Dodržiavanie predpisov (GDPR, NIS2, ZoKB, audity)
Pomôžeme vám s GDPR či NIS2. Ponúkame širokú škálu produktov a služieb, ktoré vám pomôžu splniť hlavnú časť požiadaviek európskej legislatívnej normy. V mnohých prípadoch je takýto outsourcing dokonca cenovo výhodnejší.
General Data Protection Regulation
Nové povinnosti
Stručne a zjednodušene povedané, dochádza k výraznému sprísneniu regulácie v oblasti spracovania osobných údajov. Nové podmienky si budú vyžadovať nielen úpravu existujúcich procesov súvisiacich so spracúvaním v rámci organizácie, ale budú znamenať aj povinné zavedenie viacerých dodatočných opatrení.
Táto európska norma si vyžaduje veľmi komplexný prístup k celej problematike ochrany informácií, hoci sa zameriava len na osobné údaje. V súvislosti s automatizovaným spracovaním osobných údajov vznikajú nové povinnosti, ktoré vedú k väčšej transparentnosti, ale predovšetkým k bezpečnosti.
To možno dosiahnuť prijatím vhodných špecifických opatrení nielen v oblasti IT bezpečnosti, ale aj fyzickej, administratívnej, organizačnej a procedurálnej bezpečnosti. Všetky tieto oblasti je potrebné komplexne prepojiť, aby celá ochrana osobných údajov fungovala ako jednotný systém.
Primeranú ochranu osobných údajov nie je možné zabezpečiť bez kontinuity riadiacich dokumentov, ktoré vychádzajú z definovaných procesov a postupov a nie sú podporené vhodnou organizačnou štruktúrou a správne použitými technológiami.
Stručne a zjednodušene povedané, dochádza k výraznému sprísneniu regulácie v oblasti spracovania osobných údajov. Nové podmienky si budú vyžadovať nielen úpravu existujúcich procesov súvisiacich so spracúvaním v rámci organizácie, ale budú znamenať aj povinné zavedenie viacerých dodatočných opatrení.
Táto európska norma si vyžaduje veľmi komplexný prístup k celej problematike ochrany informácií, hoci sa zameriava len na osobné údaje. V súvislosti s automatizovaným spracovaním osobných údajov vznikajú nové povinnosti, ktoré vedú k väčšej transparentnosti, ale predovšetkým k bezpečnosti.
To možno dosiahnuť prijatím vhodných špecifických opatrení nielen v oblasti IT bezpečnosti, ale aj fyzickej, administratívnej, organizačnej a procedurálnej bezpečnosti. Všetky tieto oblasti je potrebné komplexne prepojiť, aby celá ochrana osobných údajov fungovala ako jednotný systém.
Primeranú ochranu osobných údajov nie je možné zabezpečiť bez kontinuity riadiacich dokumentov, ktoré vychádzajú z definovaných procesov a postupov a nie sú podporené vhodnou organizačnou štruktúrou a správne použitými technológiami.
Benefity
- Sme etablovaná bezpečnostná spoločnosť, úspešne pôsobíme na trhu už viac ako 30 rokov
- Počúvame našich klientov a prispôsobujeme naše služby ich potrebám a časovým možnostiam
- Náš tím tvoria špecialisti s bohatými skúsenosťami
- Umožňujeme komplexné bezpečnostné audity kombináciou viacerých bezpečnostných disciplín
- Naše služby staviame na dlhoročných skúsenostiach a časom overených štandardoch
Naše riešenie
Ponúkame jedinečnú kombináciu znalostí v oblasti systematického riadenia informačnej bezpečnosti a nasadenia vhodných bezpečnostných technológií. S využitím dlhoročných skúseností v oblasti informačnej bezpečnosti a informačných technológií ponúkame širokú škálu produktov a služieb, ktoré možno využiť na splnenie hlavnej časti požiadaviek európskej legislatívnej normy GDPR.
