Audit kybernetickej bezpečnosti simulovanej firmy podľa štandardov NBU

1.1   Informácie k cvičeniu

Cvičenie má predpripravený virtuálný stroj Ubuntu, ktorý si študent spustí cez VMware.

      • Ubuntu – verzia 22.04.2 64bit, user:tuke, password secret, viac info. -> úvodné cvičenie

1.2   Motivácia

Na tomto cvičení sa študent oboznámi s legislatívou ohľadom auditu kybernetickej bezpečnosti. Naučí sa, aké požiadavky musí spĺňať audítor a akých postupov sa musí držať.

1.3   Ciele cvičenia

  1. Študent sa oboznámi s Eúropskou smernicou NIS
  2. Študent pochopí ako je stanovené vykonávanie auditu kybernetickej bezpečnosti v zákone Slovenskej republiky
  3. Študent pochopí metodiku vykonávania auditu kybernetickej bezpečnosti

1.4  Smernica NIS

V členských štátoch Európskