Audit kybernetickej bezpečnosti
Cieľom auditu kybernetickej bezpečnosti je určiť efektívnosť implementácie opatrení v oblasti informačných systémov u prevádzkovateľa základnej služby podľa zákona č. 69/2018 Z. z.
Zákon č. 69/2018 o kybernetickej bezpečnosti určuje povinnosť prevádzkovateľom základnej služby preverovať účinnosť resp. efektívnosť prijatých bezpečnostných opatrení vykonaním auditu:
- 1. do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.
- 2. následne v pravidelných intervaloch každé dva roky alebo
- 3. pri každej významnej zmene, najneskôr do dvoch mesiacov odkedy má zmena významný vplyv na realizované bezpečnostné opatrenia.
Audit je definovaný ako systematický proces objektívneho získavania a vyhodnocovania relevantných dôkazov s cieľom zistiť mieru súladu medzi zistenými informáciami a stanovenými kritériami. Audit má určený rozsah a trvanie (definované vo vyhláške č. 436/2019 Z. z) a je vykonávaný prostredníctvom vykonania rozhovorov, dotazníkov, skúmania záznamov, vzorkovania, pozorovania výkonu a postupov práce, analýzy údajov atď.
Audit je primárne zameraný na:
- identifikáciu a kategorizáciu aktív a informačných systémov prevádzkovateľa
- hodnotenie hrozieb, zraniteľností a možných dopadov
- postupy a systém riadenia informačných systémov a kybernetickej bezpečnosti
- riadenie ľudských zdrojov, personálnu bezpečnosť
- riadenie prístupov a identít
- správu dodávok služieb tretích strán, riadenie dodávateľských služieb
- monitorovanie a testovanie postupov súvisiacich s kybernetickou bezpečnosťou
- riadenie kontinuity procesov súvisiacich s kybernetickou bezpečnosťou, plánovanie havarijnej obnovy prevádzky
- proces riešenia kybernetických bezpečnostných incidentov
Výstupom z auditu je auditný záver resp. auditné odporúčanie , ktoré obsahuje návrh audítora na zmiernenie rizika a odstránenie prípadnej zistenej nezhody so zákonom, zdôvodnenie zistení a odporučenie primeraných opatrení na minimalizáciu rizika. Audítor vyhlasuje zhodu (kritérium je plnené, audítor neidentifikoval riziko ani príležitosť na zlepšenie), čiastočnú zhodu (kritérium je plnené čiastočne, audítor identifikoval príležitosť na zlepšenie) alebo nezhodu (kritérium nie je plnené, audítor identifikoval riziko bez implementácie adekvátnych opatrení).
Prevádzkovateľ základnej služby predloží záverečnú správu o výsledkoch auditu spolu s opatreniami na nápravu Národnému bezpečnostnému úradu.
Audit kybernetickej bezpečnosti
Cieľom auditu kybernetickej bezpečnosti je určiť efektívnosť implementácie opatrení v oblasti informačných systémov u prevádzkovateľa základnej služby podľa zákona č. 69/2018 Z. z.
Zákon č. 69/2018 o kybernetickej bezpečnosti určuje povinnosť prevádzkovateľom základnej služby preverovať účinnosť resp. efektívnosť prijatých bezpečnostných opatrení vykonaním auditu:
- 1. do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb.
- 2. následne v pravidelných intervaloch každé dva roky alebo
- 3. pri každej významnej zmene, najneskôr do dvoch mesiacov odkedy má zmena významný vplyv na realizované bezpečnostné opatrenia.
Audit je definovaný ako systematický proces objektívneho získavania a vyhodnocovania relevantných dôkazov s cieľom zistiť mieru súladu medzi zistenými informáciami a stanovenými kritériami. Audit má určený rozsah a trvanie (definované vo vyhláške č. 436/2019 Z. z) a je vykonávaný prostredníctvom vykonania rozhovorov, dotazníkov, skúmania záznamov, vzorkovania, pozorovania výkonu a postupov práce, analýzy údajov atď.
Audit je primárne zameraný na:
- identifikáciu a kategorizáciu aktív a informačných systémov prevádzkovateľa
- hodnotenie hrozieb, zraniteľností a možných dopadov
- postupy a systém riadenia informačných systémov a kybernetickej bezpečnosti
- riadenie ľudských zdrojov, personálnu bezpečnosť
- riadenie prístupov a identít
- správu dodávok služieb tretích strán, riadenie dodávateľských služieb
- monitorovanie a testovanie postupov súvisiacich s kybernetickou bezpečnosťou
- riadenie kontinuity procesov súvisiacich s kybernetickou bezpečnosťou, plánovanie havarijnej obnovy prevádzky
- proces riešenia kybernetických bezpečnostných incidentov
Výstupom z auditu je auditný záver resp. auditné odporúčanie , ktoré obsahuje návrh audítora na zmiernenie rizika a odstránenie prípadnej zistenej nezhody so zákonom, zdôvodnenie zistení a odporučenie primeraných opatrení na minimalizáciu rizika. Audítor vyhlasuje zhodu (kritérium je plnené, audítor neidentifikoval riziko ani príležitosť na zlepšenie), čiastočnú zhodu (kritérium je plnené čiastočne, audítor identifikoval príležitosť na zlepšenie) alebo nezhodu (kritérium nie je plnené, audítor identifikoval riziko bez implementácie adekvátnych opatrení).
Prevádzkovateľ základnej služby predloží záverečnú správu o výsledkoch auditu spolu s opatreniami na nápravu Národnému bezpečnostnému úradu.