Nie všetky opatrenia je potrebné riešiť vlastnými internými zdrojmi. S mnohými z nich vám môžu pomôcť špecializovaní odborníci. Takýto outsourcing je v mnohých prípadoch dokonca nákladovo efektívnejší. Komplexnosť nariadenia GDPR si vyžaduje komplexný prístup k riadeniu ochrany údajov.
Analýza súladu s požiadavkami GDPR Základom správnej implementácie požiadaviek GDPR je podrobné porovnanie súčasného stavu ochrany osobných údajov s požiadavkami definovanými v nariadení. Len tak je možné zabezpečiť účinné vykonávanie všetkých požiadaviek GDPR. Vypracujeme podrobnú analýzu a odporučíme vhodný postup a rozsah implementácie.
Návrh a implementácia procesov a metodík GDPR je založená na princípoch "privacy by design" a "risk-based aproach". To si vyžaduje nielen implementáciu nových bezpečnostných procesov a metodík vo vašej organizácii, ale často to bude mať vplyv napríklad v rámci architektúry informačných systémov a aplikácií. Patria sem najmä postupy týkajúce sa hlásenia bezpečnostných incidentov, informačných povinností alebo práva na vymazanie. Navrhneme a implementujeme procesy a metodiky prispôsobené prostrediu vašej organizácie.
Spracovanie riadiacich dokumentov Nevyhnutnou súčasťou ochrany osobných údajov je príslušná riadiaca dokumentácia (politiky, smernice atď.), ktorú vaša organizácia používa okrem iného na preukázanie súladu s požiadavkami GDPR. Riadiace dokumenty vypracujeme alebo upravíme tak, aby boli v súlade s požiadavkami GDPR, pričom zohľadníme vaše existujúce interné politiky a procesy.
Implementácia technických opatrení Základnou požiadavkou nariadenia GDPR je zabezpečenie ochrany osobných údajov, zaručenie ich dôvernosti, dostupnosti a integrity. Na tento účel je potrebné zaviesť dostatočné technické opatrenia na ich zabezpečenie alebo na identifikáciu narušení bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atď.) Navrhneme a implementujeme vhodné technické riešenia podľa vašich individuálnych potrieb.
Data Protection Impact Assessment Posúdenie dopadov na oobné údaje (Data Protection Impact Assessment) je jedným zo základných nástrojov na zaistenie vysokej bezpečnosti osobných údajov pri akomkoľvek nakladaní s osobnými údajmi, ako je profilovanie, spracúvanie citlivých údajov alebo monitorovanie verejne prístupných oblastí atď. Posúdime povinnosť vašej organizácie zaviesť DPIA a v prípade, že táto povinnosť vznikne, navrhneme vhodný spôsob implementácie DPIA do vašich existujúcich (napr. projektových) metodík. Zabezpečíme aj samotné spracovanie konkrétnej analýzy DPIA vrátane prípadných konzultácií s Úradom na ochranu osobných údajov.
Poverenec pre ochranu osobných údajov - DPO Jednou z nových požiadaviek GDPR je vymenovanie poverenca pre ochranu osobných údajov (Data Protection Officer) pre povinné subjekty. Táto funkcia si vyžaduje osobu s dostatočnými skúsenosťami a odbornými znalosťami v oblasti ochrany údajov a predpokladá sa, že na trhu je ich nedostatok. Túto úlohu je možné zveriť aj externému dodávateľovi. Táto forma služby zabezpečí, že všetky povinnosti DPO sa budú vykonávať s využitím našich skúsených a preverených konzultantov.
Implementácia GRC riešenia GDPR prináša mnoho čiastkových povinností, najmä pre veľké organizácie, ktoré spracúvajú veľký objem osobných údajov. V takýchto prípadoch môžu byť riešenia GRC (Governance, Risk and Compliance) nevyhnutným prvkom, ktorý umožní efektívne riadenie ochrany údajov a dodržiavanie požiadaviek GDPR vrátane monitorovania súladu (compliance). Zabezpečíme optimálny návrh a implementáciu vhodného GRC riešenia nielen pre potreby GDPR. Na tento účel máme k dispozícii tím skúsených konzultantov.
