Externý manažér kybernetickej bezpečnosti (v CISO)
V rámci implementácie procesov informačnej a kybernetickej bezpečnosti je potrebné v menších i väčších organizáciách zriadiť a obsadiť pozíciu Manažéra kybernetickej bezpečnosti, ktorého povinnosti sú definované zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (zákon o KB)1. Organizácia môže túto pozíciu obsadiť interným zamestnancom alebo činnosti pokryť externým subjektom na základe zmluvy.
Gordias pre vašu organizáciu zabezpečí komplexné pokrytie činností manažéra kybernetickej bezpečnosti (MKB). Naši zamestnanci úspešne absolvovali skúšku podľa certifikačnej schémy NBÚ SR a sú pre výkon MKB certifikovaní.
Hlavné kompetencie a zodpovednosti MKB podľa vyhlášky NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení sú:
- má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
- zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
- je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií,
- spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu.
Gordias vie v rámci svojich služieb kvalifikovane pokryť činnosti pozície manažéra kybernetickej bezpečnosti (v rozsahu podľa dohody) vo forme outsourcingu.
V rámci externého zabezpečenia tejto pozície Vám ponúkame plnenie úloh manažéra kybernetickej bezpečnosti vo forme poskytovania poradenských a asistenčných služieb najmä v nasledujúcom rozsahu:
V rámci externého zabezpečenia tejto pozície Vám ponúkame plnenie úloh manažéra kybernetickej bezpečnosti vo forme poskytovania poradenských a asistenčných služieb najmä v nasledujúcom rozsahu:
- východiskové vyhodnotenie súčasného stavu v organizácii – existujúcej internej dokumentácie a procesov z pohľadu súladu so zákonom o KB (napr. formou rozdielovej - Gap analýzy),
- vyhodnotenie identifikačných kritérií prevádzkovanej služby a asistencia pri registrácii základnej služby,
- dekompozícia základnej služby na aktíva,
- realizácia klasifikácie informácií a kategorizácie informačných systémov,
- vykonanie analýzy rizík podľa legislatívnych a normatívnych požiadaviek (identifikácia aktív, hrozieb, zraniteľností, rizikových scenárov, vyhodnotenie rizík) vrátane komplexného návrhu bezpečnostných opatrení špecifických pre organizáciu,
- vytvorenie bezpečnostnej stratégie kybernetickej bezpečnosti podľa vyhlášky NBÚ č. 362/2018,
- príprava/aktualizácia komplexnej sady interných predpisov (politík, štandardov i smerníc) riadenia kybernetickej bezpečnosti podľa požiadaviek vyhlášky NBÚ č. 362/2018,
- vykonanie analýzy dopadov (BIA) kľúčových procesov organizácie, ich závislostí a parametrov potrebných na návrh scenárov obnovy po havárii,
- podpora pri príprave na povinný audit podľa zákona o KB a súčinnosť počas auditu,
- podpora pri zaškolení zamestnancov v oblasti informačnej a kybernetickej bezpečnosti,
- podpora a poradenstvo pri aplikovaní bezpečnostných opatrení požadovaných zákonom o KB a vyhláškou NBÚ č. 362/2018.
V rámci výkonu služieb môže externý manažér kybernetickej bezpečnosti zabezpečovať pre vašu organizáciu aj ďalšie činnosti:
- koncepčný návrh a riadenie informačnej a kybernetickej bezpečnosti organizácie,
- návrh požiadaviek na rozpočet a na iné zdroje súvisiace s bezpečnostnými opatreniami a procesmi,
- koordinácia implementácie technických a organizačných bezpečnostných opatrení, dohľad nad integráciou bezpečnostných technológií do prostredia organizácie,
- dohľad nad udržateľnosťou organizačných opatrení vrátane vyspelosti bezpečnostných procesov,
- zabezpečenie riadneho chodu procesov riadenia rizík informačnej a kybernetickej bezpečnosti v organizácii,
- návrh rozvoja a optimalizácie implementovaných bezpečnostných riešení,
- podpora riadenia bezpečnostnej architektúry organizácie, vypracúvanie odborných stanovísk k novým zmenám v IT infraštruktúre organizácie,
- podpora procesu riadenia informačných aktív organizácie (IT asset management),
- podpora pri implementácii procesov riadenia kontinuity činností a spracovaní havarijných plánov,
- účasť na procese hodnotenia technických zraniteľností používaných aplikácií a IS,
- podpora pri procesoch detekcie, riešenia a prevencie kybernetických bezpečnostných incidentov,
- koordinácia procesov budovania bezpečnostného povedomia pre oblasť informačnej a kybernetickej bezpečnosti,
- vyhodnocovanie miery implementácie vnútorných predpisov súvisiacich s KB v praxi,
- súčinnosť pri externom audite informačnej a kybernetickej bezpečnosti.
V prípade potreby vieme v spolupráci s našimi partnermi zabezpečiť aj návrh a implementáciu komplexných i špecifických technických opatrení.
Je na uvážení každej organizácie, či sa rozhodne pokryť činnosti manažéra kybernetickej bezpečnosti internými zamestnancami alebo výkon MKB pokryje dodávateľsky certifikovaným MKB a jeho externým tímom. Špecialisti spoločnosti Gordias zabezpečia kompetentné pokrytie činností MKB, vyriešia otázku zastupiteľnosti a oddelenia rolí interných zamestnancov, ako aj požiadavku nezávislosti danej pozície. V prípade, že máte o túto službu záujem, kontaktujte nás na info@gordias.sk.
1/ Povinnosti MKB určujú aj ďalšie právne predpisy, napr. vyhláška č. 179/2020 Z. z. Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy