Audit kybernetickej bezpečnosti – ako podať žiadosť

Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti. Nové povinnosti určuje vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá vstúpila do platnosti 1. januára 2020. Tento dokument definuje aj minimálne náležitosti žiadosti o audit kybernetickej bezpečnosti, a to v prílohe č. 2.

Prvé audity kybernetickej bezpečnosti sa uskutočnia už v novembri. Aby sme Vám pomohli s touto novou úlohou, pripravili sme pomocný formulár k žiadosti s náležitosťami a  informáciami pre vykonanie auditu kybernetickej bezpečnosti, ktoré musí PZS poskytnúť audítorovi pred samotným auditom kybernetickej bezpečnosti (podľa zákona o kybernetickej bezpečnosti).

Pomocný formulár k žiadosti vám pomôže so správnym a dôkladným vyplnením žiadosti. Je to dôležité nielen z hľadiska prvotného pochopenia IT prostredia, ale aj na určenie potrebného rozsahu budúceho auditu. Pred zaslaním vyplnenej žiadosti je potrebné, aby žiadateľ uzatvoril dohodu o mlčanlivosti a ochrane dôverných informácií s audítorom kybernetickej bezpečnosti alebo audítorskou spoločnosťou.

Obsahom žiadosti o audit podľa vyhlášky sú dve množiny informácií a dát o PZS a informačných systémoch, ktoré podporujú prevádzku PZS.

Do prvej množiny patria informácie súvisiace s prevádzkovateľom základnej služby, jeho identifikácia, popis základnej služby, ale aj informácie o kybernetických incidentoch za posledné obdobie alebo udelené pokuty v oblasti porušenia povinností vyplývajúcich zo ZoKB:

• Identifikácia prevádzkovateľa základnej služby.
• Identifikácia základných služieb podporených auditovanými informačnými systémami a sieťami.
• Počet zamestnancov prevádzkovateľa základnej služby.
• (bod č. 4 je uvedený nižšie)
• Meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytne audítorovi počas výkonu auditu požadovanú súčinnosť a bude ho sprevádzať.
• Evidencia záznamov o kybernetických bezpečnostných incidentoch s vplyvom na poskytovanie základných služieb od doby vykonania posledného auditu alebo za posledné dva roky pri prvom audite.
• Rozhodnutie o uložení pokuty na úseku kybernetickej bezpečnosti, ak bola uložená, a ďalšie prípady porušenia povinností podľa zákona, ak k porušeniam došlo.
• Bezpečnostná dokumentácia podľa § 20 ods. 5 zákona alebo osobitného predpisu.
• Číslo platného potvrdenia o priemyselnej bezpečnosti, ak je vydané.

Druhou množinou sú informácie súvisiace s informačnými systémami, ktoré podporujú prevádzku základnej služby:

• Zoznam informačných systémov a ich klasifikácia s väzbou na základnú službu a pre každý z nich najmenej informácie o informačnom systéme a
• identifikácia organizačných útvarov prevádzkovateľa základnej služby a počet zamestnancov prevádzkujúcich informačné systémy a siete, pri externom zabezpečovaní činností správy informačných systémov rozsah využívaných služieb v človekodňoch; pri doložení výsledkov auditu na externe zabezpečované činnosti sa externí pracovníci nezapočítavajú,
• väzba siete a informačného systému na prevádzkovanú základnú službu; ktorá základná služba je závislá od informačného systému, aký je vplyv výpadku informačného systému na základnú službu,
• počet užívateľov základnej služby, teritoriálne rozloženie a dôsledky pri výpadku základnej služby na jej užívateľov,
• systém správy; interné a externé zdroje, identifikácia kľúčových dodávateľov a zmlúv a dohôd o úrovni poskytovaných služieb,
• schéma sieťovej architektúry s uvedením miest prepojení sietí a pripojenia voči externým sieťam,
• zoznam aktív a používaných technológií so závislosťami od iných informačných systémov a služieb dodávateľov s uvedením vlastníkov týchto aktív a identifikáciou citlivosti podľa osobitného predpisu,
• organizačné útvary a počty zamestnancov prevádzkujúcich informačné systémy a siete vrátane počtu dodávateľov; pri prítomnosti zamestnancov dodávateľa na pracovisku prevádzkovateľa počas auditu sa lokality dodávateľov nezapočítavajú,
• správa z posledného penetračného testovania informačného systému, použitá metodika a rozsah testovania a doloženie kvalifikácie zamestnancov vykonávajúcich penetračné testy, ak sú penetračné testy vykonané.

Informácie, ktoré žiadateľ vypĺňa do žiadosti o kybernetický audit, nie sú neznáme. Ide o informácie, ktoré bolo potrebné vyplniť a poskytnúť v rámci žiadosti o zaradenie do registra prevádzkovateľov základných služieb, alebo ich PZS nadobudol pri samotnej identifikácií dopadových a špecifických sektorových identifikačných kritérií.

Vyplnenú žiadosť zasiela PZS audítorovi kybernetickej bezpečnosti. Keďže samotná žiadosť obsahuje množstvo dôležitých a citlivých informácií, je žiaduce pristupovať k žiadosti adekvátne a zdieľať ju zabezpečeným kanálom alebo aspoň zabezpečiť ju dohodnutým prístupovým heslom.

Bezpečnostní špecialisti spoločnosti Deloitte pripravili „Pomocný formulár k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti“, ktorý obsahuje uvedené body a môže pomôcť pri príprave PZS na audit kybernetickej bezpečnosti.

Informácie o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.

• – https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/
• – https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html