Předpisy v oblasti kybernetické bezpečnosti a úloha ITSM v DORA a NIS2

Předpisy v oblasti kybernetické bezpečnosti, zejména DORA a NIS2, se dotýkají široké škály organizací. Prvním krokem k dosažení souladu s předpisy je obvykle analýza nedostatků, která pomáhá posoudit současný stav a určit opatření potřebná ke splnění regulačních požadavků.

Podívejme se blíže na klíčové požadavky DORA a NIS2, jejich souvislost se správou služeb IT, známou také jako ITSM, a na to, jak mohou softwarové nástroje podpořit implementaci konkrétních požadavků.

Identifikace a hodnocení aktiv

Účinné řízení kybernetické bezpečnosti začíná pochopením toho, co je třeba chránit. To zahrnuje identifikaci procesů, definici aktiv a vyhodnocení jejich důležitosti.

Aktivum je cokoli, co má pro organizaci hodnotu a je nezbytné pro její fungování. Obvykle se jedná o data, aplikace, infrastrukturu a služby.

DORANIS2 používají mírně odlišnou terminologii a přístupy, ale základní princip zůstává stejný. Více informací o správě aktiv podle českého zákona o kybernetické bezpečnosti, který reflektuje NIS2, naleznete zde.

Nástroje ITSM, jako je Jira Service Management, poskytují možnosti správy IT infrastruktury a jejího propojení s podnikovými procesy. Klíčovou součástí je CMDB neboli Configuration Management Database, která uchovává konfigurační položky, jako jsou servery, cloudové služby a aplikace.

Je nezbytné, aby byla databáze CMDB úplná a aktuální. V ideálním případě by měly být aktualizace automatizované. Organizace, které používají Microsoft Azure společně se správou služeb Jira, mohou synchronizovat svou CMDB pomocí nástrojů, jako je Azure Sync for Jira Assets.

Infrastruktura Azure v aktivech Jira

DORA a NIS2 přistupují k aktivům z hlediska kybernetické bezpečnosti. Tato aktiva by měla být propojena s CMDB, ideálně v rámci jednoho systému nebo prostřednictvím integrace.

Z hlediska kybernetické bezpečnosti je důležité nejen identifikovat aktiva, ale také je vyhodnotit na základě důvěrnosti, integrity, dostupnosti a případně i autenticity. Tyto parametry slouží k určení kritičnosti každého aktiva.

Tento přístup podporuje např. cybreg software.

Atributy DORA na aktivech

Portfolio služeb a jeho vazba na aktiva

Správa portfolia služeb popisuje služby, které organizace poskytuje svým zákazníkům nebo interně.

Pro každou službu organizace obvykle uchovávají informace, jako jsou dohody o úrovni služeb, odpovědnosti a role a závislosti na infrastruktuře reprezentované položkami konfigurace v CMDB.

Pochopení těchto vztahů je nezbytné pro posouzení dopadu bezpečnostních incidentů a pro účinné řízení rizik.

Správa služeb

Analýza a řízení rizik ICT

Jedním z hlavních požadavků DORA i NIS2 je systematická analýza a řízení rizik.

Matice rizik

Jakmile jsou aktiva identifikována, mohou organizace začít identifikovat a vyhodnocovat rizika s nimi spojená.

Rizika se obvykle posuzují na základě kritičnosti aktiv, pravděpodobnosti hrozby a potenciálního dopadu. Výsledkem je skóre rizika, které určuje vhodnou strategii ošetření rizik.

Hodnocení rizik

To může zahrnovat přijetí rizika, jeho snížení prostřednictvím opatření ke zmírnění, jeho převod, například prostřednictvím pojištění, nebo jeho úplné odstranění.

Softwarová řešení, jako je cybreg, tento proces výrazně zjednodušují. Automatizují výpočty, provázejí uživatele pracovním postupem a zajišťují správnou dokumentaci, která je nezbytná pro audity a prokazování shody.

Správa bezpečnostních incidentů

V případě bezpečnostního incidentu je rozhodující rychlá a koordinovaná reakce.

Informace o incidentu by měla být rychle zachycena oddělením služeb, kde se spustí definovaný proces. Tento proces zahrnuje klasifikaci incidentu, eskalaci na odpovědné týmy, koordinaci řešení a sledování lhůt pro regulační hlášení.

Nástroje jako Jira Service Managementcybreg podporují správu incidentů prostřednictvím strukturovaných pracovních postupů, sledování a reportování.

Systém cybreg například poskytuje předdefinované sestavy pro hlášení regulačních incidentů, což usnadňuje splnění požadavků na shodu s předpisy.

Doporučené nástroje

Pro implementaci ITSM v moderních cloudových prostředích doporučujeme Atlassian Jira Service Management. Mezi jeho silné stránky patří silné integrační schopnosti, flexibilita a podpora nástroje AI Rovo, který umožňuje automatizaci mnoha procesů.

Pro větší organizace, které vyžadují řešení on premise, je vhodnou volbou kombinace USU Service Management a modulu GRC od společnosti Cloud Incubator.

Organizacím, které hledají komplexní řešení pro správu dodržování předpisů v oblasti kybernetické bezpečnosti, doporučujeme software cybreg. Zahrnuje správu zásad a dokumentace, správu aktiv, řízení rizik, sledování incidentů, hodnocení rizik dodavatelů a regulační výkaznictví.

Další informace jsou k dispozici na adrese https://www.cybreg.cz/

Jak můžeme pomoci

Pokud v současné době řešíte kybernetickou bezpečnost nebo se připravujete na požadavky DORA a NIS2 a chcete se dozvědět více, neváhejte nás kontaktovat.

Odborníci ze společností Sykora ITcybreg vám rádi pomohou navrhnout a implementovat řešení, které splní vaše obchodní potřeby i regulační požadavky.

Zavolejme si

Klíčové kontakty:

Picture of Petr Sýkora

Petr Sýkora

Označeno tagem,