Audit kybernetickej bezpečnosti

21. jan 2020

Auditom kybernetickej bezpečnosti sa overuje plnenie povinností prevádzkovateľa základnej služby podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami zákona a súvisiacimi osobitnými predpismi vzťahujúcimi sa na bezpečnosť sietí a informačných systémov. Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetickým bezpečnostným incidentom.

Audit kybernetickej bezpečnosti vykonáva orgán posudzovania zhody (audítor), ktorý je akreditovaný na posudzovanie zhody v oblasti kybernetickej bezpečnosti. Akreditáciu vykonáva Národný bezpečnostný úrad.

Audítor určuje časový rozsah trvania auditu tak, že je dostatočný na posúdenie plnenia povinností podľa zákona a posúdenie účinnosti prijatých bezpečnostných opatrení. Ich stav hodnotí formou vzorkovania (výberu), pričom rozsah vzoriek určuje s ohľadom na vykonanú klasifikáciu informácií a kategorizáciu sietí a informačných systémov, vykonanú analýzu rizík kybernetickej bezpečnosti a na vypovedaciu schopnosť auditu.

Z auditu je vypracovaný kontrolný záznam, ktorý obsahuje súbor požiadaviek na bezpečnosť sietí a informačných systémov podľa zákona a jeho vykonávacích predpisov. V kontrolnom zázname audítor uvedie:

  • súlad, alebo nesúlad s požiadavkami na bezpečnosť sietí a informačných systémov vzhľadom na prijaté bezpečnostné opatrenia,
  • zistenia auditu pre jednotlivé požiadavky na bezpečnosť sietí a informačných systémov,
  • získané dôkazy podporujúce uvedené zistenia,
  • referenciu na použitú metódu auditu, napríklad:
    • pozorovanie činností a stavu bezpečnostných opatrení,
    • analýzu predložených záznamov,
    • analýzu predložených postupov, predpisov a dokumentov,
    • rozhovory a dotazníky.

Súčasťou kontrolného záznamu je aj overenie úplnosti požadovanej bezpečnostnej dokumentácie a overenie klasifikácie informácií a kategorizácie sietí a informačných systémov.

Prevádzkovateľ základnej služby je povinný predložiť záverečnú správu o výsledkoch auditu úradu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu.