Základným pilierom zabezpečenia bezpečnosti a ochrany informačných aktív organizácie je zavedenie systematického procesu riadenia informačnej a kybernetickej bezpečnosti. Na tento účel využívame viacero štandardov a frameworkov z ktorých najvýznamnejšie pochádzajú zo skupiny noriem ISO/IEC 270xx.
V oblasti informačnej a kybernetickej bezpečnosti ponúkame nasledovné služby:
- riadenia bezpečnostných rizík
- návrh bezpečnostnej dokumentácie
- implementácia bezpečnostných opatrení
- výkon bezpečnostných auditov
- plánovanie kontinuity činností v organizácii
- vypracovávanie bezpečnostných projektov
- zavádzanie systémov manažérstva informačnej bezpečnosti
- zabezpečenie ochrany osobných údajov
- zabezpečenie súladu s legislatívou v oblasti informačnej a kybernetickej bezpečnosti
- školenia v oblasti informačnej a kybernetickej bezpečnosti
Riadenie bezpečnostných rizík
Riadenie bezpečnostných rizík v organizácii patrí medzi základné princípy riadenia informačnej a kybernetickej bezpečnosti. Vďaka tomu je možné predchádzať potenciálnym hrozbám efektívne s optimálnymi nákladmi. V tejto oblasti poskytujeme:
- návrh metodík a vypracovávanie analýz rizík organizácie alebo informačných systémov
- identifikácia a ohodnotenie bezpečnostných rizík
- v súlade s požiadavkami bezpečnostných noriem (ISO 27001, ISO 27005, …)
- ohodnocovanie rizík a vypracovanie návrhu správy rizika
- návrh plánu zvládania rizika, návrh roadmapy implementácie opatrení
- návrh bezpečnostných opatrení
- organizačných opatrení
- procesných opatrení
- technologických opatrení
- bezpečnostnej dokumentácie
Výkon bezpečnostných auditov
Auditom sa posudzuje miera zhody organizácie s požiadavkami bezpečnostných štandardov alebo súlad s legislatívou. Poskytuje teda cenné informácie o stave informačnej a kybernetickej bezpečnosti alebo súladu s legislatívou v organizácii. V tejto oblasti poskytujeme služby výkonu:
- audit kybernetickej bezpečnosti certifikovaným audítorom kybernetickej bezpečnosti
- komplexné bezpečnostné audity organizácie a informačných systémov bezpečnostnými špecialistami, ktorí sú držiteľmi certifikátov ako sú napr. CISA, CISM, CISSP
- audit súladu s požiadavkami (rozdielové analýzy)
- bezpečnostných štandardov a noriem (ISO 27001/27002, ISO 22301, …)
- legislatívy v oblasti bezpečnosti (GDPR, zákon o kybernetickej bezpečnosti, zákon o informačných technológiách verejnej správy…)
- výkon interných auditov systému manažérstva informačnej bezpečnosti certifikovanými audítormi
Plánovanie kontinuity činností v organizácii
Plánovanie kontinuity činností je základným predpokladom pre zvládnutie mimoriadnych udalostí a pre zabezpečenie ochrany dôležitých aktív organizácie. V rámci tejto oblasti poskytujeme:
- zavedenie systému riadenia kontinuity podnikania v súlade s ISO 22301
- plánovanie kontinuity činností v organizácii, resp. na úrovni informačného systému
- vypracovanie analýzy dopadov (BIA)
- vypracovanie politiky a stratégie obnovy
- vypracovanie plánov obnovy (DRP)
- Vypracovanie havarijných plánov (BCP)
- testovanie BCP/DRP
- metodická podpora pre plánovanie kontinuity činností organizácie
Plánovanie kontinuity činností v organizácii
Plánovanie kontinuity činností je základným predpokladom pre zvládnutie mimoriadnych udalostí a pre zabezpečenie ochrany dôležitých aktív organizácie. V rámci tejto oblasti poskytujeme:
- zavedenie systému riadenia kontinuity podnikania v súlade s ISO 22301
- plánovanie kontinuity činností v organizácii, resp. na úrovni informačného systému
- vypracovanie analýzy dopadov (BIA)
- vypracovanie politiky a stratégie obnovy
- vypracovanie plánov obnovy (DRP)
- Vypracovanie havarijných plánov (BCP)
- testovanie BCP/DRP
- metodická podpora pre plánovanie kontinuity činností organizácie
Vypracovávanie bezpečnostných projektov
