Poznatky

Rozsah auditu kybernetickej bezpečnosti

Dňa 1. januára 2020 nadobudla účinnosť vyhláška č. 436/2019 Z. z. Národného bezpečnostného úradu o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. Jej súčasťou je aj príloha č. 3, Rozsah trvania a časový interval auditu kybernetickej bezpečnosti.

Príloha definuje výpočet rozsahu trvania ako aj faktory znižujúce či zvyšujúce rozsah auditu. Za správny výpočet rozsahu auditu zodpovedá audítor, ktorý bude samotný audit vykonávať. Audítor musí vedieť obhájiť svoj výpočet pomocou tejto metodiky.

Pre výpočet rozsahu trvania auditu sú dôležité informácie poskytnuté prevádzkovateľom základnej služby (PZS) pri vypĺňaní žiadosti o audit kybernetickej bezpečnosti. Informácie, ktoré musí prevádzkovateľ základnej služby poskytnúť audítorovi sú popísané v prílohe č. 2 k vyhláške č. 436/2019
Z. z. a sú viazané na základnú službu a prislúchajúce informačné systémy
(viac informácií o prílohe č. 2

Hlavným faktorom pre výpočet dĺžky auditu kybernetickej bezpečnosti je počet unikátnych zamestnancov podieľajúcich sa na prevádzke a vývoji informačných systémov a podpornej infraštruktúry. Do tohto počtu je potrebné zahrnúť aj rozsah účasti tretích strán. Súčasne existujú aj faktory na zvýšenie alebo zníženie rozsahu auditu, ako je zaradenie IS do kategórií a tried citlivosti, existujúca bezpečnostná certifikácia alebo fakt, že sa v predošlom období nevyskytol žiadny závažný kybernetický incident. 

Výpočet rozsahu trvania auditu kybernetickej bezpečnosti priblížime na fiktívnej spoločnosti Rúry, s.r.o. Spoločnosť zabezpečuje základnú službu prevádzky distribučnej siete plynu a technický dispečing využívaný na monitorovanie a riadenie danej siete. Pre výpočet identifikovali a zaregistrovali 1 základnú službu, ktorej prevádzka je závislá od 3 informačných systémov. Na prevádzke informačných systémov sa podieľa 5 interných zamestnancov dispečingu,
2 interní systémoví administrátori spoločnosti a 4 dodávateľské firmy.

Vstupy pre výpočet rozsahu trvania auditu

 

Počet zamestnancov podieľajúcich sa na správe IS
    7 interných IT zamestnancov firmy Rúry, s.r.o. 7 FTE
    1 dodávateľ s rozsahom prác 2 FTE za mesiac 2 ext. FTE
    3 malí dodávatelia s rozsahom po 2 hodiny za mesiac  0 ext. FTE
    Celkový počet ľudí prevádzkujúcich IS spoločnosti  = 9 FTE + 5 dní 

 

Faktory znižujúce/zvyšujúce rozsah auditu
    IS pracujú s informáciami zaradenými do kategórie citlivosti II - 0 dní
    Spoločnosť nemá správu o bezpečnosti alebo certifikáciu - 0 dní
    Spoločnosť nemala žiadny závažný kybernetický incident   + 0 dní
    Spoločnosti nebola uložená pokuta za porušenie povinností podľa zákona + 0 dní

 

    Subjektívne faktory audítora
    Spoločnosť prevádzkuje IS centrálne - 0,5 dňa
    Spoločnosť žiada o prvý audit kybernetickej bezpečnosti – oboznámenie sa
    s internými kontrolami spoločnosti, analýza bezpečnostnej dokumentácie a pochopenia prostredia
+ 3 dni
    Vytvorenie kontrolných záznamov pre základnú službu, príprava záverečnej
    správy auditu kybernetickej bezpečnosti
+ 2,5 dňa
   

Počet dní na vykonanie auditu

10 dní

Na základe výpočtu rozsahu trvania auditu kybernetickej bezpečnosti a faktorov vplývajúcich na zvyšovanie a znižovanie rozsahu auditu audítor vypočítal predpokladaný rozsah trvania auditu fiktívnej spoločnosti Rúry, s.r.o. na 10 dní. Výpočet dĺžky môže byť ovplyvnený nesprávnymi či neúplnými informáciami, prípadne nesprávnou klasifikáciou informačných systémov a aktív, ktoré spoločnosť poskytla. Rozsah auditu je subjektívne zvolená veličina, ktorú musí audítor vedieť obhájiť a vysvetliť v záverečnej správe o audite kybernetickej bezpečnosti.

Spoločnosť Deloitte sa pripravuje na výkon auditov KB, a preto v prípade, že máte otázky ohľadom výpočtu alebo samotného auditu kybernetickej bezpečnosti, neváhajte nás kontaktovať. Informácie o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.

(1) - https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/

(2) - https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html

Bolo to užitočné?