NÚKIB představil univerzální metodiku pro řízení kybernetické bezpečnosti

Written by forensee

29. 7. 2020

Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) připravil ve spolupráci s Národní agenturou pro komunikační a informační technologie (NAKIT) a Ministerstvem vnitra (MV ČR) dokument s názvem Minimální bezpečnostní standard. Ten je určen zejména organizacím, které nespadají pod působnost zákona č. 181/2014, o kybernetické bezpečnosti (ZoKB), ale chtějí problematiku kybernetické a informační bezpečnosti řešit. Tento metodický dokument vychází právě ze ZoKB a rovněž z požadavků norem řady ISO/IEC 27000 Management systémů informační bezpečnosti.

Dle autorů je dokument cílen zejména na obecní úřady, zdravotnická zařízení nebo školy. Stejné uplatnění ovšem najde i v malých a středních firmách a obecně všude tam, kde není požadavek (ať už zákonný nebo manažerský) na plný soulad se ZoKB nebo ISO 27000. Celá metodika je velmi vhodně rozdělena na manažerskou a technickou část.

Manažerská část v úvodu podtrhuje nutnost plné podpory vedení organizace při zavádění systémů řízení informační bezpečnosti. Naše zkušenosti toto základní východisko potvrzují. Efektivní řízení informační bezpečnosti totiž vyžaduje alokovaní potřebných zdrojů, zejména v oblasti personální a podporu při vytváření a aplikace související dokumentace. Klíčové oblasti, jako jsou problematika řízení kontinuity činností nebo řízení lidských zdrojů se pak bez plné podpory vedení neobejdou nikdy.

První část rovněž hovoří o jednotlivých rolích v systémů řízení kybernetické bezpečnosti. Tady řada organizací naráží na problém lidských zdrojů. V dnešní době však již není problém jednotlivé role řešit dodavatelsky – ať už se jedná o manažera kybernetické bezpečnosti nebo o auditora kybernetické bezpečnosti. S pokrytím těchto rolí vám rádi pomůžeme. Více o jednotlivých rolích najdete v dalším materiálu NÚKIB zde.

Druhá část dokumentu je techničtější a je určena spíše IT pozicím, starajícím se o praktickou realizaci nastavených požadavků. Vedle základních požadavků na fyzickou bezpečnost nebo řízení přístupů přináší celou řadu doporučení, která bývají při absenci procesů řízení kybernetické bezpečnosti v organizaci podceňována. Namátkou se jedná například o řízení privilegovaných účtů, politiky hesel nebo prevenci šíření škodlivého kódu.

Podstatná část je věnována řízení bezpečnostních událostí a incidentů, tedy zejména reakce na tyto události, jejich zvládání a zejména podmínkám a předpokladům pro jejich následnou analýzu, která je klíčová pro návrh následných opatření.

Dokument doporučujeme prostudovat odpovědným manažerům všech organizací bez výjimky (min. první část) a pochopitelně všem osobám odpovědným za řízení IT v organizaci. Další informace pak můžete získat například pomocí našich školení v oblasti řízení bezpečnosti informací.

Celý dokument je ke stažení zde.

Může se vám líbit

Základy forenzní analýzy na macOS

Základy forenzní analýzy na macOS

Stále zvyšující se počet zařízení Apple navyšuje i počet případů, kdy je potřeba data z nich zkoumat. Firma Apple velmi dbá na bezpečnost a ochranu dat svých zákazníků, a tak se zajišťování a zkoumaní dat z těchto zařízení stává stále složitější. Ukázkový příklad...

Školení expertů forensee v MCM Solutions

Školení expertů forensee v MCM Solutions

Experti forensee s.r.o. se na začátku dubna v britském Horshamu zúčastnili několikadenního školení k používání forenzní platformy Detego. Jedná se o univerzální forenzní nástroj pro zajišťování a analýzu dat z počítačů z OS Windows, Linux a mac OS a z mobilních...

První číslo časopisu Digital Forensic Review je zde

První číslo časopisu Digital Forensic Review je zde

Digital Forensic Review je časopis věnovaný problematice digitální forenzní analýzy, znaleckéhmu zkoumání digitálních dat a informačních systémů. Je určen znalcům v odpovídajících oborech, specialistům policejních složek, státním zástupcům, advokátům a soudům,...

Pusťme se do toho

Dejte nám vědět, s čím vám můžeme pomoci

Belgická 19, 120 00 Praha 2

+420 315 55 88 70