Nabízené služby v oblasti plnění NIS 2 a nového zákona o kybernetické bezpečnosti (nZKB)
pro povinné subjekty veřejné správy
Níže uvedené služby vychází z aktuálního stavu dokumentace kybernetické bezpečnosti povinného subjektu
A) Organizace má zavedený dokumentovaný systém řízení bezpečnosti informací (SŘBI/ISMS)
Poptávající organizace disponuje dokumentovaným SŘBI/ISMS podle zákona a vyhlášek o kybernetické bezpečnosti (zák. č. 181/2014 Sb. a jeho prováděcích předpisů) a/nebo má zaveden SŘBI/ISMS podle normy ISO/IEC 27001. Pro tyto organizace v obou kategoriích (základní a důležité subjekty podle NIS 2, nebo poskytovatele regulovaných služeb v režimu vyšších nebo nižších povinností podle návrhu nZKB) nabízím následující služby:
1. GAP analýza kybernetické bezpečnostní dokumentace
GAP analýza patří mezi metody nalezení "mezer" (nedostatků) vůči zvolenému cílovému stavu podle zvolenému etalonu.
V nabízené službě je analyzován aktuální stav kybernetické bezpečnostní dokumentace organizace oproti stanovené legislativě. Provedená GAP analýza následně odpovídá na základní otázku, v jaké míře tato dokumentace splňuje požadavky dané legislativy.
Aditivně lze objednat i doporučení ke zlepšení stavu kybernetické bezpečnostní dokumentace (viz Cenová nabídka - dotazník ).
GAP analýza kybernetické bezpečnostní dokumentace se skládá z následujících kroků:
Stanovení legislativního kritéria pro hodnocení (etalonu) = požadavky NIS 2, nebo nZKB a jeho prováděcí předpisy.
Vytvoření kontrolního seznamu (checklistu) podle stanoveného etalonu a jeho jednotlivých požadavků na daný typ organizace.
Zpřístupnění stávající platné řídící kybernetické bezpečnostní dokumentace organizace k vlastní analýze, případně poskytnutí dalších vyžádaných doplňujících informací.
Vlastní analýza - odborné posouzení zpřístupněné dokumentace organizace vůči vytvořenému checklistu a vyhodnocení dle následující metriky hodnocení:
Shoda = dokumentováno (kde), bez nalezených nedostatků.
Shoda s výhradou = částečně dokumentováno, avšak byly nalezeny dílčí nedostatky v dokumentaci (odůvodnění).
Neshoda = není dokumentováno (ve zpřístupněné dokumentaci nebylo nalezeno).
Výstupem GAP analýzy je závěrečná zpráva z GAP analýzy s přiloženým checklistem.
Pozn.: celkově lze GAP analýzu přirovnat k první fázi auditu SŘBI/ISMS, při které probíhá audit Vaší kybernetické bezpečnostní dokumentace.
2. Pomoc při aktualizaci kybernetické bezpečnostní dokumentace po vyhlášení nZKB a jeho prováděcích předpisů
Tuto aditivní službu je možno objednat po poskytnutí GAP analýzy dle nZKB. Pomohu Vaší organizaci zlepšit řídící kybernetickou bezpečnostní dokumentaci formou konkrétních návrhů na aktualizaci tak, aby byly odstraněny zjištěné nedostatky z GAP analýzy a Vaše dokumentace vyhovovala nové legislativě (nZKB a jeho prováděcím předpisům pro nižší i vyšší povinnosti). Aby tato služba měla reálný smysl a nebyla pouhým (nežádoucím) formalistickým plněním legislativy, vyžaduje ze strany organizace úzkou součinnost, včetně včasného poskytnutí vyžádaných doplňujících informací.
B) Organizace nemá zavedený dokumentovaný SŘBI/ISMS
Pro povinné organizace veřejné správy v kategorii nižších povinností dle nZKB mohu nabídnout následující služby:
3. Pomoc při tvorbě kybernetické bezpečnostní dokumentace organizace
Pomohu Vaší organizaci s tvorbou řídící kybernetické bezpečnostní dokumentace tak, aby splňovala požadavky nové legislativy (nZKB a jeho prováděcích předpisů).
Po zpřístupnění dostupných informací k Vašemu aktuálnímu stavu zajištění kybernetické bezpečnosti provedu základní konstrukci návrhu kybernetické bezpečnostní dokumentace, která bude následně upřesňována vzájemnými interakcemi. Aby tato služba měla reálný smysl a nebyla pouhým (nežádoucím) formalistickým plněním legislativy, vyžaduje z Vaší strany rychlou interakci k doplňování konkrétních informací do postupných pracovních verzí tvořené dokumentace.
4. Pomoc v oblasti řízení kybernetických bezpečnostních rizik a jednoduchý nástroj pro přehledovou analýzu rizik
Základem pro zajištění a neustálé zlepšování stavu kyberbezpečnosti je zavedení procesu řízení kybernetických bezpečnostních rizik, který se obecně skládá z následujících bodů:
stanovení metodiky pro řízení kybernetických bezpečnostních rizik (jako součásti řídící bezpečnostní dokumentace) na základě požadavků nZKB a jeho prováděcích předpisů,
výběr nástroje pro analýzu kybernetických bezpečnostních rizik,
vlastního provádění analýz rizik v pravidelných intervalech, nebo při významných změnách v dané organizaci,
tvorby následných plánů zvládání zvýšených (neakceptovatelných) rizik a jejich plnění.
Pokud Vaše organizace spadající do kategorie nižších povinností podle nZKB nemá pokrytu tuto oblast řízení rizik, nabízím následující služby z výše uvedeného procesu a jeho vybraných bodů:
stanovení metodiky pro řízení kybernetických bezpečnostních rizik na základě požadavků nZKB a jeho prováděcích předpisů,
na základě této metodiky poskytnutí jednoduchého přehledového nástroje (forma Excel) pro vlastní provádění analýz rizik ve Vaší organizaci a jeho předvedení na místě - fiktivní příklad s výkladem k jeho používaní v praxi Vaší organizace.
C) Ostatní služby
5. Obecná pomoc v oblasti řízení kybernetické bezpečnosti
Ostatní dohodnuté činnosti v oblasti kyberbezpečnosti na základě požadavků organizace, včetně dodržování požadavků na ochranu osobních údajů z hlediska GDPR.