Samsung_01A2021 Samsung_01A2021 Samsung_01A2021 Advertisement

Ako si vybrať audítora kybernetickej bezpečnosti?

Bezpečnosť
2

V zmysle zákona o kybernetickej bezpečnosti bude každý prevádzkovateľ základnej služby („PZS“) od novembra 2020 povinný požiadať o audit kybernetickej bezpečnosti.

Audit kybernetickej bezpečnosti je oprávnený vykonávať iba certifikovaný audítor kybernetickej bezpečnosti. Certifikáciu získa audítor od certifikačného orgánu až po splnení všetkých požiadaviek certifikačnej schémy. V súčasnosti má právo vydať certifikáciu iba jeden akreditovaný certifikačný orgán, a to Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.

Zoznam certifikovaných audítorov je na potreby prevádzkovateľov základnej služby (PZS) voľne prístupný na webovej stránke kompetenčného centra (https://www.cybercompetence.sk/). Proces výberu netreba odkladať, lebo počet certifikovaných audítorov, ako aj ich kapacity sú obmedzené.

Na čo sa teda zamerať?

Jednou z požiadaviek na získanie certifikátu sú znalostné štandardy audítora overené skúškou, ktoré sú definované v prílohe č. 1 vyhlášky č. 436/2019 Z. z. Tie predstavujú minimálne všeobecné požiadavky na úroveň vzdelania, ako aj na prax audítora. Zároveň definujú požiadavky na úroveň odbornej spôsobilosti audítora vo forme jeho znalostí, schopností a predpokladov.

Prvým dôležitým predpokladom je nezávislosť – t. j. audítor, ktorý vykonáva audit kybernetickej bezpečnosti, sa nesmel počas posledných troch rokov pred výkonom samotného auditu zúčastňovať na riadení alebo prevádzke auditovaných informačných systémov. Ďalším predpokladom je objektívnosť v zmysle absencie uznaných sťažností na objektívnosť počas vykonávanej praxe. Samozrejmosťou je bezúhonnosť.

Zoznam znalostí a schopností je rozsiahlejší. Zahŕňa znalosť rôznych procesov, metodík a právnych predpisov, technické znalosti ako koncept počítačových sietí, princípov testovania kybernetickej bezpečnosti, či schopnosť posudzovať dôkazy, analyzovať riziká a vypracovať úplnú a prehľadnú záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti.

Všetky odborné znalosti a schopnosti vie audítor preukázať aj špecifickými certifikátmi. V životopise audítora hľadajte certifikáty zamerané na informačnú bezpečnosť a hlavne jej auditovanie – CISSP, OSCP, GIAC alebo certifikát audítora informačných systémov – CISA alebo Lead auditor ISO 27001. Niektoré sektory môžu oceniť aj špecifické certifikáty, ako napr. ISA/IEC 62443 (rámec pre priemyselné automatizačné a kontrolné systémy).

Treba pripomenúť, že PZS, ktorý je prvkom kritickej infraštruktúry a spracúva informácie v utajenom režime, sa musí ubezpečiť, že vybraný audítor má platnú bezpečnostnú previerku s potrebným stupňom utajenia.

Okrem minimálnych náležitostí by sa mali pri výbere audítora zohľadniť aj ďalšie atribúty.

Dôležitá je prax

Jedným z týchto atribútov je prax. Každý audítor musí zdokladovať potrebnú prax v oblasti vykonávania auditov informačných systémov alebo v oblasti informačných technológií a kybernetickej bezpečnosti. Nemôže sa teda stať, že vedúci audítor bude vykonávať audit kybernetickej bezpečnosti bez praxe alebo len s minimálnou praxou. Pre PZS je však žiaduce zamerať sa na audítorov, ktorí majú skúsenosti s auditmi v jeho sektore. Napríklad PZS v sektore energetiky by si nemal vyberať z audítorov len so skúsenosťami napríklad v bankovníctve. Vyhne sa tak prípadným nedorozumeniam spôsobeným neznalosťou auditovaného prostredia a takisto sa skráti čas výkonu auditu. Podľa potrieb PZS je možné vybrať si audítora, ktorý sa viac zameriava na procesnú alebo technickú stránku.

PZS s rozsiahlejšou infraštruktúrou by si mal vybrať certifikovaného audítora, ktorý má k dispozícii tím ľudí s možnosťou zastupiteľnosti ďalšieho certifikovaného audítora. V prípade výpadku vedúceho audítora tak nebude narušená kontinuita prác. Súčasne však vedúci audítor síce dohliada na celý priebeh auditu, nejde však o tzv. one man show. Aj výberom audítora, ktorý má možnosť zapojiť tím kvalifikovaných asistentov, sa zvyšuje efektivita a znižuje časová náročnosť výkonu auditu.

Pri výbere je vhodné zvážiť všetky aspekty a zvoliť si audítora kybernetickej bezpečnosti s preukázateľnými schopnosťami a znalosťami vykonať audit kybernetickej bezpečnosti v konkrétnej spoločnosti.

Viac informácií o audite kybernetickej bezpečnosti nájdete na https://www2.deloitte.com/sk/sk/pages/riadenie-rizik/topics/kyberneticke-riziko.html?icid=top_.


Kristína Šenkeryová, konzultant na oddelení risk advisory

Zobrazit Galériu

2 komentáre

adkoo reakcia na: Ako si vybrať audítora kybernetickej bezpečnosti?

17.12.2020 21:12
zase ide iba o zakon presadeny lobovanim. to iste ako gdpr, ktore iba zatazilo podnikatelov a urady a neprinieslo nic iba buzeraciu. par firiem zarobi mesacne na gdpr, podnikateloa sa boja a platia za papier ktory ich ochrani pred uradmi a pokutou. k uniku dochadza nadalej, spamov je 5x viac, kazy web otravuje potvrdenim cookie. o tom bude aj bezpecnost, ktoru firma nevyriesi iba dostane potvrdenie ze je zabezpecdna. uplne na hlavu. prax je uplne ina. podnikatelia maju ine starosti ako platit vypalne cerifikacnym firmam.
Reagovať

RE: adkoo reakcia na: adkoo

26.12.2020 21:12
Skoda, ze nevies o com tocis...
Reagovať

Pridať komentár

Mohlo by vás zaujímať

Mohlo by vás zaujímať