Kontrolní seznam minimální kybernetické bezpečnosti
Rychlá orientační kontrola pro školy, úřady a menší organizace, které chtějí ověřit, jestli mají pokryté základní oblasti minimální kybernetické bezpečnosti a kde jsou největší mezery.
- Vhodné pro vedení i správce
- Rychlá orientační kontrola
- Navazuje na bezpečnostní analýzu nebo GAP analýzu
Jak kontrolní seznam používat
Kontrolní seznam není náhradou bezpečnostní analýzy ani GAP analýzy. Je to orientační podklad pro první zmapování stavu, priorit a oblastí, které už pravděpodobně potřebují hlubší ověření.
Projít po blocích
Nesnažte se vyplnit vše najednou. Dává smysl projít seznam po tematických oblastech a doplňovat jen to, co umíte doložit.
Označit nejasná místa
Pokud si nejste jistí, neberte položku jako splněnou. Právě nejasné oblasti bývají nejcennější vstup pro bezpečnostní analýzu nebo GAP analýzu.
Oddělit rychlé kroky
Některé body mají jasný provozní dopad a lze je řešit rychle. Jiné už znamenají projekt nebo změnu odpovědností.
Navázat dalším krokem
Pokud ze seznamu vyjde více nejasností nebo slabin, má smysl navázat kontaktem a potvrdit, jestli je první správný krok bezpečnostní analýza, GAP analýza nebo náprava.
Co kontrolní seznam pokrývá
Obsah vychází ze souhrnného kontrolního seznamu a je upravený jako samostatný veřejný podklad na hlavní doméně.
Řízení a odpovědnosti
Bezpečnostní politika, přehled opatření, odpovědnost vedení a určení osoby pověřené kybernetickou bezpečností.
Uživatelé a přístupy
Životní cyklus účtů, autentizace, MFA, správa hesel a centrální řízení identit a oprávnění.
Technická ochrana a provoz
Perimetr, ochrana před škodlivým kódem, logování, segmentace, vzdálená správa a aktualizace.
Kontinuita a obnova
Zálohování, priorita obnovy, obnova technických aktiv a návaznost na kontinuitu činností.
Dodavatelé a životní cyklus aktiv
Bezpečnostní požadavky při akvizici, vývoji a údržbě i řízení bezpečnosti dodavatelů.
Incidenty a významnost dopadu
Detekce událostí, reakce na incidenty, metodika významnosti dopadu a závěrečná zpráva.
Zkrácený kontrolní seznam po oblastech
Výběr níže funguje jako první orientační průchod. Pokud potřebujete, aby se z něj stal obhajitelný plán práce, dává smysl navázat bezpečnostní analýzou nebo GAP analýzou.
Řízení, dokumentace a vedení
- Existuje schválená bezpečnostní politika a navazující bezpečnostní dokumentace.
- Existuje přehled bezpečnostních opatření a je pravidelně aktualizován.
- Je určena osoba pověřená kybernetickou bezpečností a má svěřené pravomoci.
- Vrcholné vedení se pravidelně seznamuje se stavem kybernetické bezpečnosti a zajišťuje potřebné zdroje.
Lidé, školení a vynucování pravidel
- Existuje politika bezpečného chování uživatelů a je dostupná relevantním osobám.
- Probíhá vstupní i pravidelné školení uživatelů, administrátorů a vedení.
- Existují pravidla pro řešení porušení bezpečnostní politiky a jsou v praxi používaná.
Účty, přístupy a autentizace
- Každý uživatel a administrátor má vlastní jednoznačný účet a jen nezbytná oprávnění.
- Přístupová práva se pravidelně přezkoumávají a po změně role se upravují bezodkladně.
- Je používána vícefaktorová autentizace nebo odpovídající odolný mechanismus.
- Jsou vynucena pravidla pro délku hesel, jejich změnu a ochranu při ukládání i přenosu.
Technická ochrana a provozní bezpečnost
- Na perimetru komunikační sítě probíhá kontrola komunikace a blokování neautorizovaných toků.
- Servery a stanice jsou chráněné proti škodlivému kódu a ochrana je centrálně spravovaná.
- Je zajištěné logování, notifikace a reakce na bezpečnostní události.
- Komunikační síť je segmentovaná a vzdálená správa je povolená jen v nezbytném rozsahu.
Kontinuita, zálohy a obnova
- Je stanovena priorita obnovy primárních i technických aktiv.
- Existuje popis zálohování, zálohy jsou oddělené od produkce a citlivé zálohy jsou šifrované.
- Jsou vedené záznamy o testech obnovy a existuje pořadí a postup obnovy.
Dodavatelé, zranitelnosti a incidenty
- Dodavatelé jsou posuzovaní z pohledu bezpečnostních rizik a smlouvy obsahují relevantní požadavky.
- Probíhá pravidelné skenování zranitelností a na zjištění navazují přiměřená opatření.
- Existuje metodika pro posuzování událostí a incidentů včetně významnosti dopadu.
Kdy kontrolní seznam nestačí
Orientační kontrola je dobrý první filtr. Nestačí ve chvíli, kdy potřebujete výstup obhájit vůči vedení, zřizovateli, koordinátorovi nebo dodavateli.
Nejste si jistí, co je opravdu splněné
Typický signál pro bezpečnostní analýzu nebo GAP analýzu. Samotný kontrolní seznam neoddělí deklaraci od skutečného stavu.
Potřebujete prioritu a plán
Pokud je slabin víc, kontrolní seznam neřekne, co má přijít první a kde je největší dopad na provoz nebo regulaci.
Potřebujete navázat nápravou
Kontrolní seznam je vstup. Pro změny v identitách, konfiguraci, aplikacích nebo provozu je potřeba další služba s konkrétním rozsahem.
Co si projít před navázáním další služby
Kontrolní seznam je vstup. Pokud potřebujete potvrdit rozsah, formu spolupráce nebo podobu výsledného výstupu, navazují tyto dvě veřejné stránky.
Průběh spolupráce
Jak probíhá spolupráce
Vysvětlení rozsahu, práce s podklady a navazujícího kroku od prvního kontaktu po finální výstup.
Podoba výstupu
Jak vypadá výstup
Přehled toho, co dostane vedení, správce nebo technický tým a jak se z výstupu stává plán další práce.
Chcete projít kontrolní seznam a převést ho do priorit?
Pošlete krátký popis organizace, kdo seznam prošel a kde jsou největší nejasnosti. Navrhnu, jestli má navázat bezpečnostní analýza, GAP analýza nebo konkrétní nápravný krok.