Nie všetky opatrenia je potrebné riešiť vlastnými internými zdrojmi. S mnohými z nich vám môžu pomôcť špecializovaní odborníci. Takýto outsourcing je v mnohých prípadoch dokonca nákladovo efektívnejší. Komplexnosť nariadenia GDPR si vyžaduje komplexný prístup k riadeniu ochrany údajov.
Analýza súladu s požiadavkami GDPR Základom správnej implementácie požiadaviek GDPR je podrobné porovnanie súčasného stavu ochrany osobných údajov s požiadavkami definovanými v nariadení. Len tak je možné zabezpečiť účinné vykonávanie všetkých požiadaviek GDPR. Vypracujeme podrobnú analýzu a odporučíme vhodný postup a rozsah implementácie.
Návrh a implementácia procesov a metodík GDPR je založená na princípoch "privacy by design" a "risk-based aproach". To si vyžaduje nielen implementáciu nových bezpečnostných procesov a metodík vo vašej organizácii, ale často to bude mať vplyv napríklad v rámci architektúry informačných systémov a aplikácií. Patria sem najmä postupy týkajúce sa hlásenia bezpečnostných incidentov, informačných povinností alebo práva na vymazanie. Navrhneme a implementujeme procesy a metodiky prispôsobené prostrediu vašej organizácie.
Spracovanie riadiacich dokumentov Nevyhnutnou súčasťou ochrany osobných údajov je príslušná riadiaca dokumentácia (politiky, smernice atď.), ktorú vaša organizácia používa okrem iného na preukázanie súladu s požiadavkami GDPR. Riadiace dokumenty vypracujeme alebo upravíme tak, aby boli v súlade s požiadavkami GDPR, pričom zohľadníme vaše existujúce interné politiky a procesy.
Implementácia technických opatrení Základnou požiadavkou nariadenia GDPR je zabezpečenie ochrany osobných údajov, zaručenie ich dôvernosti, dostupnosti a integrity. Na tento účel je potrebné zaviesť dostatočné technické opatrenia na ich zabezpečenie alebo na identifikáciu narušení bezpečnosti (Data Loss Prevention, Network Behavior Analysis, SandBox, kryptografické nástroje atď.) Navrhneme a implementujeme vhodné technické riešenia podľa vašich individuálnych potrieb.
Data Protection Impact Assessment Posúdenie dopadov na oobné údaje (Data Protection Impact Assessment) je jedným zo základných nástrojov na zaistenie vysokej bezpečnosti osobných údajov pri akomkoľvek nakladaní s osobnými údajmi, ako je profilovanie, spracúvanie citlivých údajov alebo monitorovanie verejne prístupných oblastí atď. Posúdime povinnosť vašej organizácie zaviesť DPIA a v prípade, že táto povinnosť vznikne, navrhneme vhodný spôsob implementácie DPIA do vašich existujúcich (napr. projektových) metodík. Zabezpečíme aj samotné spracovanie konkrétnej analýzy DPIA vrátane prípadných konzultácií s Úradom na ochranu osobných údajov.
Poverenec pre ochranu osobných údajov - DPO Jednou z nových požiadaviek GDPR je vymenovanie poverenca pre ochranu osobných údajov (Data Protection Officer) pre povinné subjekty. Táto funkcia si vyžaduje osobu s dostatočnými skúsenosťami a odbornými znalosťami v oblasti ochrany údajov a predpokladá sa, že na trhu je ich nedostatok. Túto úlohu je možné zveriť aj externému dodávateľovi. Táto forma služby zabezpečí, že všetky povinnosti DPO sa budú vykonávať s využitím našich skúsených a preverených konzultantov.
