Poznatky

Ako si vybrať audítora kybernetickej bezpečnosti?

V zmysle zákona o kybernetickej bezpečnosti bude každý prevádzkovateľ základnej služby („PZS“) od novembra 2020 povinný požiadať o audit kybernetickej bezpečnosti.

Audit kybernetickej bezpečnosti je oprávnený vykonávať iba certifikovaný audítor kybernetickej bezpečnosti. Certifikáciu získa audítor od certifikačného orgánu až po splnení všetkých požiadaviek certifikačnej schémy. V súčasnosti má právo vydať certifikáciu iba jeden akreditovaný certifikačný orgán, a to Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

Zoznam certifikovaných audítorov je na potreby prevádzkovateľov základnej služby (PZS) voľne prístupný
na webovej stránke kompetenčného centra (https://www.cybercompetence.sk ). Proces výberu netreba odkladať, lebo počet certifikovaných audítorov, ako aj ich kapacity sú obmedzené. 

Na čo sa teda zamerať?

Jednou z požiadaviek na získanie certifikátu sú znalostné štandardy audítora overené skúškou, ktoré sú definované v prílohe č. 1 vyhlášky č. 436/2019 Z. z. Tie predstavujú minimálne všeobecné požiadavky na úroveň vzdelania, ako aj
na prax audítora. Zároveň definujú požiadavky na úroveň odbornej spôsobilosti audítora vo forme jeho znalostí, schopností a predpokladov.

Prvým dôležitým predpokladom je nezávislosť – t. j. audítor, ktorý vykonáva audit kybernetickej bezpečnosti, sa nesmel počas posledných troch rokov
pred výkonom samotného auditu zúčastňovať na riadení alebo prevádzke auditovaných informačných systémov. Ďalším predpokladom je objektívnosť
v zmysle absencie uznaných sťažností na objektívnosť počas vykonávanej praxe. Samozrejmosťou je bezúhonnosť.

Zoznam znalostí a schopností je rozsiahlejší. Zahŕňa znalosť rôznych procesov, metodík a právnych predpisov, technické znalosti ako koncept počítačových sietí, princípov testovania kybernetickej bezpečnosti, či schopnosť posudzovať dôkazy, analyzovať riziká a vypracovať úplnú a prehľadnú záverečnú správu
o výsledkoch auditu kybernetickej bezpečnosti.

Všetky odborné znalosti a schopnosti vie audítor preukázať aj špecifickými certifikátmi. V životopise audítora hľadajte certifikáty zamerané na informačnú bezpečnosť a hlavne jej auditovanie – CISSP, OSCP, GIAC alebo certifikát audítora informačných systémov – CISA alebo Lead auditor ISO 27001. Niektoré sektory môžu oceniť aj špecifické certifikáty, ako napr. ISA/IEC 62443 (rámec
pre priemyselné automatizačné a kontrolné systémy).

Treba pripomenúť, že PZS, ktorý je prvkom kritickej infraštruktúry a spracúva informácie v utajenom režime, sa musí ubezpečiť, že vybraný audítor má platnú bezpečnostnú previerku s potrebným stupňom utajenia.

Okrem minimálnych náležitostí by sa mali pri výbere audítora zohľadniť aj ďalšie atribúty. 

Dôležitá je prax

Jedným z týchto atribútov je prax. Každý audítor musí zdokladovať potrebnú prax v oblasti vykonávania auditov informačných systémov alebo v oblasti informačných technológií a kybernetickej bezpečnosti. Nemôže sa teda stať, že vedúci audítor bude vykonávať audit kybernetickej bezpečnosti bez praxe alebo len s minimálnou praxou. Pre PZS je však žiaduce zamerať sa na audítorov, ktorí majú skúsenosti s auditmi v jeho sektore. Napríklad PZS v sektore energetiky by si nemal vyberať z audítorov len so skúsenosťami napríklad v bankovníctve. Vyhne sa tak prípadným nedorozumeniam spôsobeným neznalosťou auditovaného prostredia a takisto sa skráti čas výkonu auditu. Podľa potrieb PZS je možné vybrať si audítora, ktorý sa viac zameriava na procesnú alebo technickú stránku.

PZS s rozsiahlejšou infraštruktúrou by si mal vybrať certifikovaného audítora, ktorý má k dispozícii tím ľudí s možnosťou zastupiteľnosti ďalšieho certifikovaného audítora. V prípade výpadku vedúceho audítora tak nebude narušená kontinuita prác. Súčasne však vedúci audítor síce dohliada na celý priebeh auditu, nejde však o tzv. one man show. Aj výberom audítora, ktorý má možnosť zapojiť tím kvalifikovaných asistentov, sa zvyšuje efektivita a znižuje časová náročnosť výkonu auditu.

Pri výbere je vhodné zvážiť všetky aspekty a zvoliť si audítora kybernetickej bezpečnosti s preukázateľnými schopnosťami a znalosťami vykonať audit kybernetickej bezpečnosti v konkrétnej spoločnosti.

Bolo to užitočné?