Poznatky
Audit kybernetickej bezpečnosti - žiadosť
Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti.
Nové povinnosti určuje vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá vstúpila do platnosti 1. januára 2020. Tento dokument definuje aj minimálne náležitosti žiadosti o audit kybernetickej bezpečnosti, a to v prílohe č. 2.
Prvé audity kybernetickej bezpečnosti sa uskutočnia už v novembri. Aby sme Vám pomohli s touto novou úlohou, pripravili sme pomocný formulár k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti, ktoré musí PZS poskytnúť audítorovi pred samotným auditom kybernetickej bezpečnosti (podľa zákona o kybernetickej bezpečnosti).
Pomocný formulár k žiadosti Vám pomôže so správnym a dôkladným vyplnením žiadosti. Je to dôležité nielen z hľadiska prvotného pochopenia IT prostredia, ale aj na určenie potrebného rozsahu budúceho auditu. Pred zaslaním vyplnenej žiadosti je potrebné, aby žiadateľ uzatvoril dohodu o mlčanlivosti a ochrane dôverných informácií s audítorom kybernetickej bezpečnosti alebo audítorskou spoločnosťou.
Obsahom žiadosti o audit podľa vyhlášky sú dve množiny informácií a dát o PZS a informačných systémoch, ktoré podporujú prevádzku PZS.
Do prvej množiny patria informácie súvisiace s prevádzkovateľom základnej služby, jeho identifikácia, popis základnej služby, ale aj informácie o kybernetických incidentoch za posledné obdobie alebo udelené pokuty v oblasti porušenia povinností vyplývajúcich zo ZoKB:
- Identifikácia prevádzkovateľa základnej služby.
- Identifikácia základných služieb podporených auditovanými informačnými systémami a sieťami.
- Počet zamestnancov prevádzkovateľa základnej služby.
- (bod č. 4 je uvedený nižšie)
- Meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytne audítorovi počas výkonu auditu požadovanú súčinnosť a bude ho sprevádzať.
- Evidencia záznamov o kybernetických bezpečnostných incidentoch s vplyvom na poskytovanie základných služieb od doby vykonania posledného auditu alebo za posledné dva roky pri prvom audite.
- Rozhodnutie o uložení pokuty na úseku kybernetickej bezpečnosti, ak bola uložená, a ďalšie prípady porušenia povinností podľa zákona, ak k porušeniam došlo.
- Bezpečnostná dokumentácia podľa § 20 ods. 5 zákona alebo osobitného predpisu.
- Číslo platného potvrdenia o priemyselnej bezpečnosti, ak je vydané.
Druhou množinou sú informácie súvisiace s informačnými systémami, ktoré podporujú prevádzku základnej služby:
4. Zoznam informačných systémov a ich klasifikácia s väzbou na základnú službu a pre každý z nich najmenej informácie o informačnom systéme a
(a) identifikácia organizačných útvarov prevádzkovateľa základnej služby a počet zamestnancov prevádzkujúcich informačné systémy a siete, pri externom zabezpečovaní činností správy informačných systémov rozsah využívaných služieb v človekodňoch; pri doložení výsledkov auditu na externe zabezpečované činnosti sa externí pracovníci nezapočítavajú,
(b) väzba siete a informačného systému na prevádzkovanú základnú službu; ktorá základná služba je závislá od informačného systému, aký je vplyv výpadku informačného systému na základnú službu,
(c) počet užívateľov základnej služby, teritoriálne rozloženie a dôsledky pri výpadku základnej služby na jej užívateľov,
(d) systém správy; interné a externé zdroje, identifikácia kľúčových dodávateľov a zmlúv a dohôd
o úrovni poskytovaných služieb,
(e) schéma sieťovej architektúry s uvedením miest prepojení sietí a pripojenia voči externým sieťam,
(f) zoznam aktív a používaných technológií so závislosťami od iných informačných systémov
a služieb dodávateľov s uvedením vlastníkov týchto aktív a identifikáciou citlivosti podľa osobitného predpisu,
(g) organizačné útvary a počty zamestnancov prevádzkujúcich informačné systémy a siete vrátane počtu dodávateľov; pri prítomnosti zamestnancov dodávateľa na pracovisku prevádzkovateľa počas auditu sa lokality dodávateľov nezapočítavajú,
(h) správa z posledného penetračného testovania informačného systému, použitá metodika
a rozsah testovania a doloženie kvalifikácie zamestnancov vykonávajúcich penetračné testy, ak sú penetračné testy vykonané.
Informácie, ktoré žiadateľ vypĺňa do žiadosti o kybernetický audit, nie sú neznáme. Ide o informácie, ktoré bolo potrebné vyplniť a poskytnúť v rámci žiadosti o zaradenie do registra prevádzkovateľov základných služieb, alebo ich PZS nadobudol pri samotnej identifikácií dopadových a špecifických sektorových identifikačných kritérií.
Vyplnenú žiadosť zasiela PZS audítorovi kybernetickej bezpečnosti. Keďže samotná žiadosť obsahuje množstvo dôležitých a citlivých informácií, je žiaduce pristupovať k žiadosti adekvátne a zdieľať ju zabezpečeným kanálom
alebo aspoň zabezpečiť ju dohodnutým prístupovým heslom.
Bezpečnostní špecialisti spoločnosti Deloitte pripravili „Pomocný formulár
k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti“, ktorý obsahuje uvedené body a môže pomôcť pri príprave PZS na audit kybernetickej bezpečnosti.
V prípade Vášho záujmu o samotný formulár Vám ho na vyžiadanie radi poskytneme. Ak máte záujem o audit kybernetickej bezpečnosti alebo samotnú prípravu na audit kybernetickej bezpečnosti, kontaktujte nás. Informácie
o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.
(1) https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/
(2) https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html
Odporúčania
Deloitte a IBM
IBM ocenil Deloitte na konferencii Think Digital 2020