2. Znalostní báze
  3. Řízení shody NIS2
  4. Co je přístup all hazards v NIS2

Co je přístup all hazards v NIS2

Datum poslední aktualizace: 20. 10. 2024
Podívejte se na řešení:
Software pro řízení shody s NIS2
Pomohl Vám tento článek?
1 z celkových 1 článek pomohl.

Komplexní přístup k řízení kybernetických rizik v NIS2

Přístup založený na všech nebezpečích je komplexní a integrovaný přístup k řízení rizik, zaměřený na připravenost na celé spektrum mimořádných událostí nebo katastrof, včetně vnitřních mimořádných událostí, mimořádných událostí způsobených člověkem nebo přírodních katastrof. Jde tedy o nebezpečí v celém jejich spektru.

V oblasti kyberbezpečnosti se tento přístup používá ke komplexní přístup k řízení kybernetických rizik, tedy k ochraně IT a informačních systémů před širokou škálou potenciálních hrozeb. Tento přístup vyžaduje, zvážení všech možných rizik a nebezpečí, včetně kybernetických hrozeb, hrozeb fyzické bezpečnosti a přírodních katastrof.

  • All-hazard přístup konkrétně doporučuje Článek 21.2 NIS-2  jako komplexní přístup k řízení rizik.
  • All-hazard přístup zdůrazňuje, že ke kyberincidentům může dojít z různých zdrojů, nejen z kybernetických útoků ale také z přírodních katastrof, nebo nehod způsobených lidmi.
  • All-hazard přístup připravuje organizaci na širokou škálu potenciálních hrozeb a nebezpečí.

Postup při analýze informačních rizik založené na všech nebezpečích

Přístup zaměřený na všechna nebezpečí nutně neznamená začít s úplným seznamem všech možných nebezpečí. I když je užitečné mít obecné povědomí o potenciálních hrozbách, měli byste se zaměřit na identifikaci a posouzení rizik, která jsou pro vaši organizaci nejrelevantnější.

  1. Identifikujte kritická informační aktiva a funkce: Určete základní služby a zdroje, na které vaše organizace spoléhá. 
  2. Identifikujte potenciální rizika: Zvažte širokou škálu nebezpečí, která ohrožují vaše informace, tedy nejen kybernetické útoky, ale také přírodních katastrofy nebo nehody.
  3. Proveďte hodnocení rizik: Vyhodnoťte pravděpodobnost a dopad každého potenciálního rizika na vaše kritická informační aktiva.
  4. Prioritizujte rizika: Zaměřte se na rizika, která představují největší hrozbu pro vaši organizaci.
  5. Vypracujte plány zvládání rizik: Vytvořte podrobné plány reakce na různé typy rizik a incidentů.
  6. Kontrola a aktualizace: Průběžně kontrolujte a aktualizujte své hodnocení rizik a plány reakce, aby odrážely měnící se okolnosti.

Dodržením těchto kroků můžete vyvinout přizpůsobený přístup pro všechna rizika, který řeší konkrétní rizika, jimž vaše organizace čelí. Trénujte a cvičte: Pravidelně školte zaměstnance o postupech reakce na incidenty a provádějte cvičení pro testování připravenosti.

Klíčové součásti přístupu založeného na všech nebezpečích

Analýza a hodnocení rizik

  • Identifikujte důležitá primární i podpůrná aktiva
  • Určete k nim jejich zranitelnosti.
  • Identifikujte potenciální hrozby
  • Identifikujte potenciální rizika
  • Posuďte pravděpodobnost a dopad těchto rizik.
  • Rizika prioritizujte podle jejich závažnosti.
  • Pravidelně přehodnocujte a řiďte rizika

Zpracování incidentů

  • Stanovení postupů pro efektivní reakci na incidenty a jejich řízení.
  • Vypracujte komplexní plány pro reakci na různé typy incidentů.

Řízení přístupu a správa majetku

  • Správa přístupu k systémům a dalším aktivům
  • Vedení inventury majetku.

Řízení IT a správa zabezpečení

  • Začlenit osvědčené postupy do správy IT
  • Začlenění bezpečnostních opatření během pořizování, vývoje a údržby systémů.

Kontinuita podnikání, krizové řízení a obnova po havárii

  • Vyvinout strategie pro zvládání krizí, včetně vztahů s veřejností a reakce médií.
  • Zajistit kontinuitu provozu během a po incidentech.

Řízení dodavatelského řetězce

  • Řešení bezpečnostních aspektů ve vztazích s dodavateli a poskytovateli služeb.
  • Zapracujte bezpečnostní opatření při pořizování IT služeb

Kybernetická hygiena a školení

  • Pravidelně školte zaměstnance o základních postupech kybernetické bezpečnosti a postupech reakce na incidenty.
  • Proveďte cvičení a simulace pro testování připravenosti.

Spolupráce a koordinace

  • Navažte partnerství s jinými organizacemi, jako jsou vládní agentury a záchranné služby.
  • Koordinovat úsilí k efektivní reakci na incidenty.

Výhody přístupu založeného na všech nebezpečích:

  • Vysoká míra připravenosti na incidenty: Organizace mohou být lépe připraveny reagovat na širší škálu hrozeb.
  • Snížené riziko: Identifikací a zmírněním rizik mohou organizace minimalizovat potenciální škody a narušení.
  • Vylepšená odolnost: Přístup zaměřený na všechna rizika může organizacím pomoci rychleji se odrazit od incidentů.
  • Shoda s předpisy: Dodržování NIS-2 a dalších příslušných předpisů.
  • V zásadě je přístup zaměřený na všechna rizika proaktivní strategií, která pomáhá organizacím být připraveny na jakoukoli možnost. Zvažováním široké škály hrozeb a vypracováním komplexních plánů mohou organizace výrazně zvýšit svou odolnost a chránit svou kritickou infrastrukturu
Doporučujeme znát