Implementácia GRC riešenia GDPR prináša mnoho čiastkových povinností, najmä pre veľké organizácie, ktoré spracúvajú veľký objem osobných údajov. V takýchto prípadoch môžu byť riešenia GRC (Governance, Risk and Compliance) nevyhnutným prvkom, ktorý umožní efektívne riadenie ochrany údajov a dodržiavanie požiadaviek GDPR vrátane monitorovania súladu (compliance). Zabezpečíme optimálny návrh a implementáciu vhodného GRC riešenia nielen pre potreby GDPR. Na tento účel máme k dispozícii tím skúsených konzultantov.
NIS2
Smernica NIS2 prináša do oblasti kybernetickej bezpečnosti významné zmeny. Na základe rozhodnutia o implementácii smernice do vnútroštátneho práva sa rámec povinností stanovený v dokumente transponuje do vnútroštátnych právnych predpisov prostredníctvom nového zákona o kybernetickej bezpečnosti a jeho vyhlášok. Tieto zmeny sa dotknú nielen organizácií, ktoré už musia plniť požiadavky zákona č. 181/2014 Z. z. o kybernetickej bezpečnosti a súvisiacej vyhlášky č. 82/2018 Z. z., ale aj mnohých ďalších subjektov, ktoré doposiaľ neboli zahrnuté do nariadenia a nemuseli plniť žiadne povinnosti v tejto oblasti.
Nový zákon o kybernetickej bezpečnosti by mal nadobudnúť účinnosť v októbri 2024. Zákon bude poskytovať ročné prechodné obdobie na prispôsobenie sa novým požiadavkám a ich postupnú implementáciu. Plnenie vybraných povinností sa bude vyžadovať od druhej polovice roka 2024, zatiaľ čo plnenie ostatných povinností sa bude vyžadovať až od druhej polovice roka 2025. Napriek ročnému prechodnému obdobiu je teraz vhodný čas na začatie prípravných krokov vedúcich k funkčnému procesu riadenia kybernetickej bezpečnosti, ktorý vám radi pomôžeme zaviesť.
Nový zákon o kybernetickej bezpečnosti by mal nadobudnúť účinnosť v októbri 2024. Zákon bude poskytovať ročné prechodné obdobie na prispôsobenie sa novým požiadavkám a ich postupnú implementáciu. Plnenie vybraných povinností sa bude vyžadovať od druhej polovice roka 2024, zatiaľ čo plnenie ostatných povinností sa bude vyžadovať až od druhej polovice roka 2025. Napriek ročnému prechodnému obdobiu je teraz vhodný čas na začatie prípravných krokov vedúcich k funkčnému procesu riadenia kybernetickej bezpečnosti, ktorý vám radi pomôžeme zaviesť.
V prípade systému NIS2 vám môžeme pomôcť najmä v týchto oblastiac
Analýza súčasného stavu informačnej bezpečnosti
Zanalyzujeme súčasný stav vašej organizácie v oblasti kybernetickej bezpečnosti. Zahrnieme najmä posúdenie vášho systému riadenia informačnej bezpečnosti, bezpečnostnej dokumentácie, riadenia aktív, riadenia rizík, riadenia dodávateľov, riadenia ľudských zdrojov, riadenia zmien a kontroly prístupu. Súčasťou analýzy je aj posúdenie riadenia udalostí a incidentov kybernetickej bezpečnosti a riadenia kontinuity činností.
Analýza rizík
Ponúkame analýzu rizík na identifikáciu a posúdenie potenciálnych hrozieb a zraniteľností spojených s aktívami vašej organizácie. Získate jasnú predstavu o rizikách, ktoré by mohli ohroziť vašu bezpečnosť.
