Na čo si dať pozor pri audite kybernetickej bezpečnosti z pohľadu poslednej vyhlášky
Do novembra 2021 sú spoločnosti povinné podrobiť sa auditu kybernetickej bezpečnosti v súlade s ustanoveniami zákona a príslušnými vyhláškami. Aj keď firmy už majú mnoho aspektov zákona a vyhlášok implementované, radi by sme upriamili pozornosť na niektoré dôležité spresnenia podľa poslednej vyhlášky.
Národný bezpečnostný úrad ustanovil a vydal v poradí piatu vyhlášku k zákonu č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorá nesie označenie č. 436/2019 o audite kybernetickej bezpečnosti a znalostnom štandarde audítora a je účinná od 1. 1. 2020.
Obsah samotnej vyhlášky je stručný, avšak výrazne ju rozširujú príslušné štyri prílohy, ktoré sa týkajú najmä:
- požiadaviek na kvalifikáciu a skúsenosti audítora, podľa ktorých len príslušný certifikovaný audítor môže vykonávať povinný audit kybernetickej bezpečnosti,
- minimálnych náležitostí žiadosti prevádzkovateľa na vykonanie auditu kybernetickej bezpečnosti,
- metodológie určenia rozsahu trvania a nákladovosti realizácie povinného auditu základnej služby prevádzkovateľa,
- definície obsahu kontrolného záznamu auditovaných bezpečnostných opatrení.
Z pohľadu prevádzkovateľov základných služieb táto vyhláška pojednáva najmä o ďalších detailoch povinného auditu kybernetickej bezpečnosti, ktorému by sa mali prevádzkovatelia zaradení v evidencii NBÚ v pôvodnej 6-mesačnej lehote podrobiť najneskôr do novembra 2021. Spomínaným auditom sa rozumie najmä overenie plnenia zákonných povinností prevádzkovateľov, avšak hlavný dôraz sa iste kladie na overenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona o kybernetickej bezpečnosti a súvisiacich osobitných predpisov (najmä podľa vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení).
Nová vyhláška o audite je akousi príručkou pre audítora, ale aj pre prevádzkovateľa na jednotný odhad náročnosti auditu kybernetickej bezpečnosti v súvislosti s prevádzkovanou základnou službou z pohľadu príslušných informačných systémov a sietí, ktorými je daná základná služba prevádzkovaná či podporovaná. Pričom však dôležité je, že audit kybernetickej bezpečnosti v súlade so zákonom môže vykonávať iba certifikovaná osoba – audítor, ktorý musí spĺňať vyhláškou dané kritériá o odbornej spôsobilosti a určitej praxi v oblasti auditu a v oblasti kybernetickej bezpečnosti. Navyše tieto požiadavky musí zavŕšiť úspešnou skúškou na účely dosiahnutia požadovanej certifikácie. Ďalšou snahou vyhlášky je dodatočnými prílohami a ustanoveniami zjednotiť formu a obsah výstupov realizovaných auditov.
Prevádzkovateľ základnej služby tu však pre svoje potreby nájde aj presný formát žiadosti o vykonanie auditu kybernetickej bezpečnosti, ako aj určitú pomôcku na realistickejší odhad náročnosti a nákladovosti požadovaného auditu.
Čo je potrebné vykonať s ohľadom na blížiaci sa audit
Ako som už vo svojom predošlom článku spomínal, je veľmi dôležité sa zamerať na prijatie a dodržiavanie všetkých relevantných a nevyhnutných bezpečnostných opatrení (organizačných, personálnych, ako aj technických), ktoré samotný zákon o kybernetickej bezpečnosti detailnejšie uvádza v príslušných ustanoveniach. Dalo by sa povedať, že prevádzkovatelia bežne už majú väčšinu požadovaných opatrení zavedených. Mnohí prevádzkovatelia, ktorí už v minulosti implementovali rôzne bezpečnostné opatrenia na ochranu a zachovanie kontinuity svojich biznisových procesov, by boli určite v značnej miere v súlade aj so zákonom o kybernetickej bezpečnosti. Zákon vskutku neprináša nič nové, čo by v oblasti kybernetickej bezpečnosti nebolo už aj doposiaľ známe a v mnohých organizáciách aj zavedené. Oblasti bezpečnostných opatrení, ktoré zákon menuje, by sa veľmi jednoducho dali namapovať aj na domény známych bezpečnostných noriem a štandardov, podľa ktorých mnohí prevádzkovatelia môžu mať zavedené príslušné bezpečnostné opatrenia alebo dokonca aj certifikované procesy a systémy riadenia informačnej bezpečnosti. Rozdielom však je, že implementácia bezpečnostných opatrení podľa noriem a štandardov nebola doposiaľ pre prevádzkovateľov povinná, čo práve nová legislatíva má za snahu napraviť, a to najmä z pohľadu pre štát významné a kritické prevádzkované služby.
Čo však niektorí prevádzkovatelia možno nemali zatiaľ implementované a čo zákon prináša ako nové, je – najmä pohľad na klasifikáciu informácií a kategorizáciu informačných systémov a sietí. Nie že by dané opatrenia doteraz neexistovali, avšak zákon definuje vlastnú klasifikačnú schému, ktorú presne upravuje v samotnej vyhláške č. 362/2018 Z. z. Navyše prevádzkovateľovi dáva za povinnosť vyhotoviť aj bezpečnostnú dokumentáciu, ktorá by mala obsahovať vyhláškou presne uvádzané náležitosti. Taktiež sa na všetky požadované oblasti bezpečnostných opatrení díva vlastnou celkom rozsiahlou definíciou v spomínanej vyhláške.
Audit kybernetickej bezpečnosti je teda povinný pre každého úradom registrovaného prevádzkovateľa základných služieb. Navyše audit je nutné opakovane vykonávať každé dva roky, pričom výslednú auditnú správu je nutné odovzdať úradu. Čiže nie je otázkou, či sa prevádzkovateľ základnej služby musí podrobiť auditu, ale skôr dokedy a ako často.
Tím PwC expertov na kybernetickú bezpečnosť vie v dôležitej a niekedy aj veľmi náročnej úlohe prípravy prevádzkovateľa na zvládnutie auditu pomôcť prostredníctvom svojich konzultačných služieb za pomoci overenia či asistencie pripravenosti na povinný audit podľa zákona. Obdobne sa intenzívne zaoberáme všetkými nevyhnutnými prípravami aj na možnosť samotného výkonu certifikovaného auditu v súlade so zákonom o kybernetickej bezpečnosti, pričom už máme aj prvých certifikovaných audítorov.
