Audit

Auditom kybernetickej bezpečnosti sa overuje plnenie povinností podľa zákona a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom. Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby s cieľom prijať opatrenia na ich odstránenie a nápravu a na predchádzanie kybernetickým bezpečnostným incidentom.

Audit kybernetickej bezpečnosti vykonáva audítor certifikovaný akreditovaným certifikačným orgánom certifikujúcim osoby príslušným na certifikáciu personálu v oblasti kybernetickej bezpečnosti podľa ISO/IEC 17024.

Konkrétny postup certifikácie je uvedený v záväznej certifikačnej schéme (30. 03.2020, pdf, 612 kB) pre všetky akreditované orgány, a to v súlade s ISO/IEC 17024.

Zoznam certifikačných orgánov, ktorí sú oprávnení certifikovať audítorov kybernetickej bezpečnosti, aktuálne ku dňu 08. 06. 2020 (pdf, 130 kB)

Podľa čl. 4.3.1. certifikačnej schémy úrad zverejňuje:

Prevádzkovateľ základnej služby je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek vykonaním auditu kybernetickej bezpečnosti do 2 rokov odo dňa zaradenia do registra prevádzkovateľov základných služieb. Náklady auditu znáša prevádzkovateľ základnej služby.

Audit sa ďalej vykonáva:

  1. každé dva roky a
  2. pri každej významnej zmene, najneskôr do dvoch mesiacov odkedy má zmena významný vplyv na realizované bezpečnostné opatrenia.

Významným vplyvom sa rozumie najmä

  1. vplyv na prijatú klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
  2. zmena dopadových kritérií základnej služby,
  3. zmena alebo výmena informačného systému a prevádzkových parametrov základnej služby,
  4. zavedenie novej siete alebo nového informačného systému, od ktorých je závislá základná služba, alebo
  5. zavedenie novej technológie, od ktorej je závislá základná služba.

Prevádzkovateľ základnej služby je povinný predložiť úradu záverečnú správu o výsledkoch auditu spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu. Súčasťou záverečnej správy je aj kontrolný záznam, ktorý obsahuje súbor požiadaviek podľa zákona a jeho vykonávacích predpisov. V kontrolnom zázname audítor uvádza najmä súlad alebo nesúlad s požiadavkami na implementované bezpečnostné opatrenia, zistenia auditu pre jednotlivé požiadavky, získané dôkazy podporujúce uvedené zistenia a referenciu na použitú metódu overenia.

Úrad môže kedykoľvek vykonať audit prevádzkovateľa základnej služby, alebo audítora o vykonanie auditu s cieľom potvrdiť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek podľa zákona o kybernetickej bezpečnosti. Náklady takto vykonaného auditu znáša úrad.

Dátum prvého uverejnenia , posledná aktualizácia