| Подкрепа за съответствие с изискванията на Директива (ЕС) 2022/2555 на Европейския Парламент и на Съвета от 14 декември 2022 година относно мерки за високо общо ниво на киберсигурност в Съюза, за изменение на Регламент (ЕС) № 910/2014 и Директива (ЕС) 2018/1972 и за отмяна на Директива (ЕС) 2016/1148 (Директива МИС 2) чрез
провеждане на тестове за уязвимости и обучения.: В основата на тази дейност стои външна техническа оценка на ИТ инфраструктурата, извършена през юни–юли 2025 г., която разкри сериозни пропуски: липса на вътрешни политики и процедури, отсъствие на многофакторна автентикация, остарели и нецентрализирани антивирусни решения, ръчно архивиране, липса на системи за логване и ограничена киберосведоменост сред служителите.
Ще бъдат проведени тестове за уязвимости на критичните информационни системи на компанията ни. Това включва автоматизирано и ръчно сканиране за уязвимости, анализ на конфигурации, симулации на реални атаки (penetration testing) и проверка за пропуски в сигурността при сървъра, корпоративния уебсайт и онлайн магазина. Тестовете ще се проведат в контролирана среда от външен специалист, като ще бъдат използвани утвърдени методологии като OWASP и NIST. Ще бъдат оценени рисковете, свързани със сигурността на входните точки към системите, управлението на потребителските права, защитата на данните и устойчивостта срещу злонамерени действия. Всеки етап ще бъде документиран в специализиран технически доклад, който ще включва списък с установените уязвимости, тяхната критичност и препоръчани коригиращи действия. Този доклад ще служи както за вътрешна употреба, така и като доказателство за напредък в съответствие с Директива (ЕС) 2022/2555.
В отговор на установените пропуски, дейността предвижда изпълнение на организационни, технически и обучителни мерки, включително:
Разработване и внедряване на вътрешна политика за информационна сигурност, в съответствие с изискванията на ISO/IEC 27001, GDPR и Директива NIS 2;
Изграждане на система за управление на инциденти (IRP), с ясни процедури, роли и отговорности;
Разработване на процедури за управление на риска и инструкции за реакция при инциденти;
Въвеждане на многофакторна автентикация (MFA) и централизирано логване;
Провеждане на цялостна обучителна програма за всички служители с фокус върху киберхигиената и човешкия фактор в сигурността.
Обучителният компонент е ключов за устойчивото прилагане на мерките и адресира директно установените от оценката слабости в поведението и осведомеността на служителите. Програмата ще обхване всички служители на компанията ни – от административния и оперативния състав до новоназначените. Специален акцент се поставя върху практическата стойност на обученията, персонализирани според риска, достъпа и отговорностите на служителите.
Предвидените обучителни дейности включват:
Вътрешни обучения по основи на киберхигиената – разпознаване на фишинг, работа с пароли, защита при електронна комуникация, сигурно споделяне на данни, действия при съмнения за инцидент, роля на служителя по GDPR;
Практически работилници с ролеви сценарии, симулации на пробиви и разпознаване на аларми от антивируси или логове, насочени към служители без ИТ профил;
Разработване на вътрешен наръчник по киберсигурност – лесен за използване справочник с правила за работа с фирмени устройства, процедури при кражба или загуба, указания за Wi-Fi връзки и контакт при инциденти;
Модул за въвеждащо обучение на нови служители, който ще се преминава през първия месец от назначението;
Анкетиране и анализ на обратна връзка от участниците за усъвършенстване на следващи обучителни сесии;
Съобразяване със слабости от техническата оценка, напр. при проблеми с архивирането – целеви обучения по темата;
Фокус върху реални активи, включително съществуващия сървър и онлайн платформи като https://stad.bg и https://shop.stad.bg, през които се обработва чувствителна клиентска и търговска информация.
Обученията ще бъдат основа за вътрешна обучителна рамка, която включва:
ежегодно актуализиране на наръчника;
повторни обучения при технологични промени или открити пропуски;
въвеждане на вътрешна платформа с тестове и ръководства;
стимулиране за участие в онлайн обучения със съдействие от компанията.
|
117 000.00
|
0.00
|