Príprava alebo preskúmanie bezpečnostnej dokumentácie
Vypracujeme alebo zrevidujeme dokumenty s ohľadom na vaše existujúce interné zásady. Konkrétne vám môžeme pomôcť vytvoriť plán riadenia incidentov, plán obnovy, analýzu dopadov, bezpečnostnú príručku pre používateľov atď.
Školenia
Na zvýšenie bezpečnostného povedomia vašich zamestnancov (od bežných používateľov, správcov zabezpečenia až po vrcholový manažment) ponúkame školenia prispôsobené potrebám vašej organizácie. Okrem osobného školenia je možné školenie realizovať aj prostredníctvom e-learningu s využitím zábavných videokurzov, ktoré sú ukončené vedomostným testom.
Penetračné testovanie
Testujeme schopnosť vašich systémov odolávať kybernetickým útokom. V správe popíšeme slabé miesta a navrhneme vhodné nápravné opatrenia, aby sme zabránili skutočným útokom.
Posilnenie bezpečnosti IT infraštruktúry
Môžeme vám pomôcť identifikovať slabé miesta v technickom zabezpečení vašej internej siete, implementovať bezpečnostné technológie, ako sú firewally alebo riešenia EDR, ktoré dokážu identifikovať, monitorovať a reagovať na podozrivú aktivitu na koncových zariadeniach.
Zanalyzujeme súčasný stav vašej organizácie v oblasti kybernetickej bezpečnosti. Zahrnieme najmä posúdenie vášho systému riadenia informačnej bezpečnosti, bezpečnostnej dokumentácie, riadenia aktív, riadenia rizík, riadenia dodávateľov, riadenia ľudských zdrojov, riadenia zmien a kontroly prístupu. Súčasťou analýzy je aj posúdenie riadenia udalostí a incidentov kybernetickej bezpečnosti a riadenia kontinuity činností.
Analýza rizík
Ponúkame analýzu rizík na identifikáciu a posúdenie potenciálnych hrozieb a zraniteľností spojených s aktívami vašej organizácie. Získate jasnú predstavu o rizikách, ktoré by mohli ohroziť vašu bezpečnosť.
Príprava alebo preskúmanie bezpečnostnej dokumentácie
Vypracujeme alebo zrevidujeme dokumenty s ohľadom na vaše existujúce interné zásady. Konkrétne vám môžeme pomôcť vytvoriť plán riadenia incidentov, plán obnovy, analýzu dopadov, bezpečnostnú príručku pre používateľov atď.
Školenia
Na zvýšenie bezpečnostného povedomia vašich zamestnancov (od bežných používateľov, správcov zabezpečenia až po vrcholový manažment) ponúkame školenia prispôsobené potrebám vašej organizácie. Okrem osobného školenia je možné školenie realizovať aj prostredníctvom e-learningu s využitím zábavných videokurzov, ktoré sú ukončené vedomostným testom.
Penetračné testovanie
Testujeme schopnosť vašich systémov odolávať kybernetickým útokom. V správe popíšeme slabé miesta a navrhneme vhodné nápravné opatrenia, aby sme zabránili skutočným útokom.
Posilnenie bezpečnosti IT infraštruktúry
Môžeme vám pomôcť identifikovať slabé miesta v technickom zabezpečení vašej internej siete, implementovať bezpečnostné technológie, ako sú firewally alebo riešenia EDR, ktoré dokážu identifikovať, monitorovať a reagovať na podozrivú aktivitu na koncových zariadeniach.
Tlač do PDF
-
V spoločnosti T-Mobile sme vykonali bezpečnostné testy a audity -
V spoločnosti Deutsche Telekom (T-Systems) pokrývame oblasť kybernetickej bezpečnosti -
Pre Škoda Auto sme vykonali audity a sofistikované penetračné testy na identifikáciu zraniteľností
NEVÁHAJTE NÁS
KONTAKTOVAŤ
Máte záujem o ďalšie informácie alebo ponuku pre vašu konkrétnu situáciu?