KYBERBEZPEČNOST

Obecné údaje o podniku

Název podniku

IČO

Strategie v oblasti kyberbezpečnosti

Vyberte všechna tvrzení, která odpovídají situaci v podniku:

podnik je závislý na unikátním know-hownapř. patent, jedinečná technologie, výrobní postup, znalost apod.

při úniku informací o zákaznících a zakázkách by došlo k vážnému ohrožení existence podniku

výpadek informačních systémů částečně nebo zcela znemožňuje fungování podniku

fungování podniku je závislé na kontinuálním připojení k internetu

někteří zaměstnanci pracují částečně nebo úplně z domova

většina komunikace se zákazníky probíhá elektronicky

většina komunikace s dodavateli probíhá elektronicky

Je v podniku zpracována strategie kyberbezpečnosti / ochrany dat? jedná se zpravidla o dokument, který shrnuje dlouhodobé vize v této oblasti, sestavuje se na 3–5 let a vychází z něj všechny další postupy a směrnice

ano

Jakou má formu? je součástí celopodnikové strategie jedná se o samostatný dokument v rámci IT dokumentace

Pro která z následujících témat má podnik vypracovány závazné postupy řešení?např. formou směrnice, strategie, rozpočtu, plánu nebo metodiky

analýza rizik v oblasti kyberbezpečnosti

plány zálohování

identity management

nastavení práv a hesel

kategorizace dat na citlivá, interní a veřejná

školení v oblasti kyberbezpečnosti

testování nových systémů

aktualizace a obnova hardware

aktualizace software

rozpočet pro oblast kyberbezpečnosti

samostatný součást rozpočtu na IT součást jiné rozpočtované podkapitoly

ochrana dat a know-how mimo podnikslužební cesty, společné cestování pracovníků top managementu apod.

GDPR

Do jakých nástrojů v oblasti kyberbezpečnosti / ochrany dat podnik v posledních dvou letech investoval? např. formou směrnice, strategie, rozpočtu, plánu nebo metodiky

Nástroj

Popis

Roční nákladjednorázovou investici přepočtěte na dobu životnosti

Vyberte charakter řízení dokumentace:

	plně řízenádokumenty jsou pravidelně revidovány a aktualizovány podle předem stanoveného plánu	částečně řízenádokumenty jsou revidovány v případě potřeby, mimořádné události nebo při velkých změnách v podniku	neřízenádokumenty byly vypracovány pouze jednou a od té doby se neaktualizují a nerevidují	dokumentace neexistuje
analýza rizik v oblasti kyberbezpečnosti
plány zálohování a obnovitelnost dat
identity management
nastavení práv a hesel
kategorizace dat na citlivá, interní a veřejná
školení v oblasti kyberbezpečnosti
testování nových systémů
aktualizace a obnova hardware
rozpočet pro oblast kyberbezpečnosti
ochrana dat a know-how mimo podnik
GDPR

Provádí podnik audit/posouzení oblasti kyberbezpečnosti?

ano

	nepravidelně nebo při mimořádných událostech	pravidelně jednou za rok až dva roky	pravidelně jednou za tři a více let
interní
externí

Je v podniku jmenována osoba odpovědná za kyberbezpečnost?

ano, je jím člen top managementu

ano, je jím pracovník IT

ano, je jím jiný zaměstnanec:

Došlo v podniku v minulosti k úniku dat, jejich zablokování nebo ztrátě v důsledku kybernetického útoku nebo jiného narušení bezpečnosti?např. odcizení notebooku, narušení komunikační sítě, zavirování klíčových zařízení, únik prostřednictvím nespokojeného zaměstnance, průmyslová špionáž apod.

ano

Které z následujících reakcí podnik realizoval? bezpečnostní audit úprava příslušných bezpečnostních směrnic vytvoření nové dokumentace reflektující aktuální hrozby úprava souvisejících procesů a postupů realizace opatření vedoucích ke zvýšení bezpečnosti proškolení zaměstnanců, jejichž chování hrozbu způsobilo proškolení všech zaměstnanců v podniku právní kroky proti původci hrozby žádnou

Byl odhalen původce incidentu ano ne

ne, ale podnik čelil kybernetickému útoku / bezpečnostnímu incidentu, kterému se podařilo zabránit

ne, podnik nebyl v minulosti vystaven kybernetickému útoku

Infrastruktura

Vlastní podnik budovy, v nichž podniká?

ano, všechny

ano, některé

Jsou podnikem využívané rozvody a sítě chráněny před neoprávněnými zásahy?

rozvody nemáme pod kontrolou

ano, splňují běžnou úroveň ochrany

ano, splňují přísnější než běžnou úroveň ochrany

Kterými z následujících prvků ochrany infrastruktury podnik disponuje?

krizové zdroje elektrické energie (UPS)

systém kontroly přístupu do budovy / kanceláří podnikučipy, turnikety, recepce evidující návštěvy apod.

elektronický systém ochrany budovalarmy, zabezpečovací systémy připojené na PCO, kamerové systémy se záznamem apod.

ochrana budov osobamizabezpečovací služba, interní/externí security, hlídač apod.

