Naši zákazníci
Budujeme úzké a dlouhotrvající vztahy s našimi zákazníky a partnery, abychom plnili jejich potřeby, jak nejlépe umíme.
Versa Systems je specializovaná konzultační firma s orientací na management podnikatelských procesů, integrované systémy řízení a systémovou integraci. Při dodávkách našich řešení, produktů a služeb integrujeme zkušenosti z podnikatelských procesů, managementu změn a znalostí a ICT managementu s programovým a projektovým řízením, abychom poskytovali efektivní, podnikové řešení našim zákazníkům.
- Naší strategií je poskytovat řešení "ON DEMAND", tzn., že se snažíme řešit požadavky a problémy našich zákazníků, s kterými si neví rady. Vůči zákazníkům se řídíme heslem: „Popište nám svůj problém a my ho za Vás vyřešíme"
- Naše řešení přináší zákazníkům konkurenční výhodu, zvyšují efektivitu jejich procesů, snižují náklady a podporují jejich neustálý růst.
- Dlouholetá přítomnost na trhu a množství realizovaných projektů v tuzemsku i v zahraničí řadí společnost Versa Systems mezi vedoucí společnosti v oboru.
Jestliže chceme radit ostatním, jak implementovat integrované systémy řízení, měli bychom si to vyzkoušet nejdříve sami na sobě.
Při všech svých podnikatelských činnostech se řídíme Etickým kodexem, který je závazný pro všechny naše pracovníky a partery.
- Každý rok finančně přispíváme na výzkumné projekty ISACA (Information Systems Audit and Control Association).
- Katedru kontroly a řízení jakosti VŠB TÚ Ostrava
- Lyžařský oddíl SKI Bílá
Případová studie
Zavedení ISMS dle standardu Mastercard
Výchozí stav
Organizace patří k významným dodavatelům IT technologií v oblasti systémů založených na využití čipových karet v České a Slovenské republice. Hlavními produkty organizace jsou řešení v oblasti bezpečných transakčních systémů a souvisejících produktů jako je bezpečná komunikace a autentizace splňující nejvyšší bezpečnostní standardy. Řešení jsou využívána v bankovním sektoru, u velkých obchodních řetězců, v soukromých firmách či ve státní správě. Základem dodávaných řešení je vlastní vývoj aplikačního SW vybavení a personalizace karet. Stav řízení informační bezpečnosti nebyl do té doby řešen procesně a systémově. Byla nastavena určitá bezpečnostní pravidla, ale systémový přístup nebyl průkazný.
Tento stav generoval následující problematické oblasti:Pracné a nejednotné řízení informační bezpečnosti ůznými nároky v jednotlivých útvarech
- Izolovaná řešení v jednotlivých útvarech bez možnosti celofiremního pohledu na problematiku informační bezpečnosti
- Malá informovanost o bezpečnostních incidentech v jednotlivých útvarech
- Komplikované získávání podkladů o stavu informační bezpečnosti
- Absence systému delegování odpovědností za jednotlivé oblasti bezpečnosti, neexistence role manažera pro informační bezpečnost
Obchodní cíle
Vzhledem k tomu, že jeden významný zákazník společnosti, bankovní dům, požadoval personalizaci bankovních, platebních karet, stal se tento požadavek iniciátorem naplnění strategického cíle společnosti, a to implementace systému řízení informační bezpečnosti (ISMS) v souladu se standardy ISO/IEC 27001 a Mastercard pro logickou a fyzickou bezpečnost. Implementace ISMS dle požadavků Mastercard není běžným projektem, jak je tomu u implementací ISMS dle ISO/IEC 27001.
