KYBEZ

CSA

Softwarový nástroj CSA je vyvíjen společností GORDIC spol. s r.o. již 6 let. Dnes přichází na trh jeho druhá verze CSA 2.0. Ta v sobě skrývá nové funkcionality, vyšší efektivitu práce, pokročilejší reporting, zvýšenou uživatelskou přívětivost a moderní UI/UX.

CSA 2.0 obsahuje hned několik funkčních metodik pro řízení rizik. Základním pilířem je metodika vycházející z vyhlášky 82/2018 Sb. Vyhláška o kybernetické bezpečnosti. Na ni navazuje metodika norem řady ISO 27000, směrnice NIS2 i nařízení DORA.

Jazykově je CSA 2.0 v českém, slovenském a anglickém překladu. Měl by si s ním rozumět tedy téměř každý.

NIS2

NIS2, které přineslo a přináší mnoho otázek, je téma samo o sobě. Naštěstí v ČR bylo na čem stavět a formou novelizace zákona a souvisejících vyhlášek budou požadavky NIS2 transponovány do národní legislativy. Největší dosah by změny měly mít na rozsah povinných subjektů, které se budou tímto zákonem nově řídit. Očekávají se čísla v řádů tisíců.

Nedostatek kvalifikovaných pracovníků, jako jsou manažeři kybernetické bezpečnosti, architekti kybernetické bezpečnosti, konzultanti, auditoři a další bezpečnostní role, z toho dělá poměrně odstrašující a žhavé téma.

Kompletní téma řízení kybernetické bezpečnosti a implementace bezpečnostních opatření by měla vycházet z analýzy rizik. Ta by měla být aktuální, přesná, opakovatelná. Je tedy jasné, že v určitých případech bude nutné najít softwarový nástroj, který odpovědným lidem v organizacích tyto činnosti zkrátí a bude pro ně rutinním pomocníkem. „Kybernetická bezpečnost není jen legislativní povinnost, ale existenční nutnost.“

Popis a ukázka CSA

Jak se s tím vším vypořádat? CSA by mělo přinést odpovědi, „aneb konec excelovým tabulkám“

Nástroj byl navržen tak, aby uživatelům zjednodušil co nejvíce práci a byl pro ně uchopitelný, přesný a pohodlný. CSA obsahuje spousty dat, které jsou obsaženy formou předdefinovaných datových sad. Svou strukturou uživatele dovede jistě až tam, kam až potřebují. To je vyhotovená analýza rizik včetně navržených bezpečnostních opatření. Vše funguje v reálném čase s jednoznačnými přístupovými oprávněními, logováním přístupů, bezpečným přihlášením, logováním změn a dalšími automatizovanými prvky. Reporting a monitoring jsou součástí základního řešení CSA. Tyto faktory poté přinášejí spousty vstupů do procesů rozhodování managementu o financování nápravných bezpečnostních opatření.

Co si představit pod strukturou CSA:

• Definice hrozeb a zranitelnosti

Identifikace názvu hrozby či zranitelnosti včetně jejího popisu a tagování. Velký benefit je před-hodnocení jednotlivých hrozeb a zranitelností pro budoucí zjednodušení komplexního hodnocení rizik.

• Registr rizik

Napárovaní rizika na typová aktiva jako např.: Software, Hardware apod.

• Identifikace aktiv

Definice kompletních primárních, podpůrných aktiv včetně veškerých souvisejících informací (hodnocení dopadu aktiva, párování rizik z registru apod.) i vlastně vydefinovaných atributů.

• Mapa aktiv

Prezentace vazeb mezi primárními a podpůrnými aktivy formou vizuálního pohledu.

• Hodnocení a řízení rizik

Hodnocení všech definovaných bezpečnostních rizik na aktivech automatizovanou nebo ruční metodou.

• Definice opatření pro snížení rizik

Definice bezpečnostních nápravných opatření pro snížení identifikovaných rizik.

• Plán zvládání rizik

Řízení všech navržených bezpečnostních opatření.

• Reporting

Prezentace pro management.

• Monitoring

Auditování konkrétních aktiv, rizik, opatření, POA včetně notifikování.

• Prohlášení o aplikovatelnosti

Provedení Self-auditu s ohledem na plnění legislativních požadavků. (ZoKB, VoKB, ISO27001, DORA)

• Hodnocení dodavatelů

Analýza dodavatelského řetězce včetně jednotlivých dodávek aktiv.

• Evidence bezpečnostních událostí/incidentů

Zaevidování bezpečnostních událostí/incidentů včetně všech potřebných informací.

• Plány kontinuity

Realizace a definice plánů „Co dělat, když nastane daný problém“.

• Auditní log

Komplexní pohled na změny včetně filtrování.

Vývoj CSA probíhá kontinuálně a agilně. Tým společnosti GORDIC spol. s r.o., který za vývojem stojí, sbírá zákaznické podněty, a ty které vyhodnotí jako přínos pro produkt, jsou následně implementovány a zpřístupněny všem zákazníkům a uživatelům.

Zákazníků, kterým dnes CSA přináší něco víc, jsou stovky.

Více je možné se dozvědět na produktovém webu www.gordiccybersec.cz/csa