egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s

eGRC řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

Kybernetická panika  Obecný princip chování  Relativizace bezpečnostních rizik  Nedostatečné investice do preventivních opatření  Překvapení pokud dojde k bezpečnostní události

 Panika a mnohdy zbrklé a nepromyšlené řešení

problému

 Častým výsledkem je nesystémové řešení „Cena za apatii vůči politice je to, že vám vládnou zlí lidé“ – Platón

17. února 2016

Vývoj v ČR  Dlouho nedostatečná bezpečnostní gramotnost  Veřejná správa významně zaostávala za business sférou  Systémové řízení bezpečnosti často překážkou, obecně dobrovolná aktivita  Překvapení, že kybernetické útoky hrozí i v ČR

17. února 2016

Vývoj v ČR  Několikaletá snaha o nastavení pravidel kybernetické bezpečnosti  Přijetí zákona o kybernetické bezpečnosti  Zmatek koho se jak a koho se týká  Klid před bouří a následné probuzení do reality

17. února 2016

Kyber legislativa 

Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)



Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)



Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury



Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)



Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích



Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích

17. února 2016

Požadavky legislativy  Zákon definuje obecné požadavky na kybernetickou bezpečnost  Zákon definuje činnosti NBÚ  Kontrolní a dozorová činnost  Určování nápravných a preventivních opatření  Ukládání sankcí

 Vyhláška o kybernetické bezpečnosti – prováděcí předpis – v podstatě kopíruje standardy řady ISO 27000  obsah bezpečnostních opatření,  obsah a strukturu bezpečnostní dokumentace,  rozsah bezpečnostních opatření pro orgány a osoby

uvedené v § 3 písm. c) až e) a 17. února 2016

Požadavky legislativy KYBERNETICKÁ BEZPEČNOST DLE VYHLÁŠKY 316/2014 Sb.

Organizační opatření

Technická opatření

Bezpečnostní dokumentace

Řešení kybernetických incidentů

17. února 2016

Oblasti řešitelné s eGRC  Správa aktiv  Evidence včetně garantů  Klasifikace aktiv a jejich vzájemné vazby  Assessmenty

 Řízení rizik  Evidence a řešení rizik  Provádění analýzy rizik

 Zvládání bezpečnostních událostí  Evidence bezpečnostních událostí  Řešení bezpečnostních událostí  Kontrola účinnosti opatření

 Audit a compliance  Plány auditů  Assessmenty  Evidence opatření a politik

 Business continuity  Plány BCM  Business Impact analýzy

17. února 2016

Správa aktiv v GRC

Hodnocení Vazba na politiky a opatření

Garanti

Aktivum Vazby na další aktiva

Vazba na BCM Vazba na komponenty

17. února 2016

Správa aktiv v GRC    

Data jsou integrována v jednom místě Zřetelné vazby mezi aktivy Propojení na jednotlivé komponenty Propojení do dalších agend

17. února 2016

Řízení rizik v GRC

17. února 2016

Řízení rizik v GRC  Systémové řešení analýzy rizik  V aplikačním prostředí  Customizované dle potřeb organizace  Jednoduchá definice scope pro AR

 Automatizovaná hodnocení  Plánování termínů  Propojení na informační aktiva

 Řízení rizik  Návaznost na mitigační plány a implementovaná opatření  Automatizovaný výpočet aktuální výše rizika  Návaznost na nálezy, incidenty, mitigační plány a další

vstupy z GRC 17. února 2016

Zvládání incidentů v GRC  Evidence incidentů    

Přiřazení odpovědností Task management Provázanost na šetření incidentů Možnost filtrovat a exportovat

 Vyšetřování incidentů  Task management  Sběr a evidence důkazů

 Řešení incidentů  Plány opatření  Task management  Propojení s riziky 17. února 2016

Reaktivní opatření

Incident

Vyšetřování

Analýza

Nápravná opatření

Řízení kontinuity v GRC  Business Impact Analýza

Business impact analýza

 Registr BC rizik  Definice scope

 BCM plány

Testování plánů

Namodelování plánů

 Registr BCM plánů  Testování BCM plánů

Krizová událost

 Management krizových událostí  Evidence krizových událostí

Aktivace plánu

 Přehled aktivovaných plánů Vyhodnocení

17. února 2016

Ostatní oblasti v GRC  Audity  Plánování auditů  Evidence nálezů auditu  Review nápravy auditních nálezů

 Politiky  Evidence politik a navázání jednotlivými oblastmi  Kontrolní postupy

 Integrace s datovými zdroji  Integrace s adresářovou službou  Informační vstupy

 User and role management  Řízení přístupů a oprávění  Definice rolí v jednotlivých oblastech 17. února 2016

Přínos GRC pro potřeby ZoKB  Integrace různých činností a dat do jednoho systému  Automatizace procesů a některých činností  Management odpovědností  Jednoduchý přístup k manažerským reportům a přehledům MAKE IT EASY 17. února 2016

Děkujeme za pozornost.

Marian Němec AEC a.s. [email protected]

16. února 2011