http://www.gbnl.cz
SLUŽBA ZAJIŠTĚNÍ TECHNOLOGICKY-PROCESNĚ-LEGISLATIVNÍ A EKONOMICKÉ BEZPEČNOSTI, ŘÍZENÍ RIZIK Komplexní konzultační služba slouží k zajištění business a dalších zájmů klienta, anebo zákazníků klienta. Jedná se podle povahy věci zejména o podporu topmanagementu při high-level rozhodování a dále o podporu middle-managementu při operativním řešení jeho úkolů, z pohledu řízení rizik (bezpečnostní, organizační, reputační, finanční, technologické). Uvedené zpravidla formou zpracování auditu, strategií, feasibility study, oponentur i vlastních business case a dále pomocí při přípravě zadání zakázek, či přímou účastí v projektových kancelářích klienta. Ale i ve smyslu reaktivním při řešení bezpečnostního problému klienta. Služba spočívá zejména v posouzení situace (compliance) s legislativně bezpečnostními, ekonomickými a technologickými požadavky a v definici nápravných opatření za účelem omezení rizik, či eliminace následných změn dodávané, či provozované aplikace – procesu – systému – technologie - projektu, vynucených regulatorním orgánem hrozbou či přímo uložením sankce, nápravného opatření ze zákona anebo ke kterým je klient povinen na základě smluvního závazku nebo interního uvážení za účelem ochrany jeho zájmů anebo zájmů jeho klientů. Bezpečnost, resp. řízení rizik je de facto součástí všech procesů v organizaci. Mimo eliminace rizik je dalším cílem zajistit realizaci anebo provoz produktu/služby/procesu/technologie v organizaci v takové kvalitě, aby byly přinejmenším certifikovatelné podle příslušných odvětvových požadavků, jakož i bezpečnostních a zákonných norem. A řešení podle potřeby dále podporovat (SLA, reaudity).
VŽDY DODÁVÁME ŘEŠENÍ PROBLÉMU, NEJEN POPIS STAVU! Služba přesahuje dílčí oblasti, jako jsou řízení rizik, forenzní audit i samotná „bezpečnost“, protože je dodáváno komplexní řešení. Přínosy:
zvýšení konkurenceschopnosti, ochrana dobrého jména; optimalizace bezpečnosti – ověření potřeb, zvýšení efektivity a řízení nákladů; zajištění validní, bezpečné a právně závazné elektronické komunikace; vyloučení, či snížení odpovědnosti a rizik pro organizace i její management při nedodržení podmínek zpracování klasifikovaných informací; prevence trestné činnosti s cílem minimalizace škod organizace; zabezpečení správného chodu organizace; včetně kontinuity podnikání a plánů obnovy.
1/7 GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
Samotné poskytování konzultační služby v oblasti bezpečnosti (v širším slova smyslu) lze vnímat ve třech základních rovinách: -
-
jako samostatnou službu (oponentury, feasibility study, příprava zakázek, řešení konkrétního bezpečnostního problému, projektová kancelář, vlastní dodávka řešení atp. včetně školení topmanagementu a zaměstnanců) pro business klienta; jako integrální součást prakticky všech klientských řešení; jako součást interních procesů organizace klienta, včetně jejího řízení.
PREVENCE/PREDIKCE
DETEKCE
Řízení rizik Kontrola shody s předpisy, zákony a zájmy Revize a hodnocení aktiv
-
0 -
Incident
REAKCE
NÁKLADY
Opatření Opatření Opatření
Opatření
Obsah konzultačních služeb: 1. Integrační a poradenské služby v oblasti architektury IT, interních procesů klienta, HW a SW nástrojů, se zaměřením na dodržování: -
vybraných ekonomických standardů, předpisů a zákonných norem (např. zákon č. 256/2004 o podnikání na kapitálovém trhu; ochrana vnitřní informace – insider trading, zákon č. 253/2008 Sb., o některých opatřeních proti legalizaci výnosů z trestné činnosti a financování terorismu; praní „špinavých peněz“ AML, bankovní tajemství, úřední sdělení ČNB č. 5/2011; operační riziko v oblasti informačního systému, zákon č. 513/1991 Sb., obchodní zákoník; obchodní tajemství, know-how a důvěrné informace, odpovědnost statutárních orgánů, zákon č. 40/1964 Sb., občanský zákoník, prostředky komunikace na dálku, elektronické uzavírání smluvních vztahů; zákon č. 563/1991 Sb., o účetnictví a související zákonné normy, zákon č. 227/200 Sb., o elektronickém podpisu a o změně některých dalších zákonů; archivace el. dokumentů, el. fakturace, el. podpis, časové razítko, certifikační autorita (PKI), ekonomická bezpečnost a kritická infrastruktura státu; 2/7
GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
zákonných požadavků na ochranu soukromí a oprávněných zájmů (zákon č. 101/2000 Sb., o ochraně osobních údajů, zákon č. 127/2005 Sb., o elektronických telekomunikacích, zákon č. 480/2004 Sb., o některých službách informační společnosti, zákon č. 329/1999 Sb., o cestovních dokladech, dále související Direktivy EU/získávání, ochrana osobních údajů a citlivých osobních údajů, zabezpečení dat, veřejné (telefonní) seznamy, registry dlužníků, bezpečná e-komunikace (phishing, honeypot), odpovědnost za obsah el. přenášených, ukládaných a publikovaných informací, provázanost problematiky na marketingové zdroje a nástroje - organizace a sdílení údajů/databází, SMS, IVR, SPAM, vydávání dokladů s biometrickými údaji, kamerové systémy/CCTV; odposlech a záznam tlkm. provozu, bezpečnostní dokumentace podnikatele, registry obyvatel, tisk cenin a dokladů. -