Bezpečnostné projekty sú zvyčajne súborom aktivít smerujúcich k riešeniu bezpečnosti daného systému, služby alebo celej organizácie. Ich výstupom je zvyčajne súbor bezpečnostnej dokumentácie, ktorého rozsah definuje cieľ, ktorý má byť bezpečnostným projektom naplnený alebo samotná legislatíva. V tejto oblasti poskytujeme vypracovanie:
- komplexných bezpečnostných projektov riešiacich návrh bezpečnosti v rámci organizácie alebo pre vyvíjané systémy
- bezpečnostných projektov na ochranu osobných údajov
- bezpečnostných projektov v súlade s požiadavkami zákona o informačných technológiách verejnej správy
Vypracovávanie bezpečnostných projektov
Bezpečnostné projekty sú zvyčajne súborom aktivít smerujúcich k riešeniu bezpečnosti daného systému, služby alebo celej organizácie. Ich výstupom je zvyčajne súbor bezpečnostnej dokumentácie, ktorého rozsah definuje cieľ, ktorý má byť bezpečnostným projektom naplnený alebo samotná legislatíva. V tejto oblasti poskytujeme vypracovanie:
- komplexných bezpečnostných projektov riešiacich návrh bezpečnosti v rámci organizácie alebo pre vyvíjané systémy
- bezpečnostných projektov na ochranu osobných údajov
- bezpečnostných projektov v súlade s požiadavkami zákona o informačných technológiách verejnej správy
Zavádzanie systémov manažérstva informačnej bezpečnosti
Riadenie informačnej bezpečnosti v súlade s bezpečnostnými štandardami by malo byť základným cieľom každej organizácie na to, aby riadila bezpečnosť efektívnym spôsobom. V rámci tejto oblasti poskytujeme nasledovné služby:
- zavedenie systému manažérstva v súlade s požiadavkami ISO 27001 „na kľúč“ alebo poskytnutie cielenej podpory pri jeho zavádzaní
- výkon predauditu a zhodnotenie pripravenosti na certifikačný audit
- výkon interných auditov
- outsourcing manažéra informačnej bezpečnosti / metodická a znalostná podpora manažéra informačnej bezpečnosti
Zabezpečenie ochrany osobných údajov
Pod skratkou GDPR (General Data Protection Regulation) sa skrýva nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, ktoré v členských štátoch EÚ nadobudlo účinnosť 25. 5. 2018. V podmienkach SR sa premietlo do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Ochrana osobných údajov pri ich spracúvaní musí byť zabezpečená na úrovni nastavených procesov a dokumentácie, ako aj na úrovní implementovaných technických opatrení. V tejto oblasti poskytujeme služby skúsenými konzultantmi, ktorí sú podporovaní špecialistami v oblasti ochrany osobných údajov s právnym vzdelaním.
- posúdenia a vypracovania analýzy súladu s požiadavkami legislatívy v oblasti ochrany osobných údajov
- návrh opatrení na zabezpečenie súladu s požiadavkami legislatívy v oblasti ochrany osobných údajov
- podpora pri plnení požiadaviek legislatívy v oblasti ochrany osobných údajov
- vypracovanie bezpečnostných smerníc
- vypracovanie záznamov o spracovateľských činnostiach
- vypracovanie informačných povinností
- vypracovanie poučení oprávnených osôb
- posúdenie vplyvu spracúvania osobných údajov
- posúdenie oprávneného záujmu (vykonanie balančných testov pre spracovateľské činnosti)
- posúdenie a návrh zmluvných ustanovení
- vypracovanie komplexných bezp.projektov na ochranu osobných údajov
- školenie a vzdelávanie v oblasti ochrany osobných údajov
- outsourcing DPO, resp. metodická a znalostná podpora DPO
Zabezpečenie ochrany osobných údajov
Pod skratkou GDPR (General Data Protection Regulation) sa skrýva nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 pre ochranu osobných údajov, ktoré v členských štátoch EÚ nadobudlo účinnosť 25. 5. 2018. V podmienkach SR sa premietlo do osobitného zákona č. 18/2018 Z. z. o ochrane osobných údajov.
Ochrana osobných údajov pri ich spracúvaní musí byť zabezpečená na úrovni nastavených procesov a dokumentácie, ako aj na úrovní implementovaných technických opatrení. V tejto oblasti poskytujeme služby skúsenými konzultantmi, ktorí sú podporovaní špecialistami v oblasti ochrany osobných údajov s právnym vzdelaním.
