V zmysle zákona o kybernetickej bezpečnosti bude každý prevádzkovateľ základnej služby („PZS“) od novembra 2020 povinný požiadať o audit kybernetickej bezpečnosti.
Audit kybernetickej bezpečnosti je oprávnený vykonávať iba certifikovaný audítor kybernetickej bezpečnosti. Certifikáciu získa audítor od certifikačného orgánu až po splnení všetkých požiadaviek certifikačnej schémy. V súčasnosti má právo vydať certifikáciu iba jeden akreditovaný certifikačný orgán, a to Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.
Zoznam certifikovaných audítorov je na potreby prevádzkovateľov základnej služby (PZS) voľne prístupný na webovej stránke kompetenčného centra (https://www.cybercompetence.sk/). Proces výberu netreba odkladať, lebo počet certifikovaných audítorov, ako aj ich kapacity sú obmedzené.
Na čo sa teda zamerať?
Jednou z požiadaviek na získanie certifikátu sú znalostné štandardy audítora overené skúškou, ktoré sú definované v prílohe č. 1 vyhlášky č. 436/2019 Z. z. Tie predstavujú minimálne všeobecné požiadavky na úroveň vzdelania, ako aj na prax audítora. Zároveň definujú požiadavky na úroveň odbornej spôsobilosti audítora vo forme jeho znalostí, schopností a predpokladov.
Prvým dôležitým predpokladom je nezávislosť – t. j. audítor, ktorý vykonáva audit kybernetickej bezpečnosti, sa nesmel počas posledných troch rokov pred výkonom samotného auditu zúčastňovať na riadení alebo prevádzke auditovaných informačných systémov. Ďalším predpokladom je objektívnosť v zmysle absencie uznaných sťažností na objektívnosť počas vykonávanej praxe. Samozrejmosťou je bezúhonnosť.
Zoznam znalostí a schopností je rozsiahlejší. Zahŕňa znalosť rôznych procesov, metodík a právnych predpisov, technické znalosti ako koncept počítačových sietí, princípov testovania kybernetickej bezpečnosti, či schopnosť posudzovať dôkazy, analyzovať riziká a vypracovať úplnú a prehľadnú záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti.
Všetky odborné znalosti a schopnosti vie audítor preukázať aj špecifickými certifikátmi. V životopise audítora hľadajte certifikáty zamerané na informačnú bezpečnosť a hlavne jej auditovanie – CISSP, OSCP, GIAC alebo certifikát audítora informačných systémov – CISA alebo Lead auditor ISO 27001. Niektoré sektory môžu oceniť aj špecifické certifikáty, ako napr. ISA/IEC 62443 (rámec pre priemyselné automatizačné a kontrolné systémy).
Treba pripomenúť, že PZS, ktorý je prvkom kritickej infraštruktúry a spracúva informácie v utajenom režime, sa musí ubezpečiť, že vybraný audítor má platnú bezpečnostnú previerku s potrebným stupňom utajenia.
Okrem minimálnych náležitostí by sa mali pri výbere audítora zohľadniť aj ďalšie atribúty.
Dôležitá je prax
Jedným z týchto atribútov je prax. Každý audítor musí zdokladovať potrebnú prax v oblasti vykonávania auditov informačných systémov alebo v oblasti informačných technológií a kybernetickej bezpečnosti. Nemôže sa teda stať, že vedúci audítor bude vykonávať audit kybernetickej bezpečnosti bez praxe alebo len s minimálnou praxou. Pre PZS je však žiaduce zamerať sa na audítorov, ktorí majú skúsenosti s auditmi v jeho sektore. Napríklad PZS v sektore energetiky by si nemal vyberať z audítorov len so skúsenosťami napríklad v bankovníctve. Vyhne sa tak prípadným nedorozumeniam spôsobeným neznalosťou auditovaného prostredia a takisto sa skráti čas výkonu auditu. Podľa potrieb PZS je možné vybrať si audítora, ktorý sa viac zameriava na procesnú alebo technickú stránku.
PZS s rozsiahlejšou infraštruktúrou by si mal vybrať certifikovaného audítora, ktorý má k dispozícii tím ľudí s možnosťou zastupiteľnosti ďalšieho certifikovaného audítora. V prípade výpadku vedúceho audítora tak nebude narušená kontinuita prác. Súčasne však vedúci audítor síce dohliada na celý priebeh auditu, nejde však o tzv. one man show. Aj výberom audítora, ktorý má možnosť zapojiť tím kvalifikovaných asistentov, sa zvyšuje efektivita a znižuje časová náročnosť výkonu auditu.
Pri výbere je vhodné zvážiť všetky aspekty a zvoliť si audítora kybernetickej bezpečnosti s preukázateľnými schopnosťami a znalosťami vykonať audit kybernetickej bezpečnosti v konkrétnej spoločnosti.
Viac informácií o audite kybernetickej bezpečnosti nájdete na https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html?icid=top_.