Od implementace ISMS dle ISO/IEC 27001 a požadavků Mastercard Organizace očekávala následující zlepšení:
- Proniknutí na nové trhy a rozšíření portfolia „sofistikovaných řešení"
- Integrace a sjednocení současných bezpečnostních postupů a politik do jednoho systému řízení
- Definování centrální politiky ISMS
- Nastavení pravidel a postupů dle požadavků Mastercard
- Zavedení systémového přístupu k managementu rizik založenému na dokumentovaném postupu
- Zlepšení logické a fyzické bezpečnosti personalizace
Řešení
Řešení implementace ISMS vycházelo z požadavku klienta na dosažení shody s požadavky normy ISO/IEC 27001 a standardů Mastercard pro logickou bezpečnost a dosažení certifikace Mastercard tak, aby bylo možno v 10/2012 zahájit výrobu bankovních karet. Implementace a následná certifikace ISMS dle požadavků Mastercard je, v mnoha ohledech, mnohem náročnější, než běžná implementace ISMS dle ISO/IEC 27001. Z pohledu implementace procesního a systémového řízení je postup obou implementací téměř stejný. Dá se říci, že implementace požadavků Mastercard je přísnější a mnohem závaznější v oblasti aplikace jednotlivých bezpečnostních opatření, která jsou uvedena v příloze A normy ISO/IEC 27001. Vzhledem k tomu, že v mnohých případech si nelze vybrat pro realizaci bezpečnostních opatření variantu přenesení rizika na jinou stranu nebo variantu administrativního řešení, je implementace požadavků Mastercard i finančně náročnější nejen z pohledu implementace většinou technologických opatření, ale i z pohledu větších požadavků na potřebu lidských zdrojů a definování různých bezpečnostních rolí a jejich zastupitelnosti. Práce řešitelského týmu, který byl složen z konzultantů na procesní řízení ISMS, specialisty na management rizik a expertů na technologickou bezpečnost a bezpečnostní testování, byly řízeny jako projekt dle metodiky PRINCE2 a s pomocí podpůrné aplikace MS Project. Detailní harmonogram projektu byl sestaven na základě výstupů po provedené úvodní analýze ISMS.
Implementace byla rozdělena do devíti fází:
- Provedení úvodní analýzy ISMS, tj. hledání silných a slabých stránek (SWOT) ve stávajícím systému informační bezpečnosti a stanovení míry plnění požadavků ISO/IEC 27001 a Mastercard. Součástí této fáze bylo i vypracování detailního harmonogramu jednotlivých činností, včetně nároků na lidské zdroje.
- Stanovení rozsahu a struktury ISMS
Hned na začátku implementace je nutné stanovit rozsah a strukturu ISMS, co se bude chránit a na které oblasti organizace se bude ISMS vztahovat. Základním podkladem pro stanovení rozsahu a struktury ISMS byla úvodní analýza (situační audit) ISMS. Dalším zdrojem pro stanovení rozsahu a struktury ISMS byl seznam informačních aktiv, které jsou důležité z hlediska informační bezpečnosti. V této fázi konzultanti Versa Systems společně s pracovníky Organizace vymezili předmět (rozsah) a hranice systému informační bezpečnosti. - Stanovení bezpečnostní politiky (Politika ISMS).
V této fázi byla stanovena politika ISMS tak, aby pokrývala rozsah a hranice ISMS, přičemž se zároveň vycházelo z výsledků úvodní analýzy, která je prakticky nezbytným podkladem pro definování základních principů v bezpečnostní politice. - Zavedení systematického řízení rizik (management rizik), tj. zpracování metodiky pro analýzu, hodnocení a řízení rizik na základě vybraných hrozeb a zranitelností pro aktiva v rozsahu ISMS. Součástí metodiky bylo také stanovení postupu pro definování akceptovatelné/neakceptovatelné úrovně rizika. V této fázi bylo nutné identifikovat a ohodnotit aktiva organizace, včetně přiřazení jejich vlastníků. Dále k daným aktivům se identifikovaly hrozby a zranitelnosti aktiv. Následně bylo třeba stanovit pravděpodobnosti výskytu jednotlivých hrozeb. Nakonec se pro každé aktivum vypočetlo riziko jako součin pravděpodobnosti a dopadu. Analýza rizik byla prováděna formou brainstormingu za účasti jednotlivých vlastníků aktiv, konzultantů Versa Systems a zkušeného moderátora, přičemž se použila metoda „WHAT – IF". Výsledky analýzy rizik byly klíčové pro další postup implementace, především pro výběr variant řízení rizik a vhodných bezpečnostních opatření pro jejich eliminaci.
- Návrh a výběr variant pro řízení rizik a návrh jednotlivých bezpečnostních opatření pro eliminaci neakceptovatelných rizik. Na základě výsledků analýzy rizik a politiky ISMS vypracovali konzultanti Versa Systems návrh variant pro eliminaci rizik a návrh opatření pro řízení rizik. Výstupem z této a předchozí fáze byla podrobná zpráva s popisem neakceptovatelných rizik a návrhem variant a opatření pro jejich eliminaci. Tato zpráva byla prezentována vedení organizace. Zástupci vedení spolu s pracovníky bezpečnostního výboru vybrali pro jednotlivá neakceptovatelná rizika nejvhodnější řešení. Při výběru bezpečnostních opatření vycházeli především z následujících priorit:
- vědomé přijetí rizik, je-li to v souladu s bezpečnostní politikou a systémem řízení rizik (akceptovatelná rizika)
- vyhnutí se rizikům
- přenesení nebo rozložení míry rizika na další strany (například dodavatele, pojišťovny)
- splnění požadavků platných zákonů, požadavků Mastercard, aplikovaných norem a dalších předpisů
- plánovaný rozvoj aktivit organizace a jejího ISMS
- uplatnění „best practices"
- Implementace a provoz ISMS.
Implementace bezpečnostních opatření a jejich testování. Jednalo se o nejsložitější a nejdelší fázi realizace projektu. Na začátku této fáze bylo nutno k vybraným opatřením pro snižování rizik vytvořit plány implementace těchto opatření, tzv. Programy pro zvládání rizik (RTP = Risk Treatment Plans). Takto sestavené plány bylo nutno realizovat v praxi a postupně jednotlivá opatření uvést do provozu. Vedle toho vznikaly a byly uváděny do praxe jednotlivé dokumentované procesy, provozní řády, bezpečnostní a testovací postupy, směrnice a politiky tak, jak to předepisují požadavky Mastercard. Konzultanti Versa Systems vytvořili drafty bezpečnostní dokumentace, šablony a formuláře pro jednotlivé dokumenty a záznamy, které pokrývaly celý životní cyklus systému logické a fyzické bezpečnosti dle požadavků Mastercard. Stěžejní dokumentace – Příručka pro logickou bezpečnost, příručka pro fyzickou bezpečnost, provozní řády pro transakční systém, pro systém personalizace a pro systém KSM (systém generování šifrovacích klíčů) a další dokumenty byly vytvářeny dvojjazyčně pro potřeby zahraničních auditorů. Protože se jedná o poměrně složitou problematiku, byly tyto dokumenty přeloženy do angličtiny experty Versa Systems. Součástí vytvářené dokumentace byly i postupy pro havarijní plánování a obnovy funkčnosti a popis procesu managementu incidentů. Samostatnou kapitolou byl návrh a tvorba dokumentace, včetně pracovních postupů pro bezpečnostní testování, včetně postupů pro testování zranitelností a penetračních testů.
V této fázi bylo nutné zejména:- alokovat zdroje lidské a finanční pro plnění jednotlivých programů řízení rizik, provoz a implementaci ISMS
- připravit programy vzdělávání a zvyšování bezpečnostního povědomí zaměstnanců
- implementovat zvolená opatření prostřednictvím programů řízení rizik
- implementovat postupy a procesy včetně nezbytných kontrol pro denní monitorování a kontrolu informační bezpečnosti
- implementovat systém pro rychlou detekci a reakci na bezpečnostní incidenty a zvyšování účinnosti ISMS
- implementovat plány obnovy funkčnosti jednotlivých systémů (Disaster Recovery Plans)
- Monitorování a přezkoumávání ISMS.
Pro správnou funkci ISMS dle Mastercard bylo nutné zahájit co nejdříve nezbytné kontroly a testování jednotlivých oblastí ISMS tak, aby bylo sebráno co největší množství dat a informací z provozu. Tato data se potom zpracovávala a ve formě reportů byla připravena k prezentaci při auditu Mastercard. Základní činnosti monitorování a měření, které bylo nutné v této fázi provádět, byly následující:- pravidelné ověřování ISMS z hlediska plnění bezpečnostní politiky, cílů a programů pro snižování rizik a s ohledem na výsledky bezpečnostních auditů, incidentů, příp. podnětů zákazníků a jiných stran
- pravidelné hodnocení efektivity implementovaných opatření pro snižování rizik s ohledem na změny v organizaci, technologií, podnikatelských cílech a procesech, identifikovatelných změnách vnějšího prostředí atd.
- realizovat interní systémový audit ISMS, jako jeden ze základních kontrolních nástrojů pro zjištění stavu a úrovně zavedení ISMS
- provést přezkoumávání ISMS vedením
- zaznamenávat všechny činnosti a incidenty, které by mohly mít vliv na efektivitu nebo výkon ISMS
- provádět testování fyzického i logického perimetru pomocí celé řady testů, především testů zranitelnosti a penetračních testů
- vést, zaznamenávat a vyhodnocovat auditní logy, záznamy o činnostech administrátorů atd.
Na všechny výše uvedené kontrolní, monitorovací a testovací činnosti sestavili konzultanti Versa Systems tzv. „Plán bezpečnostních kontrol a údržby". Ve finální verzi tento plán obsahoval celkem 84 aktivit, které je nutné provádět v různých časových intervalech (denně, týdně, měsíčně, kvartálně, půlročně, ročně). V rámci aktivit testování zranitelností specialisté Versa Systems realizovali i testování zranitelností pomocí schváleného testovacího nástroje PCI OUTSCAN (certifikace dle PCI DSS) dle požadavků Mastercard. Tento test se musí provádět kvartálně.
- Certifikační proces Mastercard.
K této fázi se přistoupilo po cca 12 měsících trvání projektu. Certifikace dle požadavků Mastercard je podobný proces jako u certifikace dle ISO/IEC 27001 s tím rozdílem, že trvá nepoměrně déle a je také mnohem důkladnější. Vzhledem k tomu, že auditoři na certifikaci Mastercard jsou ze zahraničí, klade to, kromě náročnosti na technologie a systém ISMS také značné požadavky na kvalifikovaný a jazykově vybavený personál organizace. Konzultanti Versa Systems byli v této fázi přítomni u auditního procesu a zajišťovali nezbytnou podporu pracovníků organizace, samozřejmě v mezích přípustných pravidel. Certifikační audit proběhl úspěšně a v současné době má organizace vydaný certifikát dokladující shodu s kritérii Mastercard a její jméno je zaneseno do schválených dodavatelů Mastercard. - Údržba a zlepšování ISMS.
Je to fáze udržování a dalšího rozvoje implementované a certifikovaného systému. V současné době má Versa Systems uzavřenou postimplementační dohodu (SLA) o údržbě systému ISMS v Organizaci.
Přínosy řešení
- Zákazník má implementovaný a certifikovaný ISMS dle požadavků Mastercard.
- Toto řešení umožňuje Organizaci personalizovat a dodávat platební karty pro bankovní sektor.
- Zavedením ISMS se nastavil systémový a procesní přístup k řízení informační bezpečnosti s jasně definovanými odpovědnostmi za jednotlivé oblasti ISMS, s jasně popsanými postupy a pravidly v ISMS.
- Zavedený systém bezpečnosti informací významně eliminuje možnost úniku informaci, nebo ohrožení důvěrnosti, integrity a dostupnosti informačních aktiv v Organizaci.
- Zavedeným a certifikovaným ISMS se Organizace stává kvalifikovaným dodavatelem v oblasti platebních bankovních karet, což jí otvírá širší možnosti uplatnění jejich produktů v bankovnictví. Organizace je díky certifikaci Mastercard lépe vnímána v bankovním sektoru.
