Audit kybernetickej bezpečnosti

Zákon č. 69/2018 o kybernetickej bezpečnosti je na svete už nejaký ten čas a mnohým verejným aj súkromným organizáciám z neho vyplýva množstvo povinností. Jednou z nich je aj audit kybernetickej bezpečnosti, ktorý má za cieľ posúdiť zhodu implementovaných bezpečnostných opatrení s požiadavkami tohto zákona a s ním súvisiacej vyhlášky o bezpečnostných opatreniach. V prípade nesplnenia požiadaviek môže NBÚ udeliť prevádzkovateľovi základnej služby pokutu až do výšky 300 000 EUR.

Čo je to audit kybernetickej bezpečnosti

Audit kybernetickej bezpečnosti je veľmi dôležitým aspektom životného cyklu informačných systémov. Umožňuje identifikovať a napraviť nedostatky v ich zabezpečení a overiť, či spôsob akým sú chránené je v súlade s regulačnými, normatívnymi a zmluvnými požiadavkami.

Pod pojmom audit kybernetickej bezpečnosti je možné predstaviť si systematické a metodické preskúmanie aktuálneho stavu bezpečnostných opatrení a jeho porovnanie s požiadavkami predpísaného štandardu. Tým štandardom je v tomto prípade zákon č. 69/2018, resp. vyhláška NBÚ č. 362/2018 o bezpečnostných opatreniach.

Audity kybernetickej bezpečnosti smú vykonávať výhradne certifikovaní audítori spĺňajúci požiadavky vyhlášky NBÚ č. 436/2019. Sú nimi podmienky znalostného štandardu overené medzinárodne platným certifikátom, zloženie certifikačnej skúšky audítora kybernetickej bezpečnosti a splnenie predpokladov nezávislosti, objektívnosti a bezúhonnosti.

Audit kybernetickej bezpečnosti nemusí byť iba nutným predpokladom splnenia zákonných požiadaviek. Kvalitne vykonaný audit bude mať pre váš biznis viacero prínosov, napríklad:

• zvýšenie úrovne bezpečnosti identifikáciou a následným odstránením slabín vo vašich informačných systémoch, procesoch a ľuďoch,
• predchádzanie kybernetickým bezpečnostným incidentom,
• zmiernenie rizika súvisiaceho so stratou reputácie ako dôsledku incidentov,
• uistenie sa, že sú splnené zákonné požiadavky,
• návrhy na zlepšenie bezpečnostných opatrení od našich špecialistov.

Audit kybernetickej bezpečnosti od spoločnosti IstroSec

Okrem toho, že IstroSec spĺňa všetky podmienky na výkon auditu kybernetickej bezpečnosti, má množstvo technických expertov s dlhoročnými skúsenosťami v mnohých oblastiach kybernetickej bezpečnosti, ako napríklad:

• riešenie kybernetických bezpečnostných incidentov,
• digitálna forenzná analýza,
• penetračné testovanie,
• threat hunting,
• analýza malvéru,
• governance, risk management a compliance, či
• služby jednotky CSIRT.

Naši experti pôsobili vo verejnej správe ako aj v súkromnom sektore a majú skúsenosti s riešením útokov od malých firiem, cez štátne inštitúcie až po organizácie zo zoznamu FORTUNE 500. Všetky naše skúsenosti a poznatky budú vašou výhodou, pretože umožnia identifikáciu slabých miest a potenciálnych príležitostí pre útočníkov. Samozrejmosťou je to, že disponujeme relevantnými medzinárodnými certifikátmi v oblasti kybernetickej bezpečnosti, ako napríklad CISA, CISSP, GCFE, GCFA, GCPN, GXPN, OSCP, OSWP, CRTP, WRTE, CHFI, a množstvom vendor-specific certifikátov.

Čo nás odlišuje od konkurencie je vlastný výskum, v ktorom odhaľujeme nové zraniteľnosti v produktoch. Zamestnanci našej spoločnosti už majú na svojom konte 10 CVE (Common Vulnerabilities and Exposures), približne 15 je aktuálne v procese priraďovania a neustále pracujeme na odhaľovaní a zodpovednom nahlasovaní ďalších.

Ako sa pripraviť na audit kybernetickej bezpečnosti

Dobrou prípravou na externý audit kybernetickej bezpečnosti je vykonanie gap analýzy, pri ktorej sa identifikujú rozdiely medzi požiadavkami zákona a aktuálnym stavom. Alternatívou je tiež vykonanie interného auditu. Odporúčame prizvať si na pomoc skúsených expertov, prípadne audítorov kybernetickej bezpečnosti, ktorí prípadné nezhody vedia rýchlo identifikovať a poskytnúť asistenciu pri implementácií nápravných opatrení.

Je však potrebné počítať s tým, že v prípade výpomoci od audítora v tomto kroku nebude môcť tento audítor vykonať externý audit v zmysle zákona.

Ako požiadať o audit

V zmysle vyhlášky je o audit kybernetickej bezpečnosti potrebné požiadať zaslaním žiadosti o vykonanie auditu. V prípade ak žiadate o vykonanie auditu spoločnosť IstroSec, je možné tak urobiť prostredníctvom webového formulára alebo zaslaním vyplneného elektronického formulára šifrovaným emailom. Ak nám zavoláte na tel. č. 0949 358 985, certifikovaný audítor vám rád s vyplnením formuláru pomôže. V prípade potreby je možné zabezpečiť výmenu potrebných informácií a dokumentácie aj alternatívnym spôsobom.

Po stanovení rozsahu auditu a určení všetkých zdrojov potrebných na výkon auditu naši audítori stanovia či je audit vykonateľný. To znamená, že je potrebné nadobudnúť primeranú istotu, že ciele auditu budú dosiahnuté. Na základe všetkých získaných informácií bude následne možné vypracovať cenovú ponuku a pristúpiť k uzatvoreniu zmluvy o výkone auditu kybernetickej bezpečnosti vo vašej organizácii. Rovnako je potrebné, aby auditovaná organizácia vystavila poverenie výkonom auditu pre vedúceho audítora. Toto poverenie mu dodá potrebnú autoritu a právomoc a zároveň uloží pracovníkom auditovanej organizácie povinnosť poskytnúť audítorovi súčinnosť.

Po absolvovaní týchto pred-auditných krokov je možné oficiálne začať audit.

Ako prebieha audit kybernetickej bezpečnosti

Samotný audit začína otváracím stretnutím s manažmentom auditovanej organizácie a všetkými zainteresovanými členmi auditného tímu a osobami zodpovednými za základné služby, ktoré sú predmetom auditu. Primárnym cieľom je potvrdiť plán auditu, predstaviť jednotlivých audítorov a zamestnancov auditovanej organizácie. Je to tiež príležitosť na overenie cieľov, predmetu a kritérií auditu, harmonogramu jednotlivých činností a fáz auditu, komunikačných kanálov a logistických aspektov auditu. V neposlednom rade sa tiež ujasnia podmienky mlčanlivosti a ochrany informácií, dôkazov a skutočností zistených a audítorom zhromažďovaných pred, počas a po výkone auditu.

Audítor kybernetickej bezpečnosti počas svojej práce používa rôzne auditné metódy na to, aby overil mieru plnenia požiadaviek zákona, ku ktorým patrí napríklad vzorkovanie, vykonávanie rozhovorov, pozorovanie, skúmanie dokumentácie a záznamov, auditné dotazníky a ďalšie. Cieľom je získať dostatok overiteľných informácií a dôkazov na to, aby bolo možné posúdiť či je systém bezpečnosti v zhode so zákonom. Audítori kybernetickej bezpečnosti postupujú v zmysle metodiky, ktorú vydalo Kompetenčné a certifikačné centrum kybernetickej bezpečnosti na to, aby bol zaistený jednotný prístup k vykonávaniu auditu.

V rámci auditu sa identifikujú prípadné nedostatky v zabezpečovaní kybernetickej bezpečnosti. Kritériami pri posudzovaní zhody alebo nezhody sú:

• povinnosti prevádzkovateľa základnej služby podľa §19 Zákona,
• požiadavky podľa §20 Zákona a
• súvisiace osobitné predpisy vzťahujúce sa na bezpečnosť sietí a informačných systémov.

Audítor môže pri posudzovaní dospieť k nasledovným konštatovaniam:

• zhoda,
• čiastočná zhoda, alebo
• nezhoda.

Ako príklad môžeme uviesť posudzovanie zhody pre požiadavky na riadenie aktív. Audítor kybernetickej bezpečnosti bude chcieť vidieť centralizovaný a riadený inventár aktív, v ktorom sú identifikované všetky aktíva súvisiace s informačnými systémami. Pokiaľ takýto systém neexistuje, audítor bude konštatovať nezhodu. V prípade ak inventár existuje, ale jeho aktualizácia bola vykonaná pred tromi rokmi alebo je inventár aktív uložený iba v počítači manažéra bezpečnosti, audítor bude pravdepodobne konštatovať len čiastočnú zhodu. Podobný verdikt by bol vyslovený aj v situácií, kedy sa pri rozhovoroch s personálom zodpovedným za prevádzku základnej služby identifikovali ďalšie IS podporujúce základnú službu a tieto nie sú v inventári aktív zaznamenané. V takomto prípade by mal audítor umožniť takýto nedostatok odstrániť do ukončenia auditu. Ak bude nedostatok odstránený, audítor bude môcť v správe konštatovať zhodu.

Audítori a technickí experti zo spoločnosti IstroSec pri vykonávaní auditu okrem strohého konštatovania ponúkajú aj svoje skúsenosti a expertízu. Preto k zisteniam prikladáme aj vecné odporúčania od našich odborníkov z dlhoročnou praxou, ktoré značne uľahčia nápravu stavu, čo vedie k ešte lepšej úrovni kybernetickej bezpečnosti.

Po ukončení auditných činností audítor pripraví draft záverečnej správy o výsledkoch auditu. Túto správu dostane zástupca prevádzkovateľa základnej služby na vyjadrenie. V prípade konštatovania nezhody prevádzkovateľ uvedie termíny vykonania nápravných opatrení.

Čo robiť po obdržaní správy z auditu

Audit sa končí záverečným stretnutím, na ktorom vedúci audítor prezentuje manažmentu, pracovníkom a relevantným tretím stranám zistenia a závery auditu. Tiež sa dohodnú a odsúhlasia termíny na odstránenie nedostatkov a následné činnosti po audite.

Finálna správa z auditu bude distribuovaná zainteresovaným stranám do 30 dní od záverečného stretnutia. Je potrebné myslieť na to, že prevádzkovateľ základnej služby má povinnosť túto správu predložiť NBÚ do 30 dní od ukončenia auditu, resp. od termínu doručenia správy z auditu.

Následne odporúčame sa detailne pozrieť na výsledky auditu a začať pracovať na odstránení nedostatkov. V prípade, ak nebol audit vykonaný našou spoločnosťou, radi vám pomôžeme s implementáciou nápravných opatrení v zmysle nálezov z auditu.

Referencie

Zákon č. 69/2018 o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

Vyhláška NBÚ č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Vyhláška NBÚ č. 436/2019 o audite kybernetickej bezpečnosti a znalostnom štandarde audítora