A-Z ELEKTRO listopad / prosinec 2015

Elektrotechnický zkušební ústav s.p. Pod lisem 129/2 181 00 Praha 8-Troja Tel.: 266 104 111 www.ezu.cz listopad/prosinec 2015 | A-Z ELEKTRO | 51 OCHRANA DAT Elektrotechnický zkušební ústav, s.p. je společností s dlouhodobou tradicí a zkušenostmi. Od roku 1926 poskytuje služby zkoušení a certi- fikace výrobků, převážně elektro- technického charakteru, ale také z oblasti zdravotnických prostředků, automotive, stavebních, strojíren- ských a dalších výrobků. Je členem významných evropských a světových certifikačních systémů, u mnoha z nich členem zakládajícím. Posky- tuje služby ověřování systémů řízení dle norem ISO, provádí kalibrace, metrologická ověřování, vývojové a funkční testy. berbezpečnosti,“ představuje základní úroveň zabezpečení Michal Hager, Technik kybernetické bezpečnosti v EZÚ. Tato úroveň zabezpečení je důle- žitá, přesto se jedná pouze o odrazový můstek k důkladnějšímu zajištění kybernetické bezpečnosti ve firmě. Soustředí se na zavedení a kontrolu základních procesů nutných k vytvo- ření kybernetického zabezpečení, jakými jsou například řízení rizik, řízení hrozeb a zranitelností, příprava a realizace bezpečnostních opatření, neustálé zlepšování ochrany a prová- dění interních auditů. Konečným výstupem první úrovně je Základní certifikát kybernetické bezpečnosti (Essential Certificate of Cybersecurity). Aby však organizace úspěšně získala tento certifikát, je za- potřebí několika následujících kroků. Provedení situační analýzy – zjiš- tění aktuální situace a nedostatků v kybernetickém zabezpečení. Osobní certifikace – školení a ná- sledná certifikace interních pracov- níků organizace, zodpovědných za ří- zení, implementaci, údržbu a neustálé zlepšování kybernetické bezpečnosti, včetně provádění interních auditů, v rámci organizace. Implementace požadavků platných mezinárodních standardů a legislativy zaměřujících se na kybernetické bez- pečnosti pro zajištění základní úrovně kybernetické bezpečnosti a zajištění potřebného hardware a software Ověřování a následná certifikace základního kybernetického zabezpe- čení podle platných mezinárodních standardů a legislativy související s kybernetickou bezpečností. Prove- dení auditu nezávislou certifikační autoritou. „Druhá úroveň se vyznačuje přecho- dem z čistě systémového pohledu na kybernetickou bezpečnost na pohled zahrnující také bezpečnost software, sítí, digitálních úložišť, dodavatel- ského řetězce a bezpečnostní testy. I samotný systémový pohled je pro další navýšení kybernetického zabez- pečení organizace rozšířen,“ dodává Hager. Druhá úroveň navazuje na úroveň první, proto dochází k uvolnění výše zmíněného prvního kroku a rozšíření požadavků a činností v krocích ná- sledujících. V návaznosti k přínosům první úrovně produktu se v této úrovni přidává kybernetické zabezpečení dodavatelského řetězce organizace a jednotlivých částí IT infrastruktury organizace. Přináší také ještě větší efektivitu při uvolňování nákladů na kybernetické zabezpečení. Konečným výstupem druhé úrovně je Rozšířený certifikát kybernetické bezpečnosti (Enhanced Certificate of Cybersecurity). Jak z výše zmíněné návaznosti vyplývá, na tento certifikát je možné dosáhnout až po úspěšném získání Základního certifikátu kyber- netické bezpečnosti. Třetí úroveň kybernetické bez- pečnosti opět navazuje na úroveň předešlou a představuje nejdetailnější pohled na kybernetickou bezpečnost. Tento pohled zahrnuje konkrétní bez- pečnostní komponenty a podrobněji pohlíží také na bezpečnost software a bezpečnostní testy. Nově se obje- vuje zaměření na bezpečnost hard- ware a firmware. Díky tomu dochází k zajištění nejvyšší možné úrovně kybernetické bezpečnosti. Tento detailní pohled je tvořen především platným mezinárodním standardem ČSN ISO/IEC 15408 (Common Criteria) a k němu se vážících standardů. Vše je završeno ziskem Certifikátu nejvyšší úrovně kybernetické bezpečnosti (Top- -level Certificate of Cybersecurity). „Realizovat tuto úroveň je možné pouze po úspěšné certifikaci druhé úrovně produktu v dané organizaci. Ověřování a následná certifikace této úrovně může nastat po uplynutí mini- málně 1 roku od vydání Rozšířeného certifikátu kybernetické bezpečnosti. Prevence je vždy lepší, než následné řešení problémů s ukradenými firem- ními daty, vyřazeným počítačovým sys- témem nebo infikovanou sítí“ uzavírá Michal Hager. Vedle hackerů a mstivých zaměstnanců se také silně hovoří o kyberútocích, které jsou sponzorované státem, který by tak měl dokonalý přehled o finančním hospodaření jednotlivých firem.