Audit informačných systémov verejnej správy

Spoločnosť KOLAS s.r.o. Vám ponúka služby týkajúce sa zabezpečenia plnenia požiadaviek, ktoré sú stanovené prevádzkovateľom informačných systémov verejnej správy. 

Jedná sa najmä o tieto činnosti:

  • monitorovanie a potvrdenie súladu (GAP analýza, audit),
  • nastavenie informačnej bezpečnosti, procesov riadenia informačnej bezpečnosti,
  • návrhom bezpečnostných opatrení na zníženie rizika,
  • aplikovanie navrhnutých bezpečnostných opatrení,
  • meranie účinnosti a efektivity ich nasadenia a udržiavaním v praxi.

Prínosom a pridanou hodnotou je okrem žiadaného súladu s legislatívou aj reálne a preukázateľné zlepšenie celkovej bezpečnosti a ochrany informácií a informačných aktív. Naše prístupy sú založené na dlhodobých skúsenostiach v rôznych sektoroch a oblastiach informačnej a kybernetickej bezpečnosti.

Okrem auditu alebo samotného nastavovania procesov IB/KB a riešenia bezpečnostných opatrení, vieme formou externého konzultanta pomôcť s mandatórne vyžadovanou funkciou manažéra informačnej a kybernetickej bezpečnosti – či už priamo, alebo vo forme jeho podpory alebo odborného koučovania.

Zákon o ITVS (ZoITVS) a súvisiace vyhlášky stanovujú prevádzkovateľom informačných systémov verejnej správy povinnosť nastaviť a v praxi zaviesť procesy v oblasti riadenia informačnej bezpečnosti.

Súvisiaca legislatíva: 

  • Zákon č. 95/2019 o informačných technológiách vo verejnej správe
  • Vyhláška č. 78/2020 Z. z., o štandardoch pre informačné technológie verejnej správy
  • Vyhláška č. 85/2020 Z. z., o riadení projektov
  • Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy 

Vyhláška 179/2020 stanovuje 3 kategórie bezpečnostných opatrení, podľa ktorých má prevádzkovateľ informačného systému verejnej správy aplikovať bezpečnostné opatrenia:

  1. malé obce a mestá do 6000, 
  2. obce a mestá nad 6000, všetky veľké mestá okrem krajských, 
  3. krajské mestá, VÚC, ministerstvá, úrad vlády, najvyšší súd, TASR, NS, NCZI atď.

Najčastejšie úlohy, ktoré je potrebné riešiť pre splnenie vyššie uvedenej legislatívy:

  • Nastaviť procesy (procesná bezpečnosť – smernice, politiky, stratégie)
  • Zaviesť uvedené procesy a navrhované bezpečnostné opatrenia do praxe 
  • Zaviesť riadenie rizík pre procesy a technológie spracúvajúce OÚ – automatizovane aj neautomatizovane (od monitoringu v sieti – sieťové prvky, bezpečnostné prvky, na prac. staniciach aj serveroch cez penetračné a technologické testy, fyzická a objektová bezpečnosť) 
  • Zaviesť riadenie incidentov 
  • Zaviesť zdokumentované procesy zálohovania a kontinuity činností
  • Zaviesť kontrolné a auditné činnosti (interný audit, externý audit)
  • Zaviesť funkciu manažéra informačnej bezpečnosti (môže byť riešená aj externe alebo je možná konzultačná podpora pre MIB)
  • Zaviesť riadenie dodávateľských vzťahov
  • Zaviesť školiace a vzdelávacie procesy
  • Zaviesť bezpečnostné opatrenia podľa danej vyhlášky – v rámci danej kategórie