žádným z uvedených

Které z následujících prvků IT infrastruktury podnik využívá?

fyzické servery/úložiště v majetku podniku

fyzické servery/úložiště provozované externím poskytovatelem

virtuální servery

cloudová úložiště

zálohové servery/úložiště mimo sídlo podniku

žádný z uvedených

Existují v podniku pravidla pro ukládání různých kategorií dat na příslušná úložiště?např. do cloudového úložiště nesmí být uložena citlivá data, data o zakázkách nesmí být ukládána na lokální disky notebooků apod.

ano, pravidla jsou stanovena písemně zpracovanou směrnicí

ano, pravidla jsou stanovena neformálně

ne, taková pravidla nemáme

Jak přistupuje podnik k zálohování klíčových dat?

pro zálohování jsou stanovena jasná pravidla, klíčová data jsou zálohována automatizovaně

klíčová data pravidelně zálohujeme, jasná pravidla však stanovena nejsou

zálohování probíhá nepravidelně a nesystematicky

Zálohová média a jejich využití:

	ano	částečně	ne
zálohová média jsou zabezpečena před poškozením, zcizením a zneužitím
životnost zálohových médií odpovídá době, po kterou musí být data ze záloh spolehlivě obnovitelná
zálohová média se nacházejí mimo hlavní lokalitu podnikání
pro likvidaci zálohových médií existuje v podniku jasně stanovený postup

HW a SW

Mohou zaměstnanci používat pro pracovní činnosti vlastní IT zařízení?tzv. BYOD – Bring Your Own Device, týká se obvykle notebooků, tabletů, mobilních telefonů, flash disků apod.

ano, ale pouze za zcela jasně stanovených podmínek popsaných v příslušné směrnici

ano, pokud dodržují základní, obecně známá bezpečnostní pravidla

ano, používání vlastních zařízení nijak nesledujeme a neomezujeme

ne, je to zakázáno

Vyskytují se v podniku periferní zařízení s přímým přístupem do interního systému?např. síťové tiskárny a kopírky, čtečky čárových kódů, skladové a výrobní terminály, on-line kamerové systémy, automatizovaná výrobní zařízení apod.

ano

Zabývá se podnik bezpečností provozu těchto zařízení? ano, podnik má nastavený proces pravidelné kontroly a údržby těchto zařízení ano, ale provoz těchto zařízení není z hlediska bezpečnosti nijak cíleně kontrolován ne, bezpečnost v této oblasti nijak neřešíme

Omezuje podnik některá periferní zařízení?např. zákaz vnášení/připojování USB disků, blokování kamer na noteboocích a telefonech, zákaz instalace zařízení od určitých dodavatelů apod.

ano

Jakými způsoby podnik zajišťuje HW?

	netýká se nás	nákup	pronájem / operativní leasing	externí provozovatel služby	jinak
výrobní technika s přístupem do podnikových systémů

skladovací a expediční technika s přístupem do podnikových systémů

komunikační infrastruktura (ústředny, AP, routery, …)

osobní IT zařízení (notebooky, telefony, tablety, …)

okrajová zařízení s přístupem do podnikových sítí (tiskárny, čtečky, …)

docházkové a vstupní systémy (turnikety, docházkové terminály, …)

Jakou podobu má v podniku oddělení odpovědné za informační a komunikační technologie?

veškeré IT činnosti zajišťuje podnik interně

podnik má vlastní IT oddělení, které řeší strategii, operativní činnosti a koordinuje externí dodavatele

podnik má vlastní IT oddělení, které má pouze strategickou a koordinační roli, operativní činnosti jsou zajišťovány externě

podnik nemá IT oddělení, strategie v oblasti IT spadá do působnosti top managementu a veškeré ostatní činnosti jsou zajišťovány externě

jinou

Představují podnikové systémy věrný odraz reality v podniku?data jsou aktuální, pravdivá, odpovídají realitě, na jejich základě je možné realizovat rozhodnutí

ano, zcela

ano, až na drobné odchylky způsobené časovou prodlevou při aktualizaci

ano, ale jen v některých systémech

ne, některá data jsou neaktuální

ne, data v systémech vůbec neodpovídají realitě a jsou výrazně zastaralá

Jakým způsobem jsou přenášena data mezi jednotlivými systémy v podniku?

