eGRC řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.
Kybernetická panika Obecný princip chování Relativizace bezpečnostních rizik Nedostatečné investice do preventivních opatření Překvapení pokud dojde k bezpečnostní události
Panika a mnohdy zbrklé a nepromyšlené řešení
problému
Častým výsledkem je nesystémové řešení „Cena za apatii vůči politice je to, že vám vládnou zlí lidé“ – Platón
17. února 2016
Vývoj v ČR Dlouho nedostatečná bezpečnostní gramotnost Veřejná správa významně zaostávala za business sférou Systémové řízení bezpečnosti často překážkou, obecně dobrovolná aktivita Překvapení, že kybernetické útoky hrozí i v ČR
17. února 2016
Vývoj v ČR Několikaletá snaha o nastavení pravidel kybernetické bezpečnosti Přijetí zákona o kybernetické bezpečnosti Zmatek koho se jak a koho se týká Klid před bouří a následné probuzení do reality
17. února 2016
Kyber legislativa
Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti)
Zákon č. 240/2000 Sb., o krizovém řízení a o změně některých zákonů (krizový zákon)
Nařízení vlády č. 432/2010 Sb., o kritériích pro určení prvku kritické infrastruktury
Vyhláška č. 316/2014 Sb., o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti)
Vyhláška č. 317/2014 Sb., o významných informačních systémech a jejich určujících kritériích
Zákon č. 127/2005 Sb., o elektronických komunikacích a o změně některých souvisejících zákonů (zákon o elektronických komunikacích
17. února 2016
Požadavky legislativy Zákon definuje obecné požadavky na kybernetickou bezpečnost Zákon definuje činnosti NBÚ Kontrolní a dozorová činnost Určování nápravných a preventivních opatření Ukládání sankcí
Vyhláška o kybernetické bezpečnosti – prováděcí předpis – v podstatě kopíruje standardy řady ISO 27000 obsah bezpečnostních opatření, obsah a strukturu bezpečnostní dokumentace, rozsah bezpečnostních opatření pro orgány a osoby
uvedené v § 3 písm. c) až e) a 17. února 2016
Požadavky legislativy KYBERNETICKÁ BEZPEČNOST DLE VYHLÁŠKY 316/2014 Sb.
Organizační opatření
Technická opatření
Bezpečnostní dokumentace
Řešení kybernetických incidentů
17. února 2016
Oblasti řešitelné s eGRC Správa aktiv Evidence včetně garantů Klasifikace aktiv a jejich vzájemné vazby Assessmenty
Řízení rizik Evidence a řešení rizik Provádění analýzy rizik
Zvládání bezpečnostních událostí Evidence bezpečnostních událostí Řešení bezpečnostních událostí Kontrola účinnosti opatření
Audit a compliance Plány auditů Assessmenty Evidence opatření a politik
Business continuity Plány BCM Business Impact analýzy
17. února 2016
Správa aktiv v GRC
Hodnocení Vazba na politiky a opatření
Garanti
Aktivum Vazby na další aktiva
Vazba na BCM Vazba na komponenty
17. února 2016
Správa aktiv v GRC
Data jsou integrována v jednom místě Zřetelné vazby mezi aktivy Propojení na jednotlivé komponenty Propojení do dalších agend
17. února 2016
Řízení rizik v GRC
17. února 2016
Řízení rizik v GRC Systémové řešení analýzy rizik V aplikačním prostředí Customizované dle potřeb organizace Jednoduchá definice scope pro AR
Automatizovaná hodnocení Plánování termínů Propojení na informační aktiva
Řízení rizik Návaznost na mitigační plány a implementovaná opatření Automatizovaný výpočet aktuální výše rizika Návaznost na nálezy, incidenty, mitigační plány a další
vstupy z GRC 17. února 2016
Zvládání incidentů v GRC Evidence incidentů
Přiřazení odpovědností Task management Provázanost na šetření incidentů Možnost filtrovat a exportovat
Vyšetřování incidentů Task management Sběr a evidence důkazů
Řešení incidentů Plány opatření Task management Propojení s riziky 17. února 2016
Reaktivní opatření
Incident
Vyšetřování
Analýza
Nápravná opatření
Řízení kontinuity v GRC Business Impact Analýza
Business impact analýza
Registr BC rizik Definice scope
BCM plány
Testování plánů
Namodelování plánů
Registr BCM plánů Testování BCM plánů
Krizová událost
Management krizových událostí Evidence krizových událostí
Aktivace plánu
Přehled aktivovaných plánů Vyhodnocení
17. února 2016
Ostatní oblasti v GRC Audity Plánování auditů Evidence nálezů auditu Review nápravy auditních nálezů
Politiky Evidence politik a navázání jednotlivými oblastmi Kontrolní postupy
Integrace s datovými zdroji Integrace s adresářovou službou Informační vstupy
User and role management Řízení přístupů a oprávění Definice rolí v jednotlivých oblastech 17. února 2016
Přínos GRC pro potřeby ZoKB Integrace různých činností a dat do jednoho systému Automatizace procesů a některých činností Management odpovědností Jednoduchý přístup k manažerským reportům a přehledům MAKE IT EASY 17. února 2016
Děkujeme za pozornost.
Marian Němec AEC a.s.
[email protected]
16. února 2011