Poznatky

Audit kybernetickej bezpečnosti - žiadosť

Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti. 

Nové povinnosti určuje vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá vstúpila do platnosti 1. januára 2020. Tento dokument definuje aj minimálne náležitosti žiadosti o audit kybernetickej bezpečnosti, a to v prílohe č. 2.

Prvé audity kybernetickej bezpečnosti sa uskutočnia už v novembri. Aby sme Vám pomohli s touto novou úlohou, pripravili sme pomocný formulár k žiadosti s náležitosťami a  informáciami pre vykonanie auditu kybernetickej bezpečnosti, ktoré musí PZS poskytnúť audítorovi pred samotným auditom kybernetickej bezpečnosti (podľa zákona o kybernetickej bezpečnosti).  

Pomocný formulár k žiadosti Vám pomôže so správnym a dôkladným vyplnením žiadosti. Je to dôležité nielen z hľadiska prvotného pochopenia IT prostredia, ale aj na určenie potrebného rozsahu budúceho auditu. Pred zaslaním vyplnenej žiadosti je potrebné, aby žiadateľ uzatvoril dohodu o mlčanlivosti a ochrane dôverných informácií s audítorom kybernetickej bezpečnosti alebo audítorskou spoločnosťou.

Obsahom žiadosti o audit podľa vyhlášky sú dve množiny informácií a dát o PZS a informačných systémoch, ktoré podporujú prevádzku PZS.

Do prvej množiny patria informácie súvisiace s prevádzkovateľom základnej služby, jeho identifikácia, popis základnej služby, ale aj informácie o kybernetických incidentoch za posledné obdobie alebo udelené pokuty v oblasti porušenia povinností vyplývajúcich zo ZoKB:

  1. Identifikácia prevádzkovateľa základnej služby. 
  2. Identifikácia základných služieb podporených auditovanými informačnými systémami a sieťami. 
  3. Počet zamestnancov prevádzkovateľa základnej služby. 
  4. (bod č. 4 je uvedený nižšie) 
  5. Meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytne audítorovi počas výkonu auditu požadovanú súčinnosť a bude ho sprevádzať. 
  6. Evidencia záznamov o kybernetických bezpečnostných incidentoch s vplyvom na poskytovanie základných služieb od doby vykonania posledného auditu alebo za posledné dva roky pri prvom audite. 
  7. Rozhodnutie o uložení pokuty na úseku kybernetickej bezpečnosti, ak bola uložená, a ďalšie prípady porušenia povinností podľa zákona, ak k porušeniam došlo. 
  8. Bezpečnostná dokumentácia podľa § 20 ods. 5 zákona alebo osobitného predpisu. 
  9. Číslo platného potvrdenia o priemyselnej bezpečnosti, ak je vydané.

Druhou množinou sú informácie súvisiace s informačnými systémami, ktoré podporujú prevádzku základnej služby:

4. Zoznam informačných systémov a ich klasifikácia s väzbou na základnú službu a pre každý z nich najmenej informácie o informačnom systéme a

(a)    identifikácia organizačných útvarov prevádzkovateľa základnej služby a počet zamestnancov prevádzkujúcich informačné systémy a siete, pri externom zabezpečovaní činností správy informačných systémov rozsah využívaných služieb v človekodňoch; pri doložení výsledkov auditu na externe zabezpečované činnosti sa externí pracovníci nezapočítavajú,

(b) väzba siete a informačného systému na prevádzkovanú základnú službu; ktorá základná služba je závislá od informačného systému, aký je vplyv výpadku informačného systému na základnú službu,

(c) počet užívateľov základnej služby, teritoriálne rozloženie a dôsledky pri výpadku základnej služby na jej užívateľov,

(d) systém správy; interné a externé zdroje, identifikácia kľúčových dodávateľov a zmlúv a dohôd
o úrovni poskytovaných služieb,

(e) schéma sieťovej architektúry s uvedením miest prepojení sietí a pripojenia voči externým sieťam,

(f) zoznam aktív a používaných technológií so závislosťami od iných informačných systémov
a služieb dodávateľov s uvedením vlastníkov týchto aktív a identifikáciou citlivosti podľa osobitného predpisu,

(g) organizačné útvary a počty zamestnancov prevádzkujúcich informačné systémy a siete vrátane počtu dodávateľov; pri prítomnosti zamestnancov dodávateľa na pracovisku prevádzkovateľa počas auditu sa lokality dodávateľov nezapočítavajú,

(h) správa z posledného penetračného testovania informačného systému, použitá metodika
a rozsah testovania a doloženie kvalifikácie zamestnancov vykonávajúcich penetračné testy, ak sú penetračné testy vykonané.

Informácie, ktoré žiadateľ vypĺňa do žiadosti o kybernetický audit, nie sú neznáme. Ide o informácie, ktoré bolo potrebné vyplniť a poskytnúť v rámci žiadosti o zaradenie do registra prevádzkovateľov základných služieb, alebo ich PZS nadobudol pri samotnej identifikácií dopadových a špecifických sektorových identifikačných kritérií. 

Vyplnenú žiadosť zasiela PZS audítorovi kybernetickej bezpečnosti. Keďže samotná žiadosť obsahuje množstvo dôležitých a citlivých informácií, je žiaduce pristupovať k žiadosti adekvátne a zdieľať ju zabezpečeným kanálom
alebo aspoň zabezpečiť ju dohodnutým prístupovým heslom.  

Bezpečnostní špecialisti spoločnosti Deloitte pripravili „Pomocný formulár
k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti“, ktorý obsahuje uvedené body a môže pomôcť pri príprave PZS na audit kybernetickej bezpečnosti. 

V prípade Vášho záujmu o samotný formulár Vám ho na vyžiadanie radi poskytneme. Ak máte záujem o audit kybernetickej bezpečnosti alebo samotnú prípravu na audit kybernetickej bezpečnosti, kontaktujte nás. Informácie
o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.

(1) https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/

(2) https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html

Bolo to užitočné?
Deloitte a IBM

IBM ocenil Deloitte na konferencii Think Digital 2020