Audit kybernetickej bezpečnosti

Čo je cieľom auditu a kto ho môže vykonať? Prostredníctvom auditu je možné proaktívne identifikovať nedostatky v kybernetickej bezpečnosti, najmä neodhalené riziká.

Dátum publikácie:14. 4. 2021
Autor:Ing. Ivan Makatura, CRISC, CDPSE

tt_audit

Začiatkom roka 2018 vstúpil do platnosti slovenský zákon o kybernetickej bezpečnosti. Vznik tohto právneho predpisu bol priamo vyvolaný požiadavkou európskej smernice o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (skráteným názvom Smernica NIS). Jednou z činností, ktorú zákon vyžaduje od povinných osôb, je posudzovanie úrovne bezpečnosti formou auditu.

Aj tri roky od účinnosti zákona má odborná verejnosť otázky ohľadom cieľov auditu, stanovenia jeho rozsahu, metodiky, mechanizmu ohodnocovania auditných zistení a najmä spôsobu, akým audítor interpretuje svoje zistenia vo výslednej správe. Vzhľadom na blížiace sa zákonné lehoty zaznieva v odbornej verejnosti čoraz častejšie otázka, akým spôsobom zabezpečiť audit kybernetickej bezpečnosti. Zamestnanci zodpovední za obstarávanie sa samozrejme zamýšľajú aj nad odhadom prácnosti a s ňou súvisiacich nákladov.

Čo je to audit?

Existuje niekoľko rôznych definícií auditu. Líšia sa len v detailoch, väčšinou podľa cieľa auditu a podľa objektu posudzovania. Všetky tieto definície sa však zhodujú vo všeobecnej časti: audit je systematický, nezávislý a zdokumentovaný proces získavania podkladov, konštatovaní faktov alebo iných dôležitých informácií a ich objektívneho posudzovania s cieľom určiť mieru, v akej sa splnili určené vopred definované požiadavky.

Často dochádza k zamieňaniu testovania a auditu, resp. sú považované za ekvivalentné činnosti. Medzi nimi je však zásadný rozdiel.

Bezpečnostným testovaním (vrátane penetračných testov alebo testovania zraniteľností softvéru) sa overuje splnenie očakávaných bezpečnostných charakteristík testovaných objektov. Tieto charakteristiky môžu byť stanovené interne alebo na základe najlepšej praxe. Pri testovaní je dôraz najmä na opakovateľnosti použitého postupu. Táto opakovateľnosť je základom pre tzv. testovacie scenáre.

Pri audite je dôraz kladený na systematickosť, nezávislosť a zdokumentovanie procesu a následne nestranné posúdenie získaných auditných dôkazov. Aj Smernica NIS dáva v súvislosti s auditom kybernetickej bezpečnosti jasný akcent na schopnosť vykonávať kvalifikované posúdenie zhody s formálnou špecifikáciou, ktorou je zvyčajne všeobecne záväzný právny predpis alebo technická norma.

V súvislosti s auditom je tu však ešte jedna podstatná požiadavka. Zatiaľ čo testovať môže subjekt aj svojpomocne (alebo pomocou zručného dodávateľa), audit môže vykonávať len nestranný kvalifikovaný audítor. Kým testovanie nevyžaduje nestrannosť a nekladie špeciálne nároky na spôsobilosť a prax, pre audit kybernetickej bezpečnosti je nestrannosť a kvalifikácia vyžadovaná priamo zákonom.

Cieľom auditu kybernetickej bezpečnosti (ďalej len „audit“) je najmä posúdiť zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon“) a súvisiacich osobitných predpisov. Zároveň sa auditom určuje efektívnosť implementovaných opatrení a spôsob ich prevádzkovania či vykonávania v prostredí prevádzkovateľa základnej služby (ďalej len „PZS“).

Kto môže vykonať audit?

Opakovane je potrebné zdôrazniť, že audit kybernetickej bezpečnosti je veľmi špecifická odborná činnosť, pre ktorú sú vyžadované určité spôsobilosti a rozsiahla prax. Na otázku, kto je schopný vykonať audit kybernetickej bezpečnosti, sa dá odpovedať až vtedy, ak pochopíme, čo vlastne audítor posudzuje.

Všeobecným cieľom auditu je predchádzať bezpečnostným incidentom. Prostredníctvom auditu je možné proaktívne identifikovať nedostatky v kybernetickej bezpečnosti, najmä neodhalené riziká. Na základe toho je možné prijať opatrenia na ich odstránenie a nápravu a predchádzať tak riziku kybernetických bezpečnostných incidentov.

Audítor kybernetickej bezpečnosti musí byť spôsobilý overiť plnenie povinností podľa zákona. Preto by mal veľmi dobre ovládať príslušné právne predpisy. Audítor zároveň musí vedieť posúdiť efektívnosť a nedostatky prijatých bezpečnostných opatrení a zhodnotiť spôsob prevádzkovania informačných a komunikačných technológií. Z toho vyplýva, že na audítora kybernetickej bezpečnosti sú kladené veľmi vysoké požiadavky na jeho vedomosti a zručnosti. Dôležitá je aj prax audítora. Začiatočník či absolvent vysokej školy nemá dostatočnú skúsenosť, najmä nie z prostredia a kultúry veľkých podnikov. Rovnako tak človek bez kvalifikácie v IT nedokáže objektívne posúdiť výsostne technické opatrenia, napríklad v oblasti bezpečnosti počítačových sietí, bezpečnosti serverov, šifrovania alebo bezpečnosti softvérového kódu.

Posúdiť spôsobilosť uchádzačov o výkon práce audítora kybernetickej bezpečnosti sú v Slovenskej republike oprávnené dva certifikačné orgány, ktoré boli na túto činnosť akreditované Slovenskou národnou akreditačnou službou. Zoznam certifikovaných audítorov, ako aj zoznam právnických osôb, ktoré zamestnávajú certifikovaných audítorov, je verejne dostupný na webovom sídle Národného bezpečnostného úradu.

 

Odborný článok je uvedený v skrátenom znení. Celé znenie článku:

Audit kybernetickej bezpečnosti

 


Autor: Ing. Ivan Makatura, CRISC, CDPSE

 

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

Chcete mať pravidelné informácie o novinkách a aktuálnej ponuke?

Prihláste sa na odber noviniek e-mailom!

Súvisiace predpisy EÚ

Súvisiace odborné články

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

  • 56/2018 Z. z. Zákon o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu
  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 164/2018 Z. z. Vyhláška, ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
  • 436/2019 Z. z. Vyhláška o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

Funkcie

Partner

Nastavenie súborov cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou prosíme o potvrdenie súhlasu alebo nastavenie vašich preferencií. Ďakujeme.

Viac informácií.