, abychom o vás dali vědět, případně o vaší slevové akci, pořádané konferenci, novém produktu a podobně, můžete nás kontaktovat na emailovou adresu redakce@objevit.cz.

Komentáře

Nahoru