2. Forenzní audit - spočívající v důvěrném šetření závažné, zejména trestné činnosti s cílem minimalizace škod pro organizaci, prevence proti obdobným incidentům goodwill, škoda na hmotném i nehmotném majetku, fraud, loyalita, prescreening/HR, korupce, způsob a odůvodněnost užití konkurenční doložky. Včetně konzultací k související trestní problematice. 3. Ochrana majetku/fyzická bezpečnost. Zajištění proti nelegálním odposlechům. 4. Information Security Management Systems (ISMS) – quick scan + stanovení priorit/opatření k Quick Win; zavedení, udržování nebo příprava organizace k certifikaci podle ISO/IEC 27001:2006. 5. Audit IS/ICT (podle potřeby jednorázový nebo periodický) Tato služba poskytne přehled pro vybrané oblasti ICT:
řízení, plánování, organizace ICT vztah skutečného provoz ICT oproti potřebám organizace předpisová základna porovnání realizovaných a požadovaných bezpečnostních opatření pravidla nákupu v oblasti ICT (výběrové řízení, schvalování, podpisová oprávnění) smluvní vztahy v oblasti ICT zajištění kontinuity IS (Havarijní plán a Plán obnovy) riziková analýza IS/ICT kontrola legálnosti (licencí) k SW řízení změn v oblasti ICT efektivita využívání SW a HW (inventura a optimalizace HW a SW dle pořizovacích dokladů a licenčních ujednání, BIA – Business Impact Analyse, posouzení efektivnosti způsobu licencování) 3/7
GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
Znáte skutečný stav plnění požadavků ochrany informací (zejména se jedná osobní údaje, obchodního tajemství a know-how, autorská práva a duševní vlastnictví, utajované informace atd.), vyplývajících ze zákona a smluvních vztahů, ve Vaší organizaci? Copyright © 2012 Mgr. Tomáš Sekera, MBA Obsah tohoto dokumentu, včetně jeho částí, nelze upravovat ani šířit bez souhlasu jeho autora.
Zodpovězení přiložených stručných a krátkých otázek formou ANO/NE Vám pomůže ke zjištění stavu a zlepšení situace. Smyslem tohoto dotazníku je pomoci Vám identifikovat související rizika, která v praxi řešíte a to v postavení statutárního orgánu nebo vedoucího
zaměstnance.
Dotazník
zjišťuje
stav
dodržování
bezpečnostních požadavků z pohledu platné legislativy ČR i EU a smluvních závazků. Statutární orgány jsou povinni vykonávat jejich působnost s péčí řádného hospodáře, s odbornou péčí. Důkazní břemeno, zda jednali s péčí řádného hospodáře či nikoli, nesou statutární orgány samy. Vedoucí zaměstnanci jsou ve smyslu zákoníku práce mj. povinni zabezpečit dodržování právních a vnitřních předpisů. Mají nejen právo, ale současně také povinnost podřízeným zaměstnancům ukládat závazné pokyny (akt řízení). Důležité je upozornit, že projev vůle se dle zákona neprojevuje pouze konáním, ale také nečinností. S uvedeným úzce souvisí odpovědnost za způsobenou škodu. Dle platné právní úpravy nesou právnické
osoby
pro
definované
skutkové
podstaty
trestněprávní
odpovědnost, ve smyslu zákona č. 412/2011 Sb., o trestní odpovědnosti právnických osob a řízení proti nim. Včetně i zákazu plnění veřejných zakázek, účasti v koncesním řízení nebo ve veřejné soutěži. Pokud jednání
statutárního
orgánu
nebo
vedoucího
zaměstnance naplní
skutkovou podstatu trestného činu, nese trestněprávní odpovědnost za toto jednání sama taková fyzická osoba. Dtto přestupky a správní delikty.
4/7 GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
Pokud zjistíte, že některá z dále uvedených rizik, resp. hrozeb nejsou ve Vaší organizaci dostatečně ošetřena, neváhejte nás kontaktovat: Mgr. Tomáš Sekera, MBA +420 605222585;
[email protected]
1. Je ve Vaší organizaci určena osoba systémově odpovědná za ochranu informací a práv duševního vlastnictví? (nejen pro technické řešení)
ANO/NE
2. Je ve Vaší organizaci určena osoba systémově odpovědná za řízení bezpečnostních rizik a zvládání bezpečnostní aspektů v projektech zákazníků? ANO/NE
3. Jsou ve Vaší organizaci všechny formy informací/aktiv (listinná, elektronická) klasifikovány a definovány pravidla pro jejich zpracovávání? (jedná se např. o zpracovávání kategorií informací typu osobní a citlivé údaje, obchodní tajemství, know-how a důvěrné informace, listovní a poštovní tajemství, bankovní tajemství, utajované informace, důvěrnost komunikací, realizace konkurenční doložky) ANO/NE
4. Je prokazatelným způsobem a ve stanovených intervalech realizována kontrola dodržování pravidel ochrany informací a práv duševního vlastnictví?