- Zavedení ISMS je i ekonomicky výhodné, neboť náklady se postupně vrátí zejména cestou minimalizace případných ekonomických ztrát, plynoucích z částečné nebo úplné ztráty informací či nedostupnosti procesů Organizace. Náklady na systém se vrátí také realizací zisků v dodávkách produktů, které podléhají certifikaci Mastercard.
Náš systém řízení je certifikován podle následujících mezinárodních norem
Pro oblasti:
- Konzultační služby v oblasti podnikového poradenství a managementu podnikových procesů - BPM
- Konzultační služby v oblasti systémové integrace systémů managementu
- Konzultační služby v oblasti kybernetické a informační bezpečnosti
- Poskytování produktů a služeb v oblasti projektového a programového managementu
Pro oblasti:
- Konzultační služby v oblasti podnikového poradenství a managementu podnikových procesů - BPM
- Konzultační služby v oblasti systémové integrace systémů managementu
- Konzultační služby v oblasti kybernetické a informaéni bezpečnosti
- Poskytování produktů a služeb v oblasti projektového a programového managementu
Pro oblasti:
- Poskytování služeb v oblasti monitorování a správy it infrastruktury , včetně monitorování informační bezpečnosti
- Poskytování služeb v oblasti managementu bezpečnosti informací, iformační a kybernetické bezpečnosti a bezpečnosti ics/scada.
- Poskytování služeb v oblasti testování a auditů informační a kybernetické bezpečnosti
- jsme certifikováni Národním bezpečnostním úřadem na st. "TAJNÉ"
- jsme schváleným poskytovatelem a integrátorem bezpečnostních řešení OUTPOST 24 v oblasti testů zranitelností a penetračních testů, jakož i testování dle PCI DSS, MasterCard a VISA
- jsme schváleným školicím partnerem PECB pro pořádání akreditovaných kurzů dle ISO 17024
- jsme pojištěni za škody způsobené podnikatelskou činností až do výše 10 mil. KČ
Významní zákazníci
Logo | Společnost | Popis reference |
---|---|---|
AT COMPUTERS a.s. | Konzultační činnost v rámci přípravy k certifikaci systému managementu jakosti pro Nákup, vývoj, výroba a prodej PC dle ČSN EN ISO 9001 | |
Autocont a.s. | Zavádění systému managementu jakosti pro Výroba PC a výstavby servisní sítě dle ČSN EN ISO 9001 a ČSN EN ISO 9002 | |
PPL CZ s.r.o. | Budování systému managementu jakosti pro činnost Expresní přeprava balíkového zboží a příprava k certifikaci dle ČSN EN ISO 9001 | |
SITA Ecotech, s.r.o. | Příprava k certifikaci systému managementu jakosti a EMS pro činnost Dekontaminace zeminy a zpracování odpadů dle ČSN EN ISO 9001 a ČSN EN ISO 14001 | |
KOVONA SYSTEM, a.s. | Smlouva o provedení školení interních auditorů. | |
RWE Transgas, a.s. | Konzultace k ISMS - přípravná fáze nového projektu. Implementace ISMS dle ISO 27001 | |
ŠKODA AUTO a.s. | Audit systému informační bezpečnosti dle ISO/IEC 27001. „Analýza dopadů – BIA (Business Impact Analysis) v podmínkách ŠKODA - AUTO“ - provedení analýzy dopadů nad všemi kritickými procesy a aplikacemi v koncernu ŠKODA - AUTO. Analýza rizik dle ISO/IEC 27005 - provedení školení pro vybrané pracovníky ŠKODA - AUTO. | |
Česká pošta, s.p. | Odborná příprava k certifikaci integrovaného systému managementu jakosti a bezpečnosti informací pro poskytování informačních služeb v oblasti veřejných zakázek, veřejných dražeb a ostatních nabídek dle ISO 9001 a ISO/IEC 27001
(Pracoviště centrální adresy a Uveřejňovacího subsystému Informačního systému o veřejných zakázkách (OZ VAKUS Vítkov)
| |
České dráhy, a.s. | Vstupní analýza systému bezpečnosti informací dle ISO/IEC 27001
|