https://touchit.sk/wp-content/uploads/2020/01/shutterstock_bezpecnost_nowat.jpg

Audit kybernetickej bezpečnosti – ako podať žiadosť

by

Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti. Nové povinnosti určuje vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá vstúpila do platnosti 1. januára 2020. Tento dokument definuje aj minimálne náležitosti žiadosti o audit kybernetickej bezpečnosti, a to v prílohe č. 2.

Prvé audity kybernetickej bezpečnosti sa uskutočnia už v novembri. Aby sme Vám pomohli s touto novou úlohou, pripravili sme pomocný formulár k žiadosti s náležitosťami a  informáciami pre vykonanie auditu kybernetickej bezpečnosti, ktoré musí PZS poskytnúť audítorovi pred samotným auditom kybernetickej bezpečnosti (podľa zákona o kybernetickej bezpečnosti).

Pomocný formulár k žiadosti vám pomôže so správnym a dôkladným vyplnením žiadosti. Je to dôležité nielen z hľadiska prvotného pochopenia IT prostredia, ale aj na určenie potrebného rozsahu budúceho auditu. Pred zaslaním vyplnenej žiadosti je potrebné, aby žiadateľ uzatvoril dohodu o mlčanlivosti a ochrane dôverných informácií s audítorom kybernetickej bezpečnosti alebo audítorskou spoločnosťou.

Obsahom žiadosti o audit podľa vyhlášky sú dve množiny informácií a dát o PZS a informačných systémoch, ktoré podporujú prevádzku PZS.

Do prvej množiny patria informácie súvisiace s prevádzkovateľom základnej služby, jeho identifikácia, popis základnej služby, ale aj informácie o kybernetických incidentoch za posledné obdobie alebo udelené pokuty v oblasti porušenia povinností vyplývajúcich zo ZoKB:

Druhou množinou sú informácie súvisiace s informačnými systémami, ktoré podporujú prevádzku základnej služby:

Informácie, ktoré žiadateľ vypĺňa do žiadosti o kybernetický audit, nie sú neznáme. Ide o informácie, ktoré bolo potrebné vyplniť a poskytnúť v rámci žiadosti o zaradenie do registra prevádzkovateľov základných služieb, alebo ich PZS nadobudol pri samotnej identifikácií dopadových a špecifických sektorových identifikačných kritérií.

Vyplnenú žiadosť zasiela PZS audítorovi kybernetickej bezpečnosti. Keďže samotná žiadosť obsahuje množstvo dôležitých a citlivých informácií, je žiaduce pristupovať k žiadosti adekvátne a zdieľať ju zabezpečeným kanálom alebo aspoň zabezpečiť ju dohodnutým prístupovým heslom.

Bezpečnostní špecialisti spoločnosti Deloitte pripravili „Pomocný formulár k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti“, ktorý obsahuje uvedené body a môže pomôcť pri príprave PZS na audit kybernetickej bezpečnosti.

Informácie o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.