Poznatky
Rozsah auditu kybernetickej bezpečnosti
Dňa 1. januára 2020 nadobudla účinnosť vyhláška č. 436/2019 Z. z. Národného bezpečnostného úradu o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. Jej súčasťou je aj príloha č. 3, Rozsah trvania a časový interval auditu kybernetickej bezpečnosti.
Príloha definuje výpočet rozsahu trvania ako aj faktory znižujúce či zvyšujúce rozsah auditu. Za správny výpočet rozsahu auditu zodpovedá audítor, ktorý bude samotný audit vykonávať. Audítor musí vedieť obhájiť svoj výpočet pomocou tejto metodiky.
Pre výpočet rozsahu trvania auditu sú dôležité informácie poskytnuté prevádzkovateľom základnej služby (PZS) pri vypĺňaní žiadosti o audit kybernetickej bezpečnosti. Informácie, ktoré musí prevádzkovateľ základnej služby poskytnúť audítorovi sú popísané v prílohe č. 2 k vyhláške č. 436/2019
Z. z. a sú viazané na základnú službu a prislúchajúce informačné systémy
(viac informácií o prílohe č. 2)
Hlavným faktorom pre výpočet dĺžky auditu kybernetickej bezpečnosti je počet unikátnych zamestnancov podieľajúcich sa na prevádzke a vývoji informačných systémov a podpornej infraštruktúry. Do tohto počtu je potrebné zahrnúť aj rozsah účasti tretích strán. Súčasne existujú aj faktory na zvýšenie alebo zníženie rozsahu auditu, ako je zaradenie IS do kategórií a tried citlivosti, existujúca bezpečnostná certifikácia alebo fakt, že sa v predošlom období nevyskytol žiadny závažný kybernetický incident.
Výpočet rozsahu trvania auditu kybernetickej bezpečnosti priblížime na fiktívnej spoločnosti Rúry, s.r.o. Spoločnosť zabezpečuje základnú službu prevádzky distribučnej siete plynu a technický dispečing využívaný na monitorovanie a riadenie danej siete. Pre výpočet identifikovali a zaregistrovali 1 základnú službu, ktorej prevádzka je závislá od 3 informačných systémov. Na prevádzke informačných systémov sa podieľa 5 interných zamestnancov dispečingu,
2 interní systémoví administrátori spoločnosti a 4 dodávateľské firmy.
Vstupy pre výpočet rozsahu trvania auditu
| Počet zamestnancov podieľajúcich sa na správe IS | |
|---|---|
| 7 interných IT zamestnancov firmy Rúry, s.r.o. | 7 FTE |
| 1 dodávateľ s rozsahom prác 2 FTE za mesiac | 2 ext. FTE |
| 3 malí dodávatelia s rozsahom po 2 hodiny za mesiac | 0 ext. FTE |
| Celkový počet ľudí prevádzkujúcich IS spoločnosti = 9 FTE | + 5 dní |
| Faktory znižujúce/zvyšujúce rozsah auditu | |
|---|---|
| IS pracujú s informáciami zaradenými do kategórie citlivosti II | - 0 dní |
| Spoločnosť nemá správu o bezpečnosti alebo certifikáciu | - 0 dní |
| Spoločnosť nemala žiadny závažný kybernetický incident | + 0 dní |
| Spoločnosti nebola uložená pokuta za porušenie povinností podľa zákona | + 0 dní |
| Subjektívne faktory audítora | |
|---|---|
| Spoločnosť prevádzkuje IS centrálne | - 0,5 dňa |
| Spoločnosť žiada o prvý audit kybernetickej bezpečnosti – oboznámenie sa s internými kontrolami spoločnosti, analýza bezpečnostnej dokumentácie a pochopenia prostredia |
+ 3 dni |
| Vytvorenie kontrolných záznamov pre základnú službu, príprava záverečnej správy auditu kybernetickej bezpečnosti |
+ 2,5 dňa |
Počet dní na vykonanie auditu |
10 dní |
Na základe výpočtu rozsahu trvania auditu kybernetickej bezpečnosti a faktorov vplývajúcich na zvyšovanie a znižovanie rozsahu auditu audítor vypočítal predpokladaný rozsah trvania auditu fiktívnej spoločnosti Rúry, s.r.o. na 10 dní. Výpočet dĺžky môže byť ovplyvnený nesprávnymi či neúplnými informáciami, prípadne nesprávnou klasifikáciou informačných systémov a aktív, ktoré spoločnosť poskytla. Rozsah auditu je subjektívne zvolená veličina, ktorú musí audítor vedieť obhájiť a vysvetliť v záverečnej správe o audite kybernetickej bezpečnosti.
Spoločnosť Deloitte sa pripravuje na výkon auditov KB, a preto v prípade, že máte otázky ohľadom výpočtu alebo samotného auditu kybernetickej bezpečnosti, neváhajte nás kontaktovať. Informácie o ďalších službách v oblasti kybernetickej bezpečnosti nájdete na webových stránkach spoločnosti Deloitte.
(1) - https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/436/
(2) - https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html
Odporúčania
Audit kybernetickej bezpečnosti - žiadosť
Tento rok pribudla prevádzkovateľom základnej služby (PZS) nová povinnosť, a to audit kybernetickej bezpečnosti.