Zajištění kybernetické bezpečnosti v organizaci - náplň a přínosy jednotlivých úrovní
27. 10. 2015 | Elektrotechnický zkušební ústav, s.p. | www.ezu.cz
Kybernetická bezpečnost pro organizaci znamená zajištění ochrany před velkými finančními ztrátami či poškozením aktiv organizace při realizaci bezpečnostních incidentů, popř. zmenšení dopadu takové realizace. Přináší ale také zkvalitnění a zrychlení procesů v organizaci (zvláště týkajících se IT služeb) a efektivní vynaložení nákladů na zajištění kybernetickou bezpečnost
Úroveň 1 – bronzová certifikace kybernetické bezpečnosti
Cílem a zároveň přínosem první – bronzové – úrovně je zajištění základních požadavků kybernetické bezpečnosti (dále jen KB), a to napříč celou organizací. Ve výsledku to pro organizaci znamená zajištění ochrany před velkými finančními ztrátami či poškozením aktiv organizace při realizaci určité hrozby (bezpečnostním incidentu), popř. zmenšení dopadu takové realizace. Přináší ale také zkvalitnění a zrychlení procesů v organizaci (zvláště týkajících se IT služeb) a efektivní vynaložení nákladů na zajištění KB. Pro dosažení takového stavu je zapotřebí několika kroků:
- Provedení pre-auditu – zjištění aktuální situace a nedostatků v kybernetickém zabezpečení (dále jen KZ). Pokud má organizace již z minulosti certifikát pro některou část produktu a projde pre-auditem v této oblasti bez zjištěného nedostatku, bude tato část považována za zabezpečenou a při následném kroku 4. se již nebude ověřovat.
- Osobní certifikace – školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustálé zlepšování KB v rámci organizace.
- Implementace požadavků platných mezinárodních standardů a legislativy zaměřujících se na KB pro zajištění základní úrovně KZ (Zákon o kybernetické bezpečnosti, ČSN ISO/IEC 27001 a ČSN ISO/IEC 20000); včetně zajištění potřebného hardware a software.
- Pro poskytovatele cloudových služeb pracujícími s osobními údaji školení k ČSN ISO/IEC 27001 - ISO/IEC 27018
- Ověřování a následná certifikace základního KZ podle platných mezinárodních standardů a legislativy související s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou).
Zakončeno ziskem bronzového certifikátu Certifikovaná kybernetická bezpečnost.
První úroveň se vyznačuje čistě systémovým pohledem a představuje odrazový můstek k důkladnému zajištění KB dosahovaného v úrovních 2 a 3. Tato úroveň se soustředí na zavedení a kontrolu základních procesů nutných k vytvoření KZ, např.:
- řízení rizik
- řízení hrozeb a zranitelností
- příprava a realizace bezpečnostních opatření
- neustálé zlepšování
Úroveň 2 – stříbrná certifikace kybernetické bezpečnosti
Druhá – stříbrná – úroveň kybernetické bezpečnosti se vyznačuje přechodem z čistě systémového pohledu na KB na pohled zahrnující také bezpečnost software, sítí a úložišť dodavatelského řetězce a bezpečnostní testy. I samotný systémový pohled je pro další navýšení KZ organizace rozšířen. Druhá úroveň navazuje na úroveň první, proto dochází k uvolnění prvního kroku, rozšíření požadavků a činností v krocích následujících a přidání jednoho kroku nového. V návaznosti k přínosům první úrovně produktu se v této úrovni přidává KZ dodavatelského řetězce organizace a jednotlivých částí IT infrastruktury organizace. Přináší také ještě větší efektivitu při uvolňování nákladů na KZ (ISO/IEC 27016).
- Osobní certifikace – rozšířené školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustále zlepšování KB v rámci organizace. Možnost získání osobního certifikátu ITIL Foundation.
- Implementace požadavků platných mezinárodních standardů zaměřujících se na KB pro zajištění střední úrovně KZ (ČSN ISO 22301, ČSN ISO/IEC 12207, ISO/IEC 27040, ISO/IEC 27033, ISO/IEC 27036 a ISO/IEC 15443); včetně zajištění potřebného hardware a software.
- Provádění bezpečnostních testů – basic.
- Ověřování a následná certifikace střední úrovně KZ podle platných mezinárodních standardů souvisejících s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou).
Zakončeno ziskem stříbrného certifikátu Certifikovaná kybernetická bezpečnost.
Realizovat tuto úroveň je možné pouze po úspěšné certifikaci první úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí minimálně 1 roku od vydání bronzového certifikátu Certifikovaná kybernetická bezpečnost.
Úroveň 3 – zlatá certifikace kybernetické bezpečnosti
Třetí – zlatá – úroveň kybernetické bezpečnosti navazuje na úroveň předešlou a představuje nejhlubší pohled na KB. Tento pohled zahrnuje konkrétní bezpečnostní komponenty a podrobněji pohlíží také na bezpečnost software a bezpečnostní testy. Nově se objevuje zaměření také na bezpečnost hardware a firmware. Díky tomu dochází k zajištění nejvyšší možné úrovně KZ. Tento detailní pohled je tvořen především platným mezinárodním standardem ČSN ISO/IEC 15408 (Common Criteria) a k němu se vážících standardů.
- Osobní certifikace – rozšířené školení a následná certifikace interního pracovníka/ů organizace, zodpovědného/ých za implementaci, údržbu a neustále zlepšování KB v rámci organizace. Důležitou součástí je zaměření na mezinárodní standardy ISO/IEC 18045 a ISO/IEC TR 20004. Po ověření znalosti metodiky hodnocení bezpečnosti IT právě podle těchto mezinárodních standardů a následném udělení osobního certifikátu, může pracovník/ci organizace provádět interní hodnocení bezpečnosti IT (podle ČSN ISO/IEC 15408).
- Možnost získání osobního certifikátu ITIL Intermediate.
- Implementace požadavků platných mezinárodních standardů zaměřujících se na KB pro zajištění vysoké úrovně KZ (ČSN ISO/IEC 15408, ISO/IEC TR 19791, ISO/IEC 14764, ČSN ISO 16363); včetně zajištění potřebného hardware a software.
- Provádění bezpečnostních testů – advanced.
- Ověřování a následná certifikace vysoké úrovně KZ podle platných mezinárodních standardů souvisejících s KB. Provedení auditu nezávislou třetí stranou (certifikační autoritou). ¨
Zakončeno ziskem zlatého certifikátu Certifikovaná kybernetická bezpečnost.
Realizovat tuto úroveň je možné pouze po úspěšné certifikaci druhé úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí minimálně 1 roku od vydání stříbrného certifikátu Certifikovaná kybernetická bezpečnost.
Tiskové materiály EZÚ s.p.
Elektrotechnický zkušební ústav, s.p.
Pod Lisem 129
Praha 8 – Troja
171 02
www.ezu.cz