- posúdenia a vypracovania analýzy súladu s požiadavkami legislatívy v oblasti ochrany osobných údajov
- návrh opatrení na zabezpečenie súladu s požiadavkami legislatívy v oblasti ochrany osobných údajov
- podpora pri plnení požiadaviek legislatívy v oblasti ochrany osobných údajov
- vypracovanie bezpečnostných smerníc
- vypracovanie záznamov o spracovateľských činnostiach
- vypracovanie informačných povinností
- vypracovanie poučení oprávnených osôb
- posúdenie vplyvu spracúvania osobných údajov
- posúdenie oprávneného záujmu (vykonanie balančných testov pre spracovateľské činnosti)
- posúdenie a návrh zmluvných ustanovení
- vypracovanie komplexných bezp.projektov na ochranu osobných údajov
- školenie a vzdelávanie v oblasti ochrany osobných údajov
- outsourcing DPO, resp. metodická a znalostná podpora DPO
Zabezpečenie súladu s legislatívou v oblasti informačnej a kybernetickej bezpečnosti
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej iba „ZoKB“) upravuje organizáciu, pôsobnosť a povinnosti v oblasti kybernetickej bezpečnosti a ustanovuje aj minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. Tento zákon sa týka všetkých prevádzkovateľov základných služieb, ktorými sú okrem orgánov verejnej moci aj organizácie, ktoré poskytujú služby napr. v oblastiach bankovníctva (úverové inštitúcie), dopravy (cestná, letecká, železničná a vodná), energetiky (baníctvo, plynárenstvo, tepelná energetika a pod.), poštových služieb, zdravotnej starostlivosti, priemyslu (farmaceutický, hutnícky, chemicky, inteligentný), digitálnych služieb, kritickej infraštruktúry, ako aj prevádzkovateľov digitálnych služieb ktorými sú napr. online trhoviská, internetové vyhľadávače alebo poskytovatelia cloud computingových služieb.
V tejto oblasti poskytujeme nasledovné služby:
- audit kybernetickej bezpečnosti
- rozdielové analýzy voči požiadavkám ZoKB a ZoITVS
- návrh opatrení na zabezpečenie súladu s požiadavkami ZoKB a ZoITVS
- zabezpečenie metodickej a praktickej podpory pri plnení požiadaviek ZoKB a ZoITVS
- vypracovanie stratégie kybernetickej bezpečnosti, bezpečnostných politík a bezpečnostných smerníc
- vypracovanie analýzy rizík
- inventarizácia a klasifikácia informácií a kategorizácia sietí a IS podporujúcich základné služby
- plánovanie kontinuity činnosti základných služieb
- vypracovanie komplexných bezp.projektov na zabezpečenie kybernetickej bezpečnosti organizácie alebo určených informačných systémov a sietí
- outsourcing manažéra kybernetickej bezpečnosti, resp. metodická a znalostná podpora manažéra kybernetickej bezpečnosti
Zabezpečenie súladu s legislatívou v oblasti informačnej a kybernetickej bezpečnosti
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej iba „ZoKB“) upravuje organizáciu, pôsobnosť a povinnosti v oblasti kybernetickej bezpečnosti a ustanovuje aj minimálne požiadavky na zabezpečenie kybernetickej bezpečnosti. Tento zákon sa týka všetkých prevádzkovateľov základných služieb, ktorými sú okrem orgánov verejnej moci aj organizácie, ktoré poskytujú služby napr. v oblastiach bankovníctva (úverové inštitúcie), dopravy (cestná, letecká, železničná a vodná), energetiky (baníctvo, plynárenstvo, tepelná energetika a pod.), poštových služieb, zdravotnej starostlivosti, priemyslu (farmaceutický, hutnícky, chemicky, inteligentný), digitálnych služieb, kritickej infraštruktúry, ako aj prevádzkovateľov digitálnych služieb ktorými sú napr. online trhoviská, internetové vyhľadávače alebo poskytovatelia cloud computingových služieb.
V tejto oblasti poskytujeme nasledovné služby:
- audit kybernetickej bezpečnosti
- rozdielové analýzy voči požiadavkám ZoKB a ZoITVS
- návrh opatrení na zabezpečenie súladu s požiadavkami ZoKB a ZoITVS
- zabezpečenie metodickej a praktickej podpory pri plnení požiadaviek ZoKB a ZoITVS
- vypracovanie stratégie kybernetickej bezpečnosti, bezpečnostných politík a bezpečnostných smerníc
- vypracovanie analýzy rizík
- inventarizácia a klasifikácia informácií a kategorizácia sietí a IS podporujúcich základné služby
- plánovanie kontinuity činnosti základných služieb
- vypracovanie komplexných bezp.projektov na zabezpečenie kybernetickej bezpečnosti organizácie alebo určených informačných systémov a sietí
- outsourcing manažéra kybernetickej bezpečnosti, resp. metodická a znalostná podpora manažéra kybernetickej bezpečnosti
Školenia v oblasti informačnej a kybernetickej bezpečnosti
Naši experti ponúkajú klientom školenia zamerané na informačnú a kybernetickú bezpečnosť, legislatívu v tejto oblasti a iné špecificky zamerené školenia.
