Implementace ZKB

Objevte naše služby

Implementace ZKB

Cílem zákona je zavést fungující systém, který zahrnuje bezpečnostní opatření, detekci kybernetických bezpečnostních událostí, hlášení kybernetických bezpečnostních incidentů, systém opatření k reakci na kybernetický bezpečnostní incident a činnost dohledových pracovišť (národní CERT a vládní CERT).

V jakých oblastech Vám pomůžeme?

Zákon stanovuje, jakým způsobem má být kybernetická bezpečnost zajištěna a určuje způsob reakce na kybernetické hrozby nebo řešení nastalého incidentu. Podrobnosti ke způsobu realizace bezpečnostních opatření, ke komunikaci s kontaktními místy, vedení bezpečností dokumentace a kategorizaci kybernetických bezpečnostních incidentů určuje Vyhláška. Zákon povinné osoby nepřímo rozděluje na dvě hlavní skupiny, přičemž jedna z nich je dotčena pouze částečně a má povinnosti pouze v případě incidentů, a na druhou z nich dopadají povinnosti v plné míře i mimo případy incidentů.

První skupina

dotčena částečbě

Do první skupiny - dotčené jen částečně - patří poskytovatelé služeb elektronických komunikací (typicky mobilní a virtuální operátoři, poskytovatelé internetového připojení a podobně), subjekty zajišťující sítě elektronických komunikací a subjekty zajišťující takzvané významné sítě.
Významné sítě propojují český kybernetický prostor se zahraničím nebo zajišťující přímé připojení ke kritické informační infrastruktuře. Tyto osoby mají povinnost nahlásit národnímu dohledovému pracovišti - národnímu CERT - kontaktní údaje a jejich následné změny a za stavu kybernetického nebezpečí nebo za nouzového stavu přijmout reaktivní opatření, která jsou uvedena v zákoně.
Mezi tyto povinné osoby patří primárně soukromé osoby – firmy.

Druhá skupina

mnohem rozsáhlejší

Druhá skupina povinných osob zahrnuje správce informačních systémů kritické informační infrastruktury, správce komunikačních systémů kritické informační infrastruktury a správce významných informačních systémů.
Ti mají plnou škálu povinností dle zákona, zejména plnit informační povinnosti vůči vládnímu CERT, zavádět bezpečnostní opatření a provádět opatření v rozsahu dle zákona.
Tato skupina osob zahrnuje primárně osoby veřejného práva, například významné informační systémy státní správy, které jsou taxativně vyjmenovány prováděcí vyhláškou. Příkladem může být třeba informační systém katastru nemovitostí.
Do skupiny správců kritických informačních systémů mohou spadat i soukromé osoby, které však splňují poměrně náročná a těžko vysvětlitelná průřezová a odvětvová kritéria, pro představu se může jednat například o provozovatele letišť, plynárny, ČEZ, vodárny apod.

Máme skutečně hluboké znalosti z oblasti ochrany dat a kybernetické bezpečnosti a ESG. Jsme pružní, a vždy pracujeme s vědomím souvislostí.

Vždy pracujeme s ohledem na Váš obchod a zisk, se znalostí souvisejících problematik jako je ochrana údajů, kontinuita podnikání, plány obnovy a řadou dalších aspektů.

Jsme spolehliví. Kvalita služeb je pro nás důležitá. Znalosti a zkušosti neustále prohlubujeme, Víme co děláme a baví nás to.

V rámci implementace nabízíme řešení následujících kroků

GAP analýza: Rozdílová analýza mapuje aktuální stav v oblasti kybernetické bezpečnosti organizace. Identifikuje případné neshody mezi aktuálním stavem a požadavky stanovené zákonem či vyhláškou. Výsledkem analýzy je předložení plánu projektu ISMS.
Stanovení rozsahu ISMS: Definování organizačních hranic, hranic informačního systému a fyzických hranic. Navržení rozsahu ISMS a prohlášení o rozsahu.
Dokumentace a politiky: Definice rozsahu, hranic a vazeb ISMS. Vytvoření implementačního týmu, definice rolí, odsouhlasení a následné prohlášení o politice ISMS.
Identifikace a ocenění aktiv: Provedení identifikace aktiv, jejich ocenění a vypracování celkové analýzy rizik. Identifikace a ocenění aktiv je vlastně činnost, při které společnost provede „inventuru“ svých aktiv, což mohou být jak věci hmotné (např. výpočetní technika), tak věci nehmotné (data, znalosti, značka, apod.). Po identifikaci aktiv, je třeba jejich ohodnocení z hlediska integrity, dostupnosti a důvěrnosti. Nejlépe se tak činí na základě vlastního algoritmu, který určí hodnotu jednotlivých aktiv.
Analýza rizik: Je třeba vést v patrnosti, že analýza rizik je dokument, na němž se staví celý systém bezpečnosti informací. Jeho důležitost je tedy vysoká. Nebudete-li tento dokument mít dobře zpracován, je celý systém ISMS nefunkční.
Návrh protiopatření: Jedná se o dokument, který reaguje na výsledky analýzy rizik. Popisuje, jak bude organizace reagovat na identifikovaná kritická místa. Ve stručné a jasné podobě popisuje, jak by měl vypadat cílový stav, jak tohoto stavu organizace docílí, termín splnění a případné finanční nároky. Tento dokument je vedle analýzy rizik stěžejním dokumentem. Management musí všechny dokumenty schválit, včetně finančních prostředků. Variantou, jak lze na případná rizika reagovat, je i tzv. institut akceptace rizika.
Zvyšování povědomí: Stanovení cílů a plánů komunikace ve vztahu k cílovým zúčastněným stranám. Definování potřeb a plánů školení a zvyšování povědomí. Poskytování školení.

Monitorování a měření: Určení cílů a předmětu monitorování a měření. Stanovení frekvence a metody monitorování a měření. Reportování výsledků..
Interní audit: Vytvoření programu interního auditu. Zajištění nezávislosti, objektivity a nestrannosti interního auditu. Plánování činností auditu. Alokování a správa zdrojů programu auditu. Vytvoření postupů auditu. Provádění činností auditu. Následné činnosti a neshody.
Prohlášení o aplikovatelnosti: Zde je třeba krok za krokem doložit, které části ISMS a jak jsou zavedené.
Certifikace: Celý systém může fungovat i bez certifikace, ale je samozřejmě výhodnější projít certifikací. Skládá se ze dvou částí. V první je certifikována povinná dokumentace, ve druhé je kontrolováno praktické zavádění ISMS.