AUDIT BEZPEČNOSTNÍCH OPATŘENÍ

Provádíme audity kybernetické bezpečnosti informačních systémů dle §16 Vyhlášky k zákonu o kybernetické bezpečnosti (Jedná se o novelu Vyhlášky 316/2014 Sb.)

Audit bezpečnostních opatření

Vlastním auditem bezpečnostních opatření rozumíme proces jehož výstupem je zdokumentování jednotlivých opatření, popis vazeb na okolní informační systémy a prostředí, dekompozice aktiv, řízení kontinuity činností.

Audit bezpečnostních opatření je výchozím krokem pro poskytnutí rámce bezpečnostních opatření, která jsou pro jednotlivé typy subjektů (správce KII,správce VIS, správce nebo poskytovatel ZS) vyžadována v souladu se zákonem o kybernetické bezpečnosti (zákon č. 181/2014 Sb.) a jeho prováděcího právního předpisu – Novely vyhlášky č. 316/2014 Sb.
Výstupem auditu jsou zejména tyto dokumenty (dle metodiky NÚKIB):


  • Bezpečnostní opatření

  • Organizační opatření

  • Systém řízení bezpečnosti informací (VKB § 3)
  • Řízení rizik (VKB § 4)
  • Bezpečnostní politika (VKB § 5)
  • Organizační bezpečnost (VKB §
  • Stanovení bezpečnostních požadavků pro dodavatele (VKB § 7)
  • Řízení aktiv (VKB § 8)
  • Bezpečnost lidských zdrojů (VKB § 9)
  • Řízení provozu a komunikací (VKB § 10)
  • Řízení přístupu a bezpečné chování uživatelů (VKB § 11)
  • Akvizice, vývoj a údržba (VKB § 12)
  • Zvládání kybernetických bezpečnostních událostí a incidentů (VKB § 13)
  • Řízení kontinuity činností (VKB § 14)
  • Kontrola a audit kybernetické bezpečnosti (VKB § 15)
  • Technická opatření

  • Fyzická bezpečnost (VKB § 16)
  • Nástroj pro ochranu integrity komunikačních sítí (VKB § 17)
  • Nástroj pro ověřování identity uživatelů (VKB § 18)
  • Nástroj pro řízení přístupových oprávnění (VKB § 19)
  • Nástroj pro ochranu před škodlivým kódem (VKB § 20)
  • Nástroj pro zaznamenávání činností kritické informační infrastruktury a významných informačních systémů, jejich uživatelů a administrátorů (VKB § 21)
  • Nástroj pro detekci kybernetických bezpečnostních událostí (VKB § 22)
  • Nástroj pro sběr a vyhodnocení kybernetických bezpečnostních událostí (VKB § 23)
  • Aplikační bezpečnost (VKB § 24)
  • Kryptografické prostředky (VKB § 25)
  • Nástroj pro zajišťování úrovně dostupnosti (VKB § 26)
  • Bezpečnost průmyslových a řídících systémů (VKB § 27)


Veškerá dokumentace by pak měla ctít zásadu zvanou „platform, vendor and architecture independent“. To znamená, že je kladen důraz na dodržování veškerých souvisejících norem a standardů, nejsou zde uvedeny komerční názvy aplikací, výrobců nebo dodavatelů.

Výstupy z auditu kyberneticé bezpečnosti pak slouží jako podklady (vstupy) pro BIA, DRP, Analýzu rizik, bezpečnostní směrnice a bezpečnostní politiky.

Pro vlastní audity kybernetické bezpečnosti používáme metodiku NÚKIB a dále metodiku BSI.

Role auditora je dána §7, písm. c vyhlášky k ZKB (82/2018 Sb.)
Vlastní audit je vyžadován v §16 vyhlášky k ZKB (82/2018 Sb.)

Objednávka Security Labu "AUDIT BEZPEČNOSTNÍCH OPATŘENÍ"

 
1 Start 2 Complete
+420