Služby

FUBAR a.s. poskytuje svým zákazníkům komplexní služby v oblasti návrhu, implementace a podpory pokročilých komunikačních řešení. Mnoho rozsáhlých projektů jsme úspěšně realizovali a aktivně provozujeme v bankovním sektoru a v oblasti utilit.

Zákon o kybernetické bezpečnosti

Provádíme rozdílovou analýzu stavu prostředí zadavatele včetně návrhu konkrétních opatření pro dosažení souladu se zákonem o kybernetické bezpečnosti č. 181/2014 Sb. (dále jen ZKB). V technické oblasti jsme schopni tato doporučení také následně realizovat nebo spolupracovat při jejich realizaci, v procesní oblasti spolupracujeme se zaměstnanci zadavatele při úpravě stávajících nebo tvorbě nových interních předpisů. Konkrétní požadavky ZKB posuzujeme v souladu s požadavky definovaných návrhem „Vyhlášky o bezpečnostních opatřeních, kybernetických bezpečnostních incidentech, reaktivních opatřeních a o stanovení náležitostí podání v oblasti kybernetické bezpečnosti (vyhláška o kybernetické bezpečnosti dále VKB)“. Bezpečnostní analýzu nelze vnímat pouze jako snahu vyhovět liteře zákona, ale je třeba ji chápat jako významný bezpečnostní prvek pro odhalování nedostatků ICT prostředí, který dokáže odhalit stávající stav zabezpečení významných systémů (agend) a procesů.

První fáze – audit ICT bezpečnosti
První fází je audit ICT bezpečnosti, který probíhá v mnoha oblastech, na základě metodiky vypracované uchazečem, mimo jiné:
    - uživatelské přístupy, jejich řízení a ověřování
    - ochrana před přímými útoky
    - napadení viry
    - zneužívání interních zdrojů
    - ochrana proti moderním hrozbám
    - audit činnosti privilegovaných uživatelů
    - využívání kryptografických prostředků uživatele
    - procesní zvládání bezpečnostních událostí a incidentů
    - analýza zranitelností
Výsledky tohoto auditu jsou následně porovnány s požadavky zákona o kybernetické bezpečnosti, ale také s bezpečnostními trendy současnosti – ICT i specificky s bezpečnostními riziky a trendy ve státní správě. Tyto výsledky budou konzultovány s pracovníky zadavatele. Analýza současného stavu kybernetické bezpečnosti zadavatele je úvodní fází pro plánované dosažení shody s požadavky zákona o kybernetické bezpečnosti. S ohledem na požadavky zákona a jeho deklarovanou shodu s požadavky normy ISO/IEC 27001:2013 je používána auditní metoda systémového auditu, která slouží k prověření naplnění jednotlivých požadavků Zákona o kybernetické bezpečnosti. Informace jsou získávány formou řízených pohovorů s vybranými respondenty a z předložené relevantní dokumentace. Odpovědi jsou zaznamenány do dotazníků používaných při auditech. Použitý způsob záznamů zajistí zachycení všech podstatných informací a současně umožní dodržet soulad s doporučenými postupy. Jednotlivá zjištění jsou rozdělena do příslušných oblastí vyhlášky o kybernetické bezpečnosti dle jednotlivých paragrafů požadovaných bezpečnostních opatření a požadavků na bezpečnostní dokumentaci. Jednotlivé požadavky vyhlášky o kybernetické bezpečnosti a jejich splnění či nesplnění je hodnoceno ve třech úrovních splněno/částečně/nesplněno.

Druhá fáze – vyhodnocení stávající bezpečnosti a návrh opatření
Druhá fáze je návrh opatření, které se dělí na několik kroků (vždy rozděleno na zákonnou část a doporučenou část):
    - Procesní opatření pro zvýšení bezpečnosti
    - Optimalizace využití stávajících technologií pro zvýšení bezpečnostních standardů a dodržení zákona o kybernetické bezpečnosti
    - Návrh vhodného doplnění stávajících technologií pro zvýšení efektivity ochrany, dodržení zákona o kybernetické bezpečnosti a předcházení bezpečnostním událostem
    - Tvorba testovacích a eskalačních scénářů v případě bezpečnostního incidentu (včetně stanovení kritické doby nedostupnosti systémů) ve shodě se zákonem o kybernetické bezpečnosti a oborové „best practice“
    - Návrh časového harmonogramu postupných projektů v horizontu 1-3 let v závislosti na prioritách, běžících projektech, stávající ICT strategii zákazníka, kapacitách zadavatele a jeho finančních možnostech v jednotlivých letech

Jednotlivé kroky druhé fáze budou vždy jasně rozděleny do oblastí (metodická, infrastrukturní, implementační) podle požadavků zadavatele a řádně zdůvodněna, včetně popisu dopadu na jednotlivé systémy, aby se předešlo zbytečným investicím.

Přínos řešení
Přínosy takového přístupu k auditu a návrhu opatření jsou následující:
    - Zjištění aktuálního stavu zabezpečení ICT - Návrh optimalizace využití stávajících zdrojů a technologií s ohledem na zákon o kybernetické bezpečnosti a prioritní rizika ICT bezpečnosti pro konkrétní segment se zohledněním specifik zákazníka
    - Optimální skladba bezpečnostních ICT řešení – a tím předcházení bezpečnostním hrozbám, ale především úspoře při existenci ICT bezpečnostní strategie (oproti reaktivnímu dokupování technologií bez jejich zasazení do ICT bezpečnostní strategie zadavatele)
    - Implementační harmonogram umožňuje naplánovat investice a lidské zdroje dlouhodobě a jít metodou postupných kroků k postupnému zvyšování bezpečnosti a naplňování vize rozvoje ICT bezpečnosti
    - Existence zdůvodnění navržených projektů s prioritami, včetně popisu dopadů rizik - Grafická vizualizace
Zabýváme se ICT a problematikou bezpečnosti v sektoru státní správy, utilit a enterprise zákazníků více než 15 let. Za tuto dobu jsme získali unikátní know-how, které umožňuje nasazení vysoce efektivních procesů a metodik při ochraně ICT systémů zákazníka a dále i optimalizaci vybraných technických řešení, odpovídající platné legislativě a při zajištění bezpečnostních postupů a pravidel informačních systémů s výrazným dopadem na cenu při garantované kvalitě..