Analýza rizik NIS2: Kybernetická bezpečnost v praxi

Nový zákon o kybernetické bezpečnosti a evropská směrnice NIS2 ukládají firmám povinnost zavést systematické řízení rizik kybernetické bezpečnosti. Jádrem všech požadavků je právě analýza rizik – a zde většina organizací naráží na otázku: jak ji správně a efektivně provést?

Tento kurz vás posune od teorie k praxi. Na konkrétním modelovém příkladu si vyzkoušíte celý postup analýzy rizik: identifikaci aktiv, hodnocení hrozeb a zranitelností, výpočet rizik a návrh bezpečnostních opatření – přesně v souladu s NIS2 a ZoKB.

• Management firem spadajících pod NIS2 a nový zákon o kybernetické bezpečnosti.
• Bezpečnostní manažeři a IT manažeři odpovědní za ochranu informačních aktiv.
• Risk manažeři a compliance specialisté podílející se na přípravě povinné dokumentace.
• Každý, kdo bude v praxi zodpovídat za analýzu rizik – identifikaci aktiv, hodnocení hrozeb a nastavení procesu.

• Proč je analýza rizik zásadní pro splnění požadavků NIS2 a ZoKB
• Základní pojmy: aktivum, hrozba, zranitelnost, riziko
• Přehled metodik, Vazba na systém řízení bezpečnosti informací 

• Typy aktiv: hardware, software, data, služby, procesy
• Praktický postup tvorby registru aktiv
• Přiřazení vlastníků aktiv
• Cvičení: sestavení seznamu aktiv pro modelovou firmu

• CIA triáda (důvěrnost, integrita, dostupnost)
• Hodnocení dopadů narušení aktiva
• Cvičení: ohodnocení vybraných aktiv

• Typové hrozby a zranitelnosti
• Využití katalogů hrozeb a zranitelností (NÚKIB, ENISA)
• Cvičení: mapování hrozeb a zranitelností na konkrétní aktiva

• Výpočet rizika
• Popis rizika
• Riziková matice (low/medium/high)
• Cvičení: vyhodnocení rizik pro modelový příklad

• Strategie zvládání rizik 
• Návrh a prioritizace bezpečnostních opatření
• Vazba na plán zvládání rizik
• Cvičení: návrh opatření pro vybraná rizika

• Povinné výstupy 
• Rizikový registr a plán zvládání rizik
• Reporting pro management

• Shrnutí procesu analýzy rizik 
• Doporučení pro zavedení do praxe
• Diskuze a odpovědi na dotazy

Je kurz vhodný i pro začátečníky bez zkušeností s analýzou rizik?

• Ano. Kurz je zařazen na úroveň „základní" a nevyžaduje předchozí znalosti analýzy rizik. Postačují orientační znalosti IT nebo podnikového prostředí.

Proběhne kurz online nebo prezenčně?

• Kurz probíhá v obou formátech – jako virtuální učebna online i jako prezenční výuka v Praze. 

Jak se kurz vztahuje k ISO 27005 a ISO 27001?

• Metodika kurzu vychází z požadavků NIS2/ZoKB a je v souladu s normami ISO 27005 (řízení rizik informační bezpečnosti) a ISO 27001 (systém řízení bezpečnosti informací). Kurz lze použít jako praktický základ pro implementaci těchto norem.

Lze kurz objednat jako firemní školení na míru?

• Ano. Pumpedu nabízí tento kurz i jako in-house školení přizpůsobené procesům a prostředí vaší organizace. Kontaktujte tým na edu@pumpedu.cz.

V ceně kurzu jsou studijní materiály v anglickém jazyce, v elektronické podobě, které vám pomohou udržet si jasnou strukturu celého postupu i po školení. Materiály jsou prakticky zaměřené tak, abyste se k nim mohli vracet při řešení reálných problémů ve firmě.

• Přehled klíčových principů a postupů – vše důležité na jednom místě
• Prakticky využitelné i po kurzu – jako opora při řešení problémů v praxi

Po absolvování kurzu budete schopni:

• Provést identifikaci a klasifikaci aktiv (hardware, software, data, procesy) a sestavit registr aktiv
• Ohodnotit aktiva podle principů CIA triády (důvěrnost, integrita, dostupnost)
• Mapovat hrozby a zranitelnosti s využitím katalogů NÚKIB a ENISA
• Vypočítat a vizualizovat rizika pomocí rizikové matice (low / medium / high)
• Sestavit rizikový registr a navrhovat bezpečnostní opatření
• Zpracovat plán zvládání rizik a reporting pro management v souladu s NIS2 a ZoKB