Informační bezpečnost a regulace

Kontaktujte nás

Informační bezpečnost a regulace

I když je kybernetická ochrana odpovědností každé jednotlivé firmy, je třeba z hlediska celé ekonomiky zajistit její fungování i v případě nenadálých událostí. Dobře cílený útok může firmu vyřadit na měsíce a způsobit škody v desítkách milionů korun. Vzhledem k tomu, že kybernetické incidenty mohou zásadně ohrozit klíčovou infrastrukturu, EU na evropské úrovni, potažmo Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) legislativně upravuje problematiku kybernetické bezpečnosti.

Dopad kybernetického incidentu na organizace může být značný, od poškození pověsti po provozní a/nebo finanční ztráty. Poselství tedy zní: buďte ostražití a získejte odolnost. Organizace by se měly zaměřit nejen na technické aspekty zabezpečení informací, ale také na fyzické zabezpečení, provozní odolnost a zastřešující prvky, jako je správa, řízení rizik a dodržování předpisů. 

  • Chcete na základě objektivního posouzení zjistit, zda jsou vaše podnikové aplikace a infrastruktura odolné vůči kybernetickým hrozbám? 
  • Chcete vědět, zda vaše organizace dostatečně zohledňuje zákonné požadavky, jako NIS2 nebo DORA?
  • Potřebujete mít jasnou představu o opatřeních k prevenci a řešení kybernetických incidentů? 
  • Hledáte potřebnou podporu v podobě školení a konzultací, aby si vaše zainteresované strany uvědomily, jaká jsou rizika kybernetických hrozeb a jaké mohou mít následky?


Přístup BDO

Pomůžeme vám vybudovat organizaci odolnou vůči kybernetickým hrozbám a bezpečnostním rizikům. Začneme analýzou, budeme pokračovat důslednou komplexní přípravou a poté provedeme finální implementaci komplexního řešení. Pokud už máte některé části implementovány, uskutečníme kompletní audit v jednotlivých oblastech, např. ISMS, nebo v souladu se ZKB. Zároveň jsme připraveni nabídnout konzultační činnost i v dílčích částech, například při návrhu metodik pro řízení rizik, stanovení bezpečnostních politik či tvorbě bezpečnostní dokumentace.

Obecné regulace a standardy


I když je kybernetická ochrana odpovědností každé jednotlivé firmy, je třeba z hlediska celé ekonomiky zajistit její fungování i v případě nenadálých událostí. Dobře cílený útok může firmu vyřadit na měsíce a způsobit škody v desítkách milionů korun.


Vzhledem k tomu, že kybernetické incidenty mohou zásadně ohrozit klíčovou infrastrukturu, EU na evropské úrovni, potažmo Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) legislativně upravuje problematiku kybernetické bezpečnosti.

V době rostoucí digitální závislosti a zvyšujících se kybernetických hrozeb revidovala Evropská unie směrnici o bezpečnosti sítí a informací, čímž vznikla směrnice NIS2.

Tato směrnice, která se nejpozději do října 2024 stane součástí národních právních předpisů v celé Evropské unii, přináší společnostem a organizacím nová pravidla a požadavky. 
 

Co je NIS2?

Regulace NIS2 vznikla jako reakce Evropské unie na prohlubující se digitalizaci společnosti a s tím související rostoucí kybernetické hrozby v evropském prostoru. Navazuje na dosavadní rámec NIS (Network and Information Security), který byl přijat v roce 2016.

NIS2 výrazně rozšiřuje oblast působnosti platné legislativy a představuje nové řešení pro posílení a zabezpečení evropského kyberprostoru. 

Česká republika má oproti některým členským státům výraznou výhodu, jelikož má implementovaný a kvalitně zpracovaný Zákon o kybernetické bezpečnosti (ZKB)

Co je ZKB?

Smyslem Zákona o kybernetické bezpečnosti (ZKB) č. 181/2014 Sb. je zejména zvýšení bezpečnosti kybernetického prostoru a snaha státu ochránit tu část infrastruktury, jejíž narušení by vedlo k poškození či ohrožení zájmů České republiky. 

Změny, které směrnice NIS2 přináší, jsou zásadní a budou mít dopad i na společnosti, které dosavadním regulacím nepodléhaly. NÚKIB proto k tomuto úkolu přistoupil přípravou zcela nového zákona o kybernetické bezpečnosti a jeho vyhlášek, které by měly být v roce 2024 schváleny.

 

Informace jsou zásadní pro řádné fungování organizace. Jejich efektivní a zejména bezpečné zpracování je důležitým tématem dnešní doby. Je důležité informace adekvátně chránit, zejména před neoprávněným přístupem, jejich únikem, zničením či ztrátou. Proto je zde systém řízení bezpečnosti informací (ISMS), který napomáhá řízení informací v průběhu celého jejich životního cyklu. 
 

Co je ISO 27001, ISMS?

ISO/IEC 27001 je mezinárodně platný standard či rámec pro systémy řízení bezpečnosti informací, tzv. ISMS. Opírá se o základní tři principy důvěrnosti, dostupnosti a integrity. ISMS definuje požadavky zejména na řízení bezpečnosti důvěry informací pro zaměstnance, procesy, IT systémy a strategii firmy. Přijetí ISMS by mělo patřit mezi základní strategické rozhodnutí organizace.

Proč potřebujeme ISMS?

Certifikace ISO 27001 je základním pilířem pro ochranu vašich aktiv. Držitel certifikátu ISMS dle normy zaručuje svým zákazníkům, že má zabezpečena nejen svá, ale i klientská data a taktéž proaktivně řídí a zachází s důvěrnými údaji. Zavedením ISMS může organizace identifikovat potenciální rizika a hrozby z úniku a ztrát informací, tím pádem je minimalizuje.