máme pouze jeden systém, data se nijak nepřenáší

data přepisujeme manuálně

přenosy jsou částečně manuální a částečně automatizované

přenosy jsou většinou automatizované, manuálně data přenášíme jen výjimečně

přenosy dat jsou plně automatizované

Vyberte všechny režimy fungování síťových prvků v podnikuroutery, modemy, IP a VoIP telefony, switche, extendery atd.

	spravovatelné	nespravovatelné
pod přímou kontrolou podniku
mimo kontrolu podniku

Je některý z informačních systémů v podniku natolik unikátní a specifický, že není možné přejít na jiný systém?

ne, přechod je realizovatelný

ano, přechod by vyvolal velké komplikace a/nebo vysoké náklady

ano, na jednom nebo více systémech jsme zcela závislí

Vyberte všechna tvrzení, která odpovídají realitě v podniku:

některá koncová zařízení jsou provozována na neaktualizovaných a již nepodporovaných operačních systémech

veškerá zařízení jsou chráněna antivirovým systémem

využívaný antivirový systém je licencovaný (samostatně nebo jako součást licencovaného operačního systému)

operační systémy na jednotlivých zařízeních mají platné a aktuální licence

informační systémy v podniku jsou navzájem kompatibilní

veškerý instalovaný SW je určen ke komerčnímu použití

Zaměstnanci

Školení zaměstnanců v oblasti bezpečnosti a nakládání s daty probíhá:

	při nástupu do pracovního poměru	pravidelně jednou za nejvýše dva roky	pravidelně jednou za tři a více let	při zavedení nového postupu, systému nebo technologie	při mimořádných událostech
interně
externě

S klíčovými informacemi přichází do kontaktu v podniku řada lidí, z nichž někteří mohou být obtížně nahraditelní nebo zastupitelní(např. jediný pracovník IT, který má přístupové údaje, jediný pracovník účetního oddělení, který zná detaily finančních transakcí, jediný obchodník, který zná detaily zakázky, jediný pracovník výroby, který zná správný technologický postup apod.). Vyskytuje se v podniku nebo mezi jeho externími spolupracovníky taková osoba?

ne, fungování podniku není závislé na odchodu konkrétních jednotlivců

v podniku je jeden nebo několik lidí, jejichž odchod by znamenal zásadní komplikaci

ano, taková osoba nebo osoby v podniku jsou a jejich odchod by mohl podnik zcela paralyzovat

Které z následujících postupů v rámci kyberbezpečnosti jsou v podniku vyřešeny formou závazného předpisu/pokynu?

pravidla pro tvorbu a nakládání s přístupovými údajijaký typ hesel a jak často se mění, jak jsou hesla zabezpečena atd.

typy uživatelských oprávnění, jejich přidělování a odebíráníkdo má kam přístup, s jakými právy atd.

postup při výběru dodavatelůpodle jakých pravidel jsou vybíráni a prověřováni dodavatelé IT

pravidla čistého stolu a prázdné obrazovkyzaměstnanci mají povinnost zamykat počítače při odchodu, nenechávat citlivé dokumenty volně ležet atd.

pravidla chování zaměstnanců v pracovní době / v podnikové sítivyužívání šifrování, VPN, zákaz instalace potenciálně nebezpečných aplikací, …

zásady bezpečné komunikacevyužívání šifrování, VPN, zákaz instalace potenciálně nebezpečných aplikací, …

pravidla netikety a sdílení informacíchování zaměstnanců na sociálních sítích, formát e-mailů, zasílání příloh, vyjadřování o podniku na veřejnosti atd.

Dodržují se v podniku tyto postupy?

	ano, úplně	ano, s drobnými odchylkami	ano, ale jen částečně	jen základní rámec	ne, formální pravidla se v praxi nedodržují
pravidla pro tvorbu a nakládání s přístupovými údaji
typy uživatelských oprávnění, jejich přidělování a odebírání
postup při výběru dodavatelů
pravidla čistého stolu a prázdné obrazovky
pravidla chování zaměstnanců v pracovní době / v podnikové síti
zásady bezpečné komunikace
pravidla netikety a sdílení informací

Které z následujících postupů podnik využívá při odchodu zaměstnanců, kteří potenciálně mohou způsobit únik dat?

jednotně zpracovaný proces rozvázání pracovního poměru

dohody o mlčenlivosti

konkurenční doložky

omezení přístupů k interním systémům ve výpovědní době

omezení přístupu na pracoviště ve výpovědní době

deaktivace systémových účtů

zesílené sledování aktivit zaměstnance ve výpovědní době

žádný z uvedených

Identifikační údaje

Jméno a přijmení

Funkce ve firmě

Telefon

E-mail

KYBERBEZPEČNOST

Realizováno za finanční podpory Jihomoravského kraje v rámci aktivit projektu BRNO INDUSTRY 4.0 FUTURE.