Pokračujeme v díle těch,
kteří byli první.

Aktuální vydání

Číslo 2/2020 vyšlo tiskem 12. 2. 2020. V elektronické verzi na webu 12. 3. 2020. 

Téma: Elektrické přístroje; Internet věcí; Zdravotnická technika

Hlavní článek
Monitorování obsazenosti prostor inteligentní budovy

Číslo 1/2020 vyšlo tiskem 3. 2. 2020. V elektronické verzi na webu 3. 3. 2020.

Veletrhy a výstavy
Pozvánka na Light+Building 2020 – doprovodný program
Veletrh Prolight+Sound slaví 25. narozeniny
FOR CITY 2020 se představí v souběhu s veletrhem FOR ARCH

Svítidla a světelné přístroje
Moderní trendy automobilových světlometů

Aktuality

Týmy Formula Student z ČVUT budou mít premiéru na okruhu Formule 1 Yas Marina v Abú Dhabí Týmy mezinárodní soutěže Formula Student z Českého vysokého učení technického v Praze se…

Výstavba 7. bloku JE Tchien-wan s reaktorem VVER-1200 začne už letos Ruská korporace pro atomovou energii Rosatom 20. ledna 2020 uvedla, že výstavbu 7. bloku…

Přístroje ABB pomáhají pěstovat chutná česká rajčata bez pesticidů Dát si v zimě čerstvá zralá rajčata, která by pocházela od lokálních pěstitelů, bylo až…

Česká komora architektů vyhlásila 5. ročník České ceny za architekturu Soutěžní přehlídka je otevřena architektonickým realizacím postaveným na území České…

Více aktualit

Zajištění kybernetické bezpečnosti v organizaci - náplň a přínosy jednotlivých úrovní

27.10.2015 | Elektrotechnický zkušební ústav, s.p. | www.ezu.cz

Kybernetická bezpečnost pro organizaci znamená zajištění ochrany před velkými finančními ztrátami či poškozením aktiv organizace při realizaci bezpečnostních incidentů, popř. zmenšení dopadu takové realizace. Přináší ale také zkvalitnění a zrychlení procesů v organizaci (zvláště týkajících se IT služeb) a efektivní vynaložení nákladů na zajištění kybernetickou bezpečnost 

Úroveň 1 – bronzová certifikace kybernetické bezpečnosti

Cílem a zároveň přínosem první – bronzové – úrovně je zajištění základních požadavků kybernetické bezpečnosti (dále jen KB), a to napříč celou organizací. Ve výsledku to pro organizaci znamená zajištění ochrany před velkými finančními ztrátami či poškozením aktiv organizace při realizaci určité hrozby (bezpečnostním incidentu), popř. zmenšení dopadu takové realizace. Přináší ale také zkvalitnění a zrychlení procesů v organizaci (zvláště týkajících se IT služeb) a efektivní vynaložení nákladů na zajištění KB. Pro dosažení takového stavu je zapotřebí několika kroků: 

  1. Provedení pre-auditu – zjištění aktuální situace a nedostatků v kybernetickém zabezpečení (dále jen KZ). Pokud má organizace již z minulosti certifikát pro některou část produktu a projde pre-auditem v této oblasti bez zjištěného nedostatku, bude tato část považována za zabezpečenou a při následném kroku 4. se již nebude ověřovat.
  2. Osobní certifikace – školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustálé zlepšování KB v rámci organizace.
  3. Implementace požadavků platných mezinárodních standardů a legislativy zaměřujících se na KB pro zajištění základní úrovně KZ (Zákon o kybernetické bezpečnosti, ČSN ISO/IEC 27001 a ČSN ISO/IEC 20000); včetně zajištění potřebného hardware a software.
  4. Pro poskytovatele cloudových služeb pracujícími s osobními údaji školení k ČSN ISO/IEC 27001 - ISO/IEC 27018
  5. Ověřování a následná certifikace základního KZ podle platných mezinárodních standardů a legislativy související s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou). 

Zakončeno ziskem bronzového certifikátu Certifikovaná kybernetická bezpečnost. 

