AUDIT BEZPEČNOSTNÍCH OPATŘENÍ

Printer-friendly versionSend by email

Provádíme audity kybernetické bezpečnosti informačních systémů dle §16 Vyhlášky k zákonu o kybernetické bezpečnosti (Jedná se o novelu Vyhlášky 316/2014 Sb.)

Audit bezpečnostních opatření

Vlastním auditem bezpečnostních opatření rozumíme proces jehož výstupem je zdokumentování jednotlivých opatření, popis vazeb na okolní informační systémy a prostředí, dekompozice aktiv, řízení kontinuity činností.

Audit bezpečnostních opatření je výchozím krokem pro poskytnutí rámce bezpečnostních opatření, která jsou pro jednotlivé typy subjektů (správce KII,správce VIS, správce nebo poskytovatel ZS) vyžadována v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) a jeho prováděcího právního předpisu – Novely vyhlášky č. 316/2014 Sb.
Výstupem auditu jsou zejména tyto dokumenty (dle metodiky NÚKIB):

Bezpečnostní opatření
Organizační opatření
Systém řízení bezpečnosti informací (VKB § 3)
Řízení rizik (VKB § 4)
Bezpečnostní politika (VKB § 5)
Organizační bezpečnost (VKB §
Stanovení bezpečnostních požadavků pro dodavatele (VKB § 7)
Řízení aktiv (VKB § 8)
Bezpečnost lidských zdrojů (VKB § 9)
Řízení provozu a komunikací (VKB § 10)
Řízení přístupu a bezpečné chování uživatelů (VKB § 11)
Akvizice, vývoj a údržba (VKB § 12)
Zvládání kybernetických bezpečnostních událostí a incidentů (VKB § 13)
Řízení kontinuity činností (VKB § 14)
Kontrola a audit kybernetické bezpečnosti (VKB § 15)
Technická opatření
Fyzická bezpečnost (VKB § 16)
Nástroj pro ochranu integrity komunikačních sítí (VKB § 17)
Nástroj pro ověřování identity uživatelů (VKB § 18)
Nástroj pro řízení přístupových oprávnění (VKB § 19)
Nástroj pro ochranu před škodlivým kódem (VKB § 20)
Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů (VKB § 21)
Nástroj pro detekci kybernetických bezpečnostních událostí (VKB § 22)
Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (VKB § 23)
Aplikační bezpečnost (VKB § 24)
Kryptografické prostředky (VKB § 25)
Nástroj pro zajišťování úrovně dostupnosti (VKB § 26)
Bezpečnost průmyslových a řídících systémů (VKB § 27)

Veškerá dokumentace by pak měla ctít zásadu zvanou „platform, vendor and architecture independent“. To znamená, že je kladen důraz na dodržování veškerých souvisejících norem a standardů, nejsou zde uvedeny komerční názvy aplikací, výrobců nebo dodavatelů.

Výstupy z auditu kyberneticé bezpečnosti pak slouží jako podklady (vstupy) pro BIA, DRP, Analýzu rizik, bezpečnostní směrnice a bezpečnostní politiky.

Pro vlastní audity kybernetické bezpečnosti používáme metodiku NÚKIB a dále metodiku BSI.

Role auditora je dána §7, písm. c vyhlášky k ZKB (82/2018 Sb.)
Vlastní audit je vyžadován v §16 vyhlášky k ZKB (82/2018 Sb.)

Android - Proč root ?

Android - úvod

Android - hardening

Hardening

Kontakt

Turbo2000

Analýza síťového provozu

Datová úložiště

Nabídka služeb v oblasti kybernetické bezpečnosti

Kybernetická bezpečnost

Kybernetické hrozby

Materiály NÚKIB

Implementace NIS2

Obrana před hybridní válkou

Audit bezpečnostních opatření

GDPR

Penetrační testy

Statická analýza zdrojového kódu

Sondy SURICATA

Cestování

AUDIT BEZPEČNOSTNÍCH OPATŘENÍ

Audit bezpečnostních opatření