Milan Kubat

Milan Kubat

Account Manager
Sales

+420725787758

Řízení procesů kybernetické bezpečnosti Evid-S

Evid-S je informační systém pro řízení procesů kybernetické bezpečnosti v souladu se zákonem č.181/2014 Sb. o kybernetické bezpečnosti.

Systém Evid-S je navržen tak, aby splňoval všechny standardy informační bezpečnosti a zákona č. 181/2014 Sb. v oblasti informačních aktiv a s nimi spojenou analýzu rizik a dokumentací. Jeho cílem je automatizování procesů nezbytných pro správné řízení počítačové bezpečnosti.

Základní logika a principy jsou předdefinované, systém se však v rámci implementace přizpůsobuje procesům a strukturám organizace. Jako aktivně využívaný celek pak obsahuje informace, které nemusí být určeny pro všechny jeho uživatele. Je proto je velmi důležité při implementaci zvážit jeho logické umístění např. v DMZ.

VÍCE INFORMACÍ NA WWW.EVID-S.CZ

1. Vlastnosti systému Evid-S

Mezi základní vlastnosti systému patří:

  • Verifikace a identifikace.
  • Řízený přístup k informacím.
  • Tisk formulářů a výstupů.
  • Časový management a workflow procesy.
  • Vzájemná provázanost informací napříč celým systémem.
  • Integrace s LDAP, CMDB, Sevice Desk apod.

2. Moduly systému Evid-S

2.1 Cíle informační bezpečnosti
Hlavní prvky cílů informační bezpečnosti systému Evid-S jsou:

  • Definice cílů
  • Plány plnění cílů
  • Parametry plnění cílů
  • Hodnocení cílů

2.2. Informační aktiva
Hlavní prvky informačních aktiv v systému Evid-S jsou:

  • Primární aktiva
  • Vlastník aktiva
  • Hodnocení aktiva
  • Podpůrné aktiva

2.3 Analýza rizik
Analýza a ohodnocení rizik transformuje pohled na zjištěná rizika prostřednictvím reálného ekonomického ohodnocení možných důsledků, ale i vyčíslení nákladů na realizaci opatření, která jsou nezbytná k eliminování rizika.
Hlavní prvky analýzy rizik systému Evid-S jsou:

  • Metodika analýzy rizik definovaná zákonem
  • Analýza rizik s přímou vazbou na zjištění auditů
  • Analýza rizik s přímou vazbou na informační incidenty
  • Akceptovatelná úroveň rizika
  • Plán zvládání rizik

2.4 Audity kybernetické bezpečnosti
Auditní činnosti jsou hlavním diagnostickým nástrojem bezpečnostního managementu a fungují jako zpětná vazba poskytující informace o stavu systému kybernetické bezpečnosti organizace a procesů v něm probíhajících. Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří bezpečnostní systém organizace.
Hlavním cílem každého auditu musí být zjišťování faktů, ne chyb. Audit definuje:

  • Řízení neshody
  • Plány odstranění neshody
  • Povinnosti a odpovědnosti
  • Parametry plnění cílů a jejich vazbu na zjištění auditu
  • Ověřování zavedených opatření

2.5 Kybernetické události a incidenty

  • Incident informační bezpečnosti 
  • Událost informační bezpečnosti 
  • Zvládání informačních incidentů 
  • Plány zvládání informačních incidentů a jejich oznamování 
  • Povinnosti a odpovědnosti 

2.6 Katalog hrozeb a zranitelností
Důležitým prvkem řízení kybernetické bezpečnosti je poznání potenciálních příčin – hrozeb a zranitelností kybernetické události nebo incidentu. Tyto hrozby a zranitelnosti musí být řízeny a identifikovány v katalogu hrozeb.

2.7 Rizikové scénáře
Kombinace aktiv, hrozeb a zranitelností vytváří rizikové scénáře, které systém eviduje, řídi a vyhodnocuje. Existence rizikových scénářů vytváří realističtější pohled na možná rizika kybernetické bezpečnosti.

2.8 Personální management

  • Personální zařazení
  • Zaměstnanci a odpovědné osoby/subjekty
  • Role a odpovědnosti
  • Práva a povinnosti

2.9 Třetí strany
Důležité subjekty bezpečnosti jsou také třetí strany – subjekty, které přímo vstupují do řízení kybernetické bezpečnosti nebo na bezpečnost mají vliv.

2.10 Dokumentace kybernetické bezpečnosti
Systém Evid-S využívá k řízení dokumentace různé oblasti systému, např:

  • Evidence dokumentace informační bezpečnosti
  • Řízení přístupu k dokumentaci informační bezpečnosti
  • Role/práva a odpovědnosti
  • Vazba na Prohlášení o aplikovatelnosti
  • Katalogy

2.11 GDPR
Rozšířenou funkčnosti systému je integrace GDPR do systému řízení kybernetické bezpečnosti. Osobní údaje jsou tak řízené jako informační aktivum vysoké nebo kritické důvěrnosti.

VÍCE INFORMACÍ NA WWW.EVID-S.CZ