První úroveň se vyznačuje čistě systémovým pohledem a představuje odrazový můstek k  důkladnému zajištění KB dosahovaného v úrovních 2 a 3. Tato úroveň se soustředí na zavedení a kontrolu základních procesů nutných k vytvoření KZ, např.: 

  • řízení rizik
  • řízení hrozeb a zranitelností
  • příprava a realizace bezpečnostních opatření
  • neustálé zlepšování

Úroveň 2 – stříbrná certifikace kybernetické bezpečnosti

Druhá – stříbrná – úroveň kybernetické bezpečnosti se vyznačuje přechodem z čistě systémového pohledu na KB na pohled zahrnující také bezpečnost software, sítí a úložišť dodavatelského řetězce a bezpečnostní testy. I samotný systémový pohled je pro další navýšení KZ organizace rozšířen. Druhá úroveň navazuje na úroveň první, proto dochází k uvolnění prvního kroku, rozšíření požadavků a činností v krocích následujících a přidání jednoho kroku nového. V návaznosti k přínosům první úrovně produktu se v této úrovni přidává KZ dodavatelského řetězce organizace a jednotlivých částí IT infrastruktury organizace. Přináší také ještě větší efektivitu při uvolňování nákladů na KZ (ISO/IEC 27016). 

  1. Osobní certifikace – rozšířené školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustále zlepšování KB v rámci organizace. Možnost získání osobního certifikátu ITIL Foundation. 
  2. Implementace požadavků platných mezinárodních standardů zaměřujících se na KB pro zajištění střední úrovně KZ (ČSN ISO 22301, ČSN ISO/IEC 12207, ISO/IEC 27040, ISO/IEC 27033, ISO/IEC 27036 a ISO/IEC 15443); včetně zajištění potřebného hardware a software.
  3. Provádění bezpečnostních testů – basic.
  4. Ověřování a následná certifikace střední úrovně KZ podle platných mezinárodních standardů souvisejících s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou). 

Zakončeno ziskem stříbrného certifikátu Certifikovaná kybernetická bezpečnost. 

Realizovat tuto úroveň je možné pouze po úspěšné certifikaci první úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí minimálně 1 roku od vydání bronzového certifikátu Certifikovaná kybernetická bezpečnost.

Úroveň 3 – zlatá certifikace kybernetické bezpečnosti

Třetí – zlatá – úroveň kybernetické bezpečnosti navazuje na úroveň předešlou a představuje nejhlubší pohled na KB. Tento pohled zahrnuje konkrétní bezpečnostní komponenty a podrobněji pohlíží také na bezpečnost software a bezpečnostní testy. Nově se objevuje zaměření také na bezpečnost hardware a firmware. Díky tomu dochází k zajištění nejvyšší možné úrovně KZ. Tento detailní pohled je tvořen především platným mezinárodním standardem ČSN ISO/IEC 15408 (Common Criteria) a k němu se vážících standardů.

  1. Osobní certifikace – rozšířené školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustále zlepšování KB v rámci organizace. Důležitou součástí je zaměření na mezinárodní standardy ISO/IEC 18045 a ISO/IEC TR 20004. Po ověření znalosti metodiky hodnocení bezpečnosti IT právě podle těchto mezinárodních standardů a následném udělení osobního certifikátu, může pracovník/ci organizace provádět interní hodnocení bezpečnosti IT (podle ČSN ISO/IEC 15408).
  • Možnost získání osobního certifikátu ITIL Intermediate. 
  1. Implementace požadavků platných mezinárodních standardů zaměřujících se na KB pro zajištění vysoké úrovně KZ (ČSN ISO/IEC 15408, ISO/IEC TR 19791, ISO/IEC 14764, ČSN ISO 16363); včetně zajištění potřebného hardware a software.
  2. Provádění bezpečnostních testů – advanced.
  3. Ověřování a následná certifikace vysoké úrovně KZ podle platných mezinárodních standardů souvisejících s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou). ¨

 Zakončeno ziskem zlatého certifikátu Certifikovaná kybernetická bezpečnost.

Realizovat tuto úroveň je možné pouze po úspěšné certifikaci druhé úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí minimálně 1 roku od vydání stříbrného certifikátu Certifikovaná kybernetická bezpečnost.

Tiskové materiály EZÚ s.p.

Elektrotechnický zkušební ústav, s.p.

Elektrotechnický zkušební ústav, s.p.
Pod Lisem 129
Praha 8 – Troja
171 02
www.ezu.cz