Martin Hořický
Partner • Digital Services
Ověření kybernetické bezpečnosti podle australského rámce ASD
IRAP (Information Security Registered Assessors Program) a ASD Essential Eight jsou bezpečnostní rámce vytvořené australským Australian Signals Directorate (ASD).
Tyto standardy pomáhají organizacím zlepšit kybernetickou bezpečnost a splnit požadavky australské vlády při poskytování IT nebo cloudových slu
ASD Essential Eight definuje základní bezpečnostní opatření pro ochranu organizací před kybernetickými hrozbami, zatímco IRAP poskytuje proces nezávislého bezpečnostního posouzení.
Co je ASD Essential Eight
ASD Essential Eight je soubor osmi bezpečnostních strategií vytvořených australským National Cyber Security Centre.
Cílem je pomoci organizacím chránit jejich systémy před nejčastějšími kybernetickými útoky.
Essential Eight představuje základní bezpečnostní rámec, který se používá napříč australským veřejným sektorem i v soukromých organizacích.
Maturity model Essential Eight
Essential Eight využívá model úrovní zralosti (Maturity Levels), který pomáhá organizacím postupně zlepšovat bezpečnost.
Úroveň | Charakteristika | |
Maturity Level 1 | 🡺 | základní ochrana proti běžným útokům |
Maturity Level 2 | 🡺 | pokročilejší ochrana proti cíleným útokům |
Maturity Level 3 | 🡺 | vysoká úroveň bezpečnosti |
Organizace mohou postupně zvyšovat svou úroveň zralosti podle potřeb a rizikového profilu.
Osm bezpečnostních kontrol Essential Eight
1. Application Control
omezení spouštění neautorizovaných aplikací
2. Patch Applications
pravidelné aktualizace aplikací
3. Patch Operating Systems
aktualizace operačních systémů
4. Multi-Factor Authentication
používání vícefaktorového ověřování
5. Restrict Administrative Privileges
omezení administrátorských oprávnění
6. Configure Microsoft Office Macro Settings
řízení spouštění maker
7. User Application Hardening
zabezpečení aplikací
8. Regular Backups
pravidelné zálohování dat
Co je IRAP
IRAP (Information Security Registered Assessors Program) je program vytvořený australským ASD, který umožňuje nezávislé posouzení bezpečnosti IT systémů.
IRAP poskytuje rámec pro:
- bezpečnostní audit informačních systémů
- posouzení cloudových služeb
- hodnocení souladu s bezpečnostními požadavky vlády
IRAP audity provádějí akreditovaní IRAP assessors, kteří posuzují implementaci bezpečnostních kontrol v organizaci.
Pro koho je IRAP relevantní
IRAP je relevantní zejména pro organizace, které:
- poskytují cloudové služby australské vládě
- provozují systémy zpracovávající citlivá data
- chtějí prokázat vysokou úroveň kybernetické bezpečnosti
IRAP je často vyžadován při poskytování cloudových služeb pro veřejný sektor v Austrálii.
Srovnání IRAP, Essential Eight a ISO 27001
Standard | Země | Typ rámce | Zaměření |
Essential Eight | Austrálie | bezpečnostní baseline | technické bezpečnostní kontroly |
IRAP | Austrálie | auditní program | bezpečnostní posouzení systémů |
ISO 27001 | mezinárodní | ISMS standard | řízení bezpečnosti informací |
Tyto standardy se často používají společně, protože pokrývají různé aspekty bezpečnosti a compliance.
Proč kombinovat Essential Eight s dalšími standardy
Organizace poskytující cloudové služby často implementují více bezpečnostních rámců současně.
Typická kombinace může zahrnovat:
- Essential Eight – základní bezpečnostní opatření
- IRAP assessment – nezávislé ověření bezpečnosti
- ISO 27001 – systém řízení bezpečnosti informací
- SOC 2 – ověření bezpečnostních kontrol poskytovatele služeb
Tento přístup pomáhá organizacím splnit požadavky různých regulatorních prostředí a zvýšit důvěru zákazníků.
Jak vám BDO může pomoci
BDO poskytuje služby v oblasti kybernetické bezpečnosti, řízení rizik a regulatorní compliance.
Naši odborníci vám pomohou:
- provést gap analýzu vůči Essential Eight
- nastavit bezpečnostní procesy a technická opatření
- připravit organizaci na IRAP audit
- zlepšit kybernetickou bezpečnost infrastruktury
Pomáháme organizacím splnit požadavky regulatorních rámců a zvýšit důvěru zákazníků v jejich služby.
