Přeskočit na obsah
SynergyBit
CRA služby

Threat modeling a posouzení rizik dle CRA

Najděte hrozby dřív než útočník a podložte jimi soulad s CRA.

CRA vyžaduje, aby byl produkt navržen a vyroben na základě posouzení kybernetických rizik. Modelování hrozeb a posouzení rizik jsou tím podkladem – ukazují, co může selhat, jak vážné to je a jaká protiopatření dávají smysl.

Provedeme vás strukturovaným modelováním hrozeb (např. metodou STRIDE) i hodnocením rizik a výsledky převedeme do konkrétních požadavků na návrh i do technické dokumentace, kterou CRA požaduje.

Co dostanete

Model hrozeb produktu

Identifikace aktiv, vstupních bodů, hranic důvěry a hrozeb (např. metodou STRIDE) pro vaši architekturu.

Posouzení a hodnocení rizik

Analýza pravděpodobnosti a dopadu, ohodnocení rizik a jejich prioritizace srozumitelnou metodikou.

Návrh protiopatření

Konkrétní doporučení pro security by design a bezpečné výchozí nastavení, navázaná na nalezené hrozby.

Podklad pro Annex I

Doložení, jak protiopatření naplňují základní požadavky přílohy I CRA, připravené pro technickou dokumentaci.

Jak to probíhá

  1. 01

    Sběr podkladů

    Projdeme architekturu produktu, data, rozhraní a předpokládané prostředí nasazení.

  2. 02

    Modelování hrozeb

    Sestavíme model hrozeb, identifikujeme rizika a ohodnotíme je podle dopadu a pravděpodobnosti.

  3. 03

    Protiopatření a report

    Navrhneme protiopatření, prioritizujeme je a předáme report použitelný do dokumentace CRA.

Výsledek pro vás

  • Přehled reálných hrozeb a rizik produktu
  • Prioritizovaná protiopatření pro návrh
  • Doložené naplnění požadavků přílohy I
  • Pevný základ pro technickou dokumentaci

Časté dotazy

Jakou metodu modelování hrozeb používáte?
Nejčastěji STRIDE pro systematické pokrytí kategorií hrozeb, případně doplněné o útočné stromy nebo jiné přístupy podle charakteru produktu. Metodu volíme podle architektury a zralosti vašeho týmu.
Musíme posouzení rizik podle CRA vůbec dělat?
Ano. CRA požaduje, aby byl produkt navržen a vyroben na základě posouzení kybernetických rizik a aby bylo součástí technické dokumentace. Bez něj nelze věrohodně doložit naplnění základních požadavků.
Navazuje to na další služby?
Ano. Výstupy přímo využijete při přípravě technické dokumentace a při nastavení procesu řízení zranitelností – rádi na ně navážeme.

Související služby

Zpět na služby

CRA konzultace

Cílená konzultace s expertem na Cyber Resilience Act. Vyřešíme vaše konkrétní otázky, ověříme rozhodnutí a nasměrujeme další postup.

Více o službě

Příprava technické dokumentace

Sestavíme technickou dokumentaci podle přílohy VII CRA – od popisu produktu a analýzy rizik po SBOM, řízení zranitelností a prohlášení o shodě.

Více o službě

Proces řízení zranitelností

Nastavíme kompletní proces řízení zranitelností podle CRA – od evidence a hodnocení přes nápravu a bezpečnostní aktualizace po koordinované zveřejňování a reporting.

Více o službě

Začněte s CRA dřív, než vás dožene termín

Nezávazná konzultace vám během chvíle ukáže, kde stojíte a jaký je nejkratší cestou k souladu.

Domluvit konzultaci