Audit informačných systémov verejnej správy
Spoločnosť KOLAS s.r.o. Vám ponúka služby týkajúce sa zabezpečenia plnenia požiadaviek, ktoré sú stanovené prevádzkovateľom informačných systémov verejnej správy.
Jedná sa najmä o tieto činnosti:
- monitorovanie a potvrdenie súladu (GAP analýza, audit),
- nastavenie informačnej bezpečnosti, procesov riadenia informačnej bezpečnosti,
- návrhom bezpečnostných opatrení na zníženie rizika,
- aplikovanie navrhnutých bezpečnostných opatrení,
- meranie účinnosti a efektivity ich nasadenia a udržiavaním v praxi.
Prínosom a pridanou hodnotou je okrem žiadaného súladu s legislatívou aj reálne a preukázateľné zlepšenie celkovej bezpečnosti a ochrany informácií a informačných aktív. Naše prístupy sú založené na dlhodobých skúsenostiach v rôznych sektoroch a oblastiach informačnej a kybernetickej bezpečnosti.
Okrem auditu alebo samotného nastavovania procesov IB/KB a riešenia bezpečnostných opatrení, vieme formou externého konzultanta pomôcť s mandatórne vyžadovanou funkciou manažéra informačnej a kybernetickej bezpečnosti – či už priamo, alebo vo forme jeho podpory alebo odborného koučovania.
Zákon o ITVS (ZoITVS) a súvisiace vyhlášky stanovujú prevádzkovateľom informačných systémov verejnej správy povinnosť nastaviť a v praxi zaviesť procesy v oblasti riadenia informačnej bezpečnosti.
Súvisiaca legislatíva:
- Zákon č. 95/2019 o informačných technológiách vo verejnej správe
- Vyhláška č. 78/2020 Z. z., o štandardoch pre informačné technológie verejnej správy
- Vyhláška č. 85/2020 Z. z., o riadení projektov
- Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
Vyhláška 179/2020 stanovuje 3 kategórie bezpečnostných opatrení, podľa ktorých má prevádzkovateľ informačného systému verejnej správy aplikovať bezpečnostné opatrenia:
- malé obce a mestá do 6000,
- obce a mestá nad 6000, všetky veľké mestá okrem krajských,
- krajské mestá, VÚC, ministerstvá, úrad vlády, najvyšší súd, TASR, NS, NCZI atď.
Najčastejšie úlohy, ktoré je potrebné riešiť pre splnenie vyššie uvedenej legislatívy:
- Nastaviť procesy (procesná bezpečnosť – smernice, politiky, stratégie)
- Zaviesť uvedené procesy a navrhované bezpečnostné opatrenia do praxe
- Zaviesť riadenie rizík pre procesy a technológie spracúvajúce OÚ – automatizovane aj neautomatizovane (od monitoringu v sieti – sieťové prvky, bezpečnostné prvky, na prac. staniciach aj serveroch cez penetračné a technologické testy, fyzická a objektová bezpečnosť)
- Zaviesť riadenie incidentov
- Zaviesť zdokumentované procesy zálohovania a kontinuity činností
- Zaviesť kontrolné a auditné činnosti (interný audit, externý audit)
- Zaviesť funkciu manažéra informačnej bezpečnosti (môže byť riešená aj externe alebo je možná konzultačná podpora pre MIB)
- Zaviesť riadenie dodávateľských vzťahov
- Zaviesť školiace a vzdelávacie procesy
- Zaviesť bezpečnostné opatrenia podľa danej vyhlášky – v rámci danej kategórie