Milan Kubat

Milan Kubat

Account Manager
Sales

+420725787758

Řízení procesů kybernetické bezpečnosti Evid-S

Informační systém pro řízení procesů kybernetické bezpečnosti v souladu se zákonem č.181/2014 Sb. o kybernetické bezpečnosti.

Systém Evid-S je navržen tak, aby splňoval všechny standardy informační bezpečnosti a zákona č. 181/2014 Sb. v oblasti informačních aktiv a s nimi spojenou analýzu rizik a dokumentací. Jeho cílem je automatizování procesů nezbytných pro správné řízení bezpečnosti.

Základní logika a principy jsou předdefinované, následně se systém v rámci implementace přizpůsobuje procesem a strukturám organizace. Systém jako celek, když se aktivně využívá, tak obsahuje informace, které určitě nejsou určeny pro všechny, proto je velmi důležité již při implementaci zvážit jeho logické umístění např. v DMZ.

Pro více informací klikněte zde

1. Vlastnosti systému

Mezi základní vlastnosti systému patří:

  • Verifikace a identifikace
  • Řízený přístup k informacím
  • Tisk formulářů a výstupů
  • Časový management a work flow procesy
  • Vzájemná provázanost informací napříč celým systémem
  • Integrace s LDAP, CMDB, Sevice Desk, …

2. Moduly systému

2.1 Cíle informační bezpečnosti
Hlavní prvky cílů informační bezpečnosti systému Evid-S

  • Definice cílů
  • Plány plnění cílů
  • Parametry plnění cílů
  • Hodnocení cílů

2.2. Informační aktiva
Hlavní prvky informačních aktiv v systému Evid-S jsou:

  • Primární aktiva
  • Vlastník aktiva
  • Hodnocení aktiva
  • Podpůrné aktiva

2.3 Analýza rizik
Analýza a ohodnocení rizik transformuje pohled na zjištěná rizika prostřednictvím reálného ekonomického ohodnocení možných důsledků, ale i vyčíslení nákladů na realizaci opatření, která jsou nezbytná k eliminování rizika.
Hlavní prvky analýzy rizik systému Evid-S

  • Metodika analýzy rizik definovaná zákonem
  • Analýza rizik s přímou vazbou na zjištění auditů
  • Analýza rizik s přímou vazbou na informační incidenty
  • Akceptovatelná úroveň rizika
  • Plán zvládání rizik

2.4 Audity kybernetické bezpečnosti
Auditní činnosti jsou hlavním diagnostickým nástrojem bezpečnostního managementu a fungují jako zpětná vazba poskytující informace o stavu systému kybernetické bezpečnosti organizace a procesů v něm probíhajících. Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří bezpečnostní systém organizace.
Hlavním cílem každého auditu musí být zjišťování faktů, ne chyb.

  • Řízení neshody
  • Plány odstranění neshody
  • Povinnosti a odpovědnosti
  • Parametry plnění cílů a jejich vazba na zjištění auditu
  • Ověřování zavedených opatření

2.5 Kybernetické události a incidenty

  • Incident informační bezpečnosti 
  • Událost informační bezpečnosti 
  • Zvládání informačních incidentů 
  • Plány zvládání informačních incidentů a jejich oznamování 
  • Povinnosti a odpovědnosti 

2.6 Katalog hrozeb a zranitelností
o Důležitým prvkem řízení kybernetické bezpečnosti je poznání potenciálních příčin – hrozeb a zranitelností kybernetické události nebo incidentu. Tyto hrozby a zranitelnosti musí být řízeny a identifikovány v katalogu hrozeb.

2.7 Rizikové scénáře
Kombinace aktiv, hrozeb a zranitelností nám vytváří rizikové scénáře, které systém eviduje, řídi a vyhodnocuje. Existence rizikových scénářů vytváří realističtější pohled na možná rizika kybernetické bezpečnosti.

2.8 Personální manažment

  • Personální zařazení
  • Zaměstnance a odpovědné osoby / subjekty
  • Role a odpovědnosti
  • Práva a povinnosti

2.9 Třetí strany
Jedne z důležitých subjektu bezpečnosti jsou Třetí strany – subjekty, které přímo vstupují do řízení kybernetické bezpečnosti, nebo na bezpečnost mají vliv.

2.10 Dokumentace kybernetické bezpečnosti
Systém Evid-S využívá k řízení dokumentace oblasti systému jako např:

  • Evidence dokumentace informační bezpečnosti
  • Řízení přístupu k dokumentaci informační bezpečnosti
  • Role / Práva a odpovědnosti
  • Vazba na Prohlášení o aplikovatelnosti
  • Katalogy

2.11 GDPR
Rozšířenou funkčnosti systému je integrace GDPR do systému řízení kybernetické bezpečnosti. Osobní údaje, jako jedno z informačních aktiv je tak řízené jako informační aktivum vysoké nebo kritické důvěrnosti.

PRO VÍCE INFORMACÍ KLIKNĚTE ZDE