ANO/NE
5. Znáte rozsah Vaší osobní odpovědnosti za způsobenou škodu, případně
až
trestní
odpovědnosti
a
rozsah
odpovědnosti
organizace za porušení podmínek ochrany informací? ANO/NE
6. Víte, jak se lze z této odpovědnosti vyvinit? ANO/NE
7. Jsou prokazatelně zaměstnancům uloženy konkrétní povinnosti a stanovena jejich odpovědnost při ochraně informací? ANO/NE
5/7 GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
8. Je Vám známa výše provozních a investičních nákladů k zajištění ochrany informací, odpovídá tato výše hrozícím rizikům? ANO/NE
9. Jste pojištěn (nejen) v souvislosti s ochranou informací proti škodám, jež můžete organizaci způsobit? ANO/NE
10.
Provádíte testování loajality zaměstnanců? Je aplikován
tzv. whistleblowing, případně jeho principy? ANO/NE
11.
Máte
vědomost,
jakým
způsobem
může
konkurence
neoprávněně získávat Vaše obchodní tajemství a know-how, či jiné chráněné informace? Víte jak se bránit? ANO/NE
12.
Používáte technické zabezpečení e-komunikace? (např.
šifrování mailů, bezpečné ukládání dat, chráněný telefon) ANO/NE
13.
Jsou Vám známa relativně široká oprávnění Úřadu pro
ochranu osobních údajů, Úřadu pro ochranu hospodářské soutěže a orgánů činných v trestním řízení, či dalších institucí pro ochranu autorských práv? (jejich činnost reálně hrozí při prošetřování
stížnosti,
podání,
oznámení
konkurence,
nespokojeného zaměstnance anebo zákazníka……) ÚHOS – může vstupovat do obchodních prostor soutěžitelů, u kterých
šetření
probíhá;
nahlížet
do
obchodních
záznamů;
kopírovat nebo získávat v jakékoli formě kopie nebo výpisy z obchodních záznamů; zjednat si do obchodních prostor přístup, otevřít uzavřené skříně nebo schránky, a další…. ÚOOÚ – může vstupovat do objektů, zařízení a provozů, na pozemky
a
zpracovatelů
do nebo
jiných
prostor
každého,
kontrolovaných
kdo
zpracovává
správců
osobní
a
údaje;
zajišťovat v odůvodněných případech doklady; pořídit kopie obsahu
paměťových
médií,
obsahujících
osobní
údaje,
6/7 GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351
http://www.gbnl.cz
nacházejících se u kontrolovaného a další…. Policie ČR – může zejména vyžadovat vysvětlení od fyzických a právnických osob a státních orgánů; vyžadovat odborné vyjádření od příslušných orgánů, a je-li toho pro posouzení věci třeba, též znalecké posudky; obstarávat potřebné podklady, zejména spisy a jiné písemné materiály; provádět ohledání věci a místa činu; vyzvat k vydání věci nebo ji odejmout, dtto platí pro zajištění peněžních prostředků na účtu, zaknihovaných cenných papírů, nemovitosti a jiné majetkové hodnoty; provádět domovní a osobní prohlídku, prohlídku jiných prostor a pozemků, vstupovat do obydlí, jiných prostor a pozemků a další…. OSA - Ochranný svaz autorský pro práva k dílům hudebním, BSA Bussines Software Alliance, DILIA - občanské sdružení DILIA, INTERGRAM - nezávislá společnost výkonných umělců a výrobců zvukových a zvukově obrazových záznamů, IFPI - Mezinárodní federace fonografického průmyslu, Česká protipirátská unie, AOS Agentura pro ochranu software.) ANO/NE
14.
Znáte
skutkové
podstaty
trestných
činů
pro
případ
porušení ochrany informací? ANO/NE Pokud jste ODPOVĚDĚLI NA VÍCE NEŽ POLOVINU OTÁZEK NE, JE NA MÍSTĚ VÁŽNÉ RIZIKO VAŠÍ OSOBNÍ ODPOVĚDNOSTI A SOUČASNĚ ODPOVĚDNOSTI VAŠÍ ORGANIZACE Doporučení po vyhodnocení: 0 – 2 x NE = vynikající – udržovat 3 – 4 x NE = dostatečné – udržovat a průběžně zlepšovat 5 – 6 x NE = nedostatečné – vyhodnotit, napravit 7 x a více NE = nevyhovující - řešit situaci ihned
7/7 GREENBERG Consulting s.r.o., se sídlem K Březince 230/24, 182 00, Praha 8, Česká republika, IČO: 242 03 939, DIČ: CZ24203939, číslo účtu: 6779899001/5500 u Raiffeisenbank a.s., společnost zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, spisová značka C 188351