Important
POZNÁMKA: Tento repozitář obsahuje anonymizovanou a modelovou dokumentaci. Veškerá data, názvy aktiv a scénáře rizik jsou fiktivní a slouží výhradně pro demonstrační účely jako šablona pro implementaci GRC procesů.
Komplexní rámec pro řízení informační bezpečnosti (ISMS) v prostředí telemetrických IoT/OT řešení. Tento projekt představuje praktickou implementaci principů Governance, Risk & Compliance (GRC) navrženou specificky pro monitoring vozového parku a kritickou infrastrukturu.
Projekt je plně v souladu s požadavky norem ISO 27001:2022 a evropské směrnice NIS2.
- Integrované řízení: Propojení evidence aktiv s analýzou rizik a konkrétními bezpečnostními politikami.
- IoT/OT specifika: Řešení rizik spojených s telemetrickými jednotkami, integritou firmwaru a privátní konektivitou (APN).
- Audit-Ready: Dokumentace je strukturována tak, aby sloužila jako přímý podklad pro certifikační audity.
- Asset-Risk Register CORE.xlsx – Komplexní matice obsahující:
Asset Register: Seznam aktiv, jejich vlastníci, síťové parametry a kritičnost (CIA).
Risk Register: Identifikace hrozeb, hodnocení dopadů a katalog nápravných opatření (mitigace).
Statement of Applicability (SoA): Klíčový dokument pro audit, který mapuje opatření normy ISO 27001:2022 na konkrétní politiky v tomto repozitáři a zdůvodňuje jejich (ne)použití.
Tyto dokumenty definují procesní rámec pro ochranu aktiv uvedených v registru:
| Dokument | Popis | Cílová oblast |
|---|---|---|
| Politika ISMS | Hlavní nadřazený dokument řízení bezpečnosti. | Strategie & Governance |
| Řízení přístupu | Pravidla pro MFA, hesla a RBAC. | Identita (RISK-USR-01) |
| Správa zranitelností | Cyklus skenování a SLA pro opravy. | Technický dluh (RISK-VULN-01) |
| Řešení incidentů | Postup hlášení a eskalace (6 kroků). | Reakce na hrozby |
| Zásady přijatelného užití (AUP) | Pravidla bezpečného chování pro zaměstnance. | Lidský faktor |
| Anti-Malware Politika | Ochrana před škodlivým kódem a ransomwarem. | Endpoint Security |
| Zálohování a obnova | Strategie kontinuity a obnovy dat. | Business Continuity |
| Řízení změn | Proces schvalování a testování změn v infrastruktuře. | Provozní stabilita |
| Likvidace médií | Postupy pro bezpečné ničení datových nosičů. | Fyzická bezpečnost |
| Ochrana soukromí (Privacy) | Zpracování osobních údajů v souladu s GDPR. | Compliance |
| Kryptografická politika | Pravidla pro šifrování dat (at rest/in transit) a správu klíčů. | Data Protection |
| Clear Desk & Clear Screen | Pravidla pro čistý stůl a zamykání obrazovek na pracovišti. | Fyzická bezpečnost |
| Práce na dálku (Home Office) | Bezpečnostní standardy pro práci mimo zabezpečené prostory firmy. | Vzdálený přístup |
| Mobilní zařízení a koncové body | Zabezpečení mobilů, notebooků a BYOD (řeší RISK-MDM-01). | Endpoint Security |
| Bezpečnost provozu (Ops-Sec) | Postupy pro bezpečný provoz IT systémů a logování aktivit. | Provozní bezpečnost |
| Business Continuity Plan (BCP) | Strategie zachování kritických funkcí firmy při rozsáhlém výpadku. | Kontinuita provozu |
| Disaster Recovery Plan (DRP) | Technické postupy obnovy IT infrastruktury po havárii. | Obnova systémů |
| Správa klíčů (Key Management) | Životní cyklus šifrovacích klíčů a certifikátů (HSM, rotace). | Kryptografie |
| Bezpečné CI/CD (DevSecOps) | Integrace bezpečnosti do vývojového cyklu a nasazování kódu. | Bezpečnost vývoje |
| Threat Intelligence Process | Metodika sběru a analýzy informací o aktuálních kyberhrozbách. | Proaktivní obrana |
- Audit aktiv: Identifikujte kritická aktiva v listu
Asset Register. Určete jejich vlastníky a ohodnoťte je z pohledu důvěrnosti, integrity a dostupnosti (CIA). - Analýza rizik: V listu
Risk Registervyhodnoťte hrozby pro tato aktiva. Propojte zjištěná rizika s konkrétními vlastníky a definujte plány na jejich zvládnutí (Risk Treatment). - Verifikace přes SoA: V listu
Statement of Applicability (SoA)ověřte, zda jsou implementována všechna relevantní opatření přílohy A normy ISO 27001:2022. Každé aplikované opatření musí odkazovat na příslušnou politiku nebo technickou kontrolu. - Mitigace rizik: Aplikujte procesní opatření definovaná v adresáři
Policies/na konkrétní rizika potvrzená v SoA. - SLA Compliance: Sledujte lhůty pro opravy zranitelností a revize dokumentace podle technické kritičnosti a požadavků na shodu (compliance).
Tento repozitář slouží jako "živý" základ. Při úpravách pro vlastní potřebu doporučujeme revidovat matici rizik alespoň jednou ročně nebo při významné změně infrastruktury.