Kyberbezpečnostní audit pro obce
Víte, kde má vaše obec v kyberbezpečnosti největší slabiny? Zastaralé systémy, sdílená hesla, zálohy bez testu, nejasné odpovědnosti. Přesně s tímto se úřady potýkají nejčastěji a přesně s tím pomáháme. Právě běží 120. výzva IROP na kybernetickou bezpečnost. Pro obce, ORP, školy i příspěvkové organizace.
Nezávazně poptat auditChcete se nás na něco zeptat?
Ing. Jiří Jedlička, Ph. D.
Napište nebo zavolejte, ochotně zodpovíme vaše dotazy
4 klíčové přínosy služby
Znáte svá slabá místa
Audit odhalí konkrétní bezpečnostní mezery v technologiích, procesech i u lidí. Nedefinuje obecné riziko, ale přesně to, co hrozí vaší organizaci.
Víte, co řešit jako první
Výstupy (risk register a implementační plán) jasně říkají, co je kritické hned, co může počkat a co je investice na delší dobu.
Jste připraveni na incident
Audit prověří, zda máte nastavené postupy pro případ útoku nebo výpadku (kdo co dělá, jak fungují zálohy a zda je organizace schopna rychle obnovit provoz).
Získáte nezávislý pohled zvenčí
Interní IT tým vidí systémy každý den a snadno přehlédne slepá místa. Nezávislý auditor přinese objektivní hodnocení bez provozní slepoty.
Co je kyberbezpečnostní audit?
Kyberbezpečnostní audit je nezávislé odborné posouzení toho, jak vaše organizace nakládá s informacemi, systémy a přístupy k nim. Nezaměřuje se jen na techniku. Prochází celou organizaci: jak jsou nastaveny uživatelské účty a přístupy, jak fungují zálohy, co se stane při výpadku nebo útoku a kdo za co odpovídá.
V praxi to znamená, že auditor projde vaši síť, servery, klíčové agendy a cloudové služby, ale stejnou pozornost věnuje procesům a lidem. Kdo schvaluje nové přístupy? Jak se postupuje při podezřelém e-mailu? Testujete zálohy? Víte, co dělat, když systém odejde v pondělí ráno?
Na konci dostanete jasný přehled: co funguje, co je riziko a co je třeba řešit jako první.
Rozsah auditu
Audit prochází všechny klíčové oblasti kybernetické bezpečnosti relevantní pro obecní prostředí.
Fyzická bezpečnost
Stanovení základních požadavků a principů pro zajištění bezpečnosti informací z pohledu fyzické bezpečnosti (ochrana proti odcizení, poškození, zneužití).
Stanovení základních požadavků a principů pro zajištění bezpečnosti informací z pohledu fyzické bezpečnosti (ochrana proti odcizení, poškození, zneužití).
Přístupy a účty
Stanovení pravidel na procesy evidence, přidělování a odebírání přístupových oprávnění. Specifikace politiky a parametrů pro hesla, vícefaktorové autentizace.
Požadavky v oblasti ochrany před škodlivým kódem
Snížení pravděpodobnosti napadení a minimalizace dopadů v případě napadení škodlivým kódem.
Kybernetické bezpečnostní události a incidenty
Stanovení postupů při vzniku nestandardní situace, včetně stanovení eskalačního procesu uvnitř organizace a auditních požadavků (logování).
Stanovení postupů při vzniku nestandardní situace, včetně stanovení eskalačního procesu uvnitř organizace a auditních požadavků (logování).
Požadavky v oblasti aplikační bezpečnosti
Stanovení základních požadavků a principů pro oblast aplikační bezpečnosti a jejího testování.
Stanovení základních požadavků a principů pro oblast aplikační bezpečnosti a jejího testování.
Kryptografické prostředky
Šifrování disků a externích USB, ukládání hesel.
Šifrování disků a externích USB, ukládání hesel.
Požadavky v oblasti zajišťování úrovně dostupnosti informací
Zajištění dostupnosti informačního nebo komunikačního systému a dat.
Zajištění dostupnosti informačního nebo komunikačního systému a dat.
Požadavky v oblasti cloudových služeb
Zajištění kybernetické bezpečnosti při využívání cloudových služeb.
Zajištění kybernetické bezpečnosti při využívání cloudových služeb.
Další požadavky jako výjimky běhu, ochrana webových stránek, aplikací a komunikačních systémů.
Bezpečnostní politiky a dokumentace
Vytvoření dokumentů pro udržování bezpečnosti (např. plán kontinuity činností).
Vytvoření dokumentů pro udržování bezpečnosti (např. plán kontinuity činností).
Jak audit probíhá?
Příprava: Před zahájením auditu si společně upřesníme rozsah. Jinak vypadá audit malé obce s jedním správcem, jinak připravenostní audit ORP s více příspěvkovými organizacemi.
Sběr dat: Auditorský tým provede řízené rozhovory s klíčovými osobami (IT správce, tajemník, vedoucí odborů), projde technickou dokumentaci, konfiguraci sítě a systémů, nastavení přístupů, zálohování a bezpečnostní dokumentaci.
Vyhodnocení: Zjištěné informace porovnáme s požadavky legislativy, doporučeními NÚKIB a osvědčenými bezpečnostními standardy. Každý nález hodnotíme podle závažnosti a pravděpodobnosti dopadu.
Výstupy: Obdržíte auditní zprávu, přehled rizik (risk register) a implementační plán s prioritizací.
Výstupy
Auditní zpráva
Strukturovaný dokument zachycující stav jednotlivých oblastí bezpečnosti, zjištěné nedostatky a jejich hodnocení. Je podkladem pro interní práci IT a pro přípravu projektové dokumentace.
Strukturovaný dokument zachycující stav jednotlivých oblastí bezpečnosti, zjištěné nedostatky a jejich hodnocení. Je podkladem pro interní práci IT a pro přípravu projektové dokumentace.
Risk register (přehled rizik)
Přehledný seznam identifikovaných rizik s hodnocením závažnosti, pravděpodobnosti dopadu a doporučením priorit.
Přehledný seznam identifikovaných rizik s hodnocením závažnosti, pravděpodobnosti dopadu a doporučením priorit.
Implementační plán (roadmapa)
Akční přehled doporučených opatření s rozdělením na kroky, které je třeba udělat ihned, kroky plánované v horizontu měsíců a investiční záměry na delší období. Obsahuje orientační rámec nákladů pro potřeby rozpočtování.
Akční přehled doporučených opatření s rozdělením na kroky, které je třeba udělat ihned, kroky plánované v horizontu měsíců a investiční záměry na delší období. Obsahuje orientační rámec nákladů pro potřeby rozpočtování.
Připraveni pomáhat
ve veřejném sektoru
Ozvěte se mi. Jsem tu pro vás.
Jiří Jedlička
Napište nebo zavolejte, ochotně zodpovíme vaše dotazy
Aktuální témata na váš e-mail
Pravidelná dávka informací o novinkách, projektech či kurzech na váš e-mail.
Přihlášením odběru novinek souhlasíte s podmínkami ochrany osobních údajů
Kdo tuto službu využil
Martin Vokřál
jednatel společnost ASITIS
Jsme připraveni ke spolupráci
Stačí se nám jen ozvat a rádi vám pomůžeme s některou z našich služeb
Martin Vokřál
jednatel společnost ASITIS
