IT Bezpečnosť / IT Security

KYBERNETICKÁ BEZPEČNOSŤ

Poskytujeme služby v oblasti:

• Audit/GAP analýza informačnej bezpečnosti. Identifikujeme mieru zhody s požiadavkami ZKB č. 69/2018 Z.z. Jej výsledkom je sada odporučení, ktorých cieľom je pripravenosť na zabránenie bezpečnostným incidentom.
• Riadenie informačnej bezpečnosti. Našim cieľom je navrhnúť vnútorné predpisy a procesy riadenia, ktoré čo najviac podporujú podnikateľské ciele organizácie a pomáhajú minimalizovať bezpečnostné riziká v zmysle odporúčaní ISO 27001.
• Školenia v oblasti informačnej bezpečnosti. Školenia v tejto oblasti zameriavame na praktické ukážky ako optimálne identifikovať a vyhodnocovať anomálie v prostredí zákazníka s efektívnym využívaním implementovaných nástrojov.
• Analýza rizík. Identifikované podozrenia porovnávame online s podobnými hláseniami a zisteniami z bezpečnostných centrálnych databáz.
• Klasifikácia informáci. Obsahuje spracovanie klasifikácie informácií, kategorizácie sietí a informačných systémov.
• Kontinuita činností. Pravidelný reporting o stave a odozvách IT systémov, aplikácií, sietí vrátane aktivít používateľov.
• Dohľad nad informačnou bezpečnosťou a ochranou dát. Nasadzujeme komplexný nástroj na detekciu a reakciu na útoky na koncové zariadenia (EDR – Endpoint Detection and Response), ako aj DLP (Data Loss Prevention) riešenie.
• Súlad s legislatívou. Riadime sa požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, smernicou Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 - NIS, normami ISO/IEC 27000.
• Penetračné testovanie. Penetračné testovanie je základnou súčasťou systému manažmentu bezpečnosti podľa ISO 27001. Vykonávame externý a interný  penetračný test infraštruktúry ako aj webových aplikácií.

GDPR

Nariadenie EÚ o ochrane fyzických osôb a ich osobných údajov je tu (GDPR - General Data Protection Regulation). Zavádza nové bezpečnostné požiadavky a povinnosti, s ktorými sa musia dotknuté spoločnosti zosúladiť najneskôr 25. 5. 2018. Výkonný manažment nesmie čakať na lokálnu legislatívu a už teraz sa musí sústrediť na prípravu svojich zamestnancov, procesov a technológií. Implementácia nariadenia je pre každú organizáciu iná, ale obsahuje niektoré spoločné prvky. Zavedenie nových povinností môže trvať mesiace, ale aj roky

Kľúčové zmeny a obchodné dopady

GDPR prináša významné zmeny právnych predpisov EÚ v oblasti ochrany údajov, z ktorých mnohé značne ovplyvnia podnikanie:

• významne vyššie pokuty - maximálna pokuta môže byť uložená až do výšky 20 miliónov € alebo do výšky 4 % celkového ročného obratu podniku, za každé porušenie povinností pri ochrane osobných údajov,
• širší územný dosah - novému nariadeniu budú podliehať aj podniky mimo EÚ, ak tieto ponúkajú tovar alebo služby obyvateľom EÚ, alebo ak tieto akokoľvek vyhodnocujú nákupné správanie obyvateľov EÚ,
• povinné ohlasovanie incidentov - vo väčšine prípadov budú musieť byť porušenia práva na ochranu osobných údajov hlásené do 72 hodín,
• hodnotenie vplyvu - v prípade, že firma bude zvažovať novú aktivitu, implementáciu nového systému, alebo zavedenie nového produktu, ktorý by mohol predstavovať riziká v súvislosti s ochranou osobných údajov, bude musieť vykonať tzv. posúdenie vplyvu. V prípade, že táto analýza rizík poukáže na vysoké riziko, bude musieť získať predbežný súhlas od Úradu na ochranu osobných údajov,
• zodpovedná osoba (Data Protection Officer) - väčšina firiem, ktoré pravidelne monitorujú jednotlivcov, alebo pravidelne spracúvajú citlivé osobné údaje, bude musieť formálne vymenovať nezávislú zodpovednú osobu (Data Protection Officer), ktorá bude musieť organizačne podliehať priamo vedeniu firmy,
• väčšie práva pre jednotlivcov - jednotlivci budú mať silnejšie práva voči spoločnostiam, vrátane "práva byť zabudnutý"; použitie existujúcich dát na iný účel, než boli získané, bude výrazne sťažené,
• súhlas na spracovanie- súhlas so spracovaním osobných údajov bude musieť byť vždy vyjadrený, osobné údaje detí - podniky budú musieť získať súhlas rodičov so spracovaním osobných údajov detí mladších ako 16 rokov (aj keď existujú niektoré štáty, kde je tento vek znížený až na 13 rokov); samozrejme, súhlas rodičov bude ťažké / nepraktické dokazovať, najmä v on-line prostredí,
• zodpovednosť prevádzkovateľov - historicky po prvý krát prevádzkovatelia a sprostredkovatelia (t. j. podniky, ktoré spracúvajú osobné údaje v mene iného prevádzkovateľa) budú mať priame regulačné povinnosti a zodpovednosti,
• princíp „one-stop-shop“ - firma, ktorá bude spracúvať osobné údaje obyvateľov viacerých krajín EÚ, bude podliehať pod rozhodnutia jediného úradu pre ochranu osobných údajov (vo všeobecnosti, úradu toho členského štátu, v ktorom má firma svoje sídlo) s tým, že rozhodnutia tohto orgánu budú dodržiavať (v ktoromkoľvek členskom štáte),
• vyššia konzistencia - teoreticky budú podniky čeliť viac harmonizovanému súboru požiadaviek na zhodu a viac konzistentnému súboru postupov presadzovania ochrany osobných údajov naprieč celou EÚ. V praxi to bude závisieť na tom, ako bude uplatnený nový "mechanizmus konzistentnosti", ktorý vyžaduje od národných úradov na ochranu údajov, aby v budúcnosti vydávali rozhodnutia uplatniteľné spoločne v celej EÚ. Niekoľko oblastí zostane neharmonizovaných, napríklad spracovanie údajov v oblasti pracovného práva a národnej bezpečnosti.
• žiadne registrácie systémov - v súčasnosti sú prevádzkovatelia povinní zaregistrovať informačné systémy na úrade pre ochranu osobných údajov. Podľa GDPR budú namiesto toho prevádzkovatelia povinní udržiavať interné záznamy o činnostiach súvisiacich so spracovaním osobných údajov (o sprístupniť ich na požiadanie úradu).

Chcete vedieť viac? Kontaktujte nás! Bližší výklad smernice pre nariadenie GDPR - https://dataprotection.gov.sk/uoou/sk/content/smernica-europskeho-parlamentu-rady-eu-2016680