Přístup BDO

Našim klientům nabízíme kompletní proces implementace systému řízení bezpečnosti informací do jejich organizace, včetně přípravy na certifikační audit. Zaveďte si ISMS do své organizace s BDO v následujících 5 krocích.

  1. Nejprve provedeme úvodní informační přezkoumání, kde bude zkontrolována potřebná ISMS dokumentace, případně vám ji pomůžeme upravit či vylepšit.

  2. Vymezíme rozsah ISMS včetně stanovených povinností za systém řízení bezpečnosti informací a pomůžeme vám s úpravou či vytvořením bezpečnostních politik.

  3. Zkontrolujeme inventarizaci vašich aktiv a systému řízení aktiv. Pokud vaše organizace aktiva neřídí, navrhneme vhodnou metodiku a pomůžeme s implementací.

  4. Poskytneme konzultační služby a podporu v identifikaci rizik. Pomůžeme vám navrhnout, případně zavést vhodnou metodiku pro jejich hodnocení a řízení v rámci ISMS.

  5. Pomůžeme vaší organizaci s přípravou na certifikační audit pro získání ISO/IEC 27001 certifikace.

Ostatní regulace a standardy


Kybernetický prostor nemá hranice, proto je rychle měnícím se prostředím ovlivňována i Austrálie. Organizace musí být schopny pružně reagovat na existující hrozby a nové zranitelnosti, aby se ubránili stále více sofistikovaným metodám útočníků. Australský úřad proto reagoval a vytvořil standardy CPS 231 a CPS 234. 

Co je CPS?

CPS je australský standard navržen a implementován Australským úřadem pro obezřetnostní regulaci (APRA). Účelem CPS je zajistit, aby měly regulované subjekty implementovanou dostatečnou ochranu informační bezpečnosti. Mezi regulovanými subjekty je zejména sektor bankovnictví a pojišťovnictví. Tyto požadavky se vztahují pouze na australské pobočky. 

Proč potřebujete CPS?

Od 1. 7. 2020 mají třetí strany, které nakládají s informačními aktivy regulovaných subjektů povinnost dodržovat standard CPS. CPS slouží mimo jiné k pochopení citlivosti a kritičnosti informačních aktiv, řízení incidentů a stanovení bezpečnostních politik. Díky souladu s CPS bude vaše organizace schopna objektivně měřit zlepšení úrovně kybernetické bezpečnosti. 

Přístup BDO

BDO poskytuje společnostem zajistit soulad s australskými standardy CPS ať už od samotného počátku nebo zauditovat, případně konzultovat stávající zavedené způsoby. Nejprve detailně prozkoumáme Vaši dokumentaci a pak zahájíme ověřovací práce. Našim výstupem je obsáhlý CPS report, který zahrnuje compliance části dle standardů CPS. Pokud nemáte potřebnou dokumentaci k ověření standardu CPS, můžeme ve fázi preassessmentu poskytnout konzultační činnosti pro její vytvoření.

Co je HIPAA?

HIPAA je zkratkou pro Health Insurance Portability and Accountability Act, která mimo jiné určuje stanovení o ochraně osobních údajů a zabezpečení pro ochranu lékařských informací. Pravidla ochrany osobních údajů HIPAA řeší používání a zveřejňování informací o zdravotním stavu jednotlivců s názvem „Protected Health Information (PHI)“. 

Proč potřebujete HIPAA?

Pravidlo ochrany osobních údajů HIPAA má zajistit, aby byly zdravotní informace jednotlivce náležitě chráněny, a zároveň umožnit ochranu nezbytných zdravotních informací jednotlivce, které jsou potřebné k poskytování a podpoře kvalitní zdravotní péče. Pravidla ochrany soukromí HIPAA povolují nezbytné použití informací a zároveň chrání soukromí lidí, kteří vyhledávají zdravotní péči. 

Přístup BDO

Pokud je na Vaši organizaci kladen požadavek, aby byla v souladu se zákonem HIPAA, můžeme poskytnout auditorské práce pro zjištění stavu souladu s HIPAA a pomoci s přípravou podpůrné dokumentace. 

Bezpečnost informací v průběhu celého životního cyklu můžeme řadit mezi důležitá témata každodenního fungování organizace. Automobilový průmysl není výjimkou, a i zde je pro dodavatele a poskytovatele těchto služeb vhodné ujistit zákazníky, že jsou jejich informace v bezpečí. Důsledkem toho byl publikován TISAX Standard. 

Co je TISAX?

Standard TISAX byl vyvinut registrovanou ochrannou známkou sdružení evropského automobilového průmyslu ENX. TISAX představuje určitou standardizaci úrovně bezpečnosti v automobilovém odvětví. Zahrnuje taktéž klíčová kritéria normy ISO 27001. Organizace v automobilovém průmyslu musí každé tři roky dokázat soulad s bezpečnostními kritérii. 

Proč potřebujeme TISAX?

Pro klienty je důležité ujištění, že jejich informace jsou správně zabezpečeny. Německá asociace automobilového průmyslu (VDA) vydává katalog, který obsahuje klíčové požadavky a kritéria pro zajištění potřebné úrovně bezpečnosti. Soulad o dodržování požadavků VDA můžete prokázat certifikací TISAX. Certifikace TISAX zvyšuje organizacím úroveň zabezpečení a tím i jejich výkonnost. TISAX slouží ke standardizaci i vzájemnému uznání auditu ISMS v souladu s ISO 27001. 

Hlavní kontaktní osoby

Kubíček

Tomáš Kubíček

Partner, Digital Services • Advisory
View bio
Martin Hořický

Martin Hořický

Partner • Digital Services
View bio

Digital - další služby

Články týkající se Digital