Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti. Nové povinnosti určuje vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora, ktorá vstúpila do platnosti 1. januára 2020. Tento dokument definuje aj minimálne náležitosti žiadosti o audit kybernetickej bezpečnosti, a to v prílohe č. 2.
Prvé audity kybernetickej bezpečnosti sa uskutočnia už v novembri. Aby sme Vám pomohli s touto novou úlohou, pripravili sme pomocný formulár k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti, ktoré musí PZS poskytnúť audítorovi pred samotným auditom kybernetickej bezpečnosti (podľa zákona o kybernetickej bezpečnosti).
Pomocný formulár k žiadosti vám pomôže so správnym a dôkladným vyplnením žiadosti. Je to dôležité nielen z hľadiska prvotného pochopenia IT prostredia, ale aj na určenie potrebného rozsahu budúceho auditu. Pred zaslaním vyplnenej žiadosti je potrebné, aby žiadateľ uzatvoril dohodu o mlčanlivosti a ochrane dôverných informácií s audítorom kybernetickej bezpečnosti alebo audítorskou spoločnosťou.
Obsahom žiadosti o audit podľa vyhlášky sú dve množiny informácií a dát o PZS a informačných systémoch, ktoré podporujú prevádzku PZS.
Do prvej množiny patria informácie súvisiace s prevádzkovateľom základnej služby, jeho identifikácia, popis základnej služby, ale aj informácie o kybernetických incidentoch za posledné obdobie alebo udelené pokuty v oblasti porušenia povinností vyplývajúcich zo ZoKB:
- Identifikácia prevádzkovateľa základnej služby.
- Identifikácia základných služieb podporených auditovanými informačnými systémami a sieťami.
- Počet zamestnancov prevádzkovateľa základnej služby.
- (bod č. 4 je uvedený nižšie)
- Meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytne audítorovi počas výkonu auditu požadovanú súčinnosť a bude ho sprevádzať.
- Evidencia záznamov o kybernetických bezpečnostných incidentoch s vplyvom na poskytovanie základných služieb od doby vykonania posledného auditu alebo za posledné dva roky pri prvom audite.
- Rozhodnutie o uložení pokuty na úseku kybernetickej bezpečnosti, ak bola uložená, a ďalšie prípady porušenia povinností podľa zákona, ak k porušeniam došlo.
- Bezpečnostná dokumentácia podľa § 20 ods. 5 zákona alebo osobitného predpisu.
- Číslo platného potvrdenia o priemyselnej bezpečnosti, ak je vydané.
Druhou množinou sú informácie súvisiace s informačnými systémami, ktoré podporujú prevádzku základnej služby:
- Zoznam informačných systémov a ich klasifikácia s väzbou na základnú službu a pre každý z nich najmenej informácie o informačnom systéme a
- identifikácia organizačných útvarov prevádzkovateľa základnej služby a počet zamestnancov prevádzkujúcich informačné systémy a siete, pri externom zabezpečovaní činností správy informačných systémov rozsah využívaných služieb v človekodňoch; pri doložení výsledkov auditu na externe zabezpečované činnosti sa externí pracovníci nezapočítavajú,
- väzba siete a informačného systému na prevádzkovanú základnú službu; ktorá základná služba je závislá od informačného systému, aký je vplyv výpadku informačného systému na základnú službu,
- počet užívateľov základnej služby, teritoriálne rozloženie a dôsledky pri výpadku základnej služby na jej užívateľov,
- systém správy; interné a externé zdroje, identifikácia kľúčových dodávateľov a zmlúv a dohôd o úrovni poskytovaných služieb,
- schéma sieťovej architektúry s uvedením miest prepojení sietí a pripojenia voči externým sieťam,
- zoznam aktív a používaných technológií so závislosťami od iných informačných systémov a služieb dodávateľov s uvedením vlastníkov týchto aktív a identifikáciou citlivosti podľa osobitného predpisu,
- organizačné útvary a počty zamestnancov prevádzkujúcich informačné systémy a siete vrátane počtu dodávateľov; pri prítomnosti zamestnancov dodávateľa na pracovisku prevádzkovateľa počas auditu sa lokality dodávateľov nezapočítavajú,
- správa z posledného penetračného testovania informačného systému, použitá metodika a rozsah testovania a doloženie kvalifikácie zamestnancov vykonávajúcich penetračné testy, ak sú penetračné testy vykonané.
Informácie, ktoré žiadateľ vypĺňa do žiadosti o kybernetický audit, nie sú neznáme. Ide o informácie, ktoré bolo potrebné vyplniť a poskytnúť v rámci žiadosti o zaradenie do registra prevádzkovateľov základných služieb, alebo ich PZS nadobudol pri samotnej identifikácií dopadových a špecifických sektorových identifikačných kritérií.
Vyplnenú žiadosť zasiela PZS audítorovi kybernetickej bezpečnosti. Keďže samotná žiadosť obsahuje množstvo dôležitých a citlivých informácií, je žiaduce pristupovať k žiadosti adekvátne a zdieľať ju zabezpečeným kanálom alebo aspoň zabezpečiť ju dohodnutým prístupovým heslom.
Bezpečnostní špecialisti spoločnosti Deloitte pripravili „Pomocný formulár k žiadosti s náležitosťami a informáciami pre vykonanie auditu kybernetickej bezpečnosti“, ktorý obsahuje uvedené body a môže pomôcť pri príprave PZS na audit kybernetickej bezpečnosti.
Informácie o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.
- – https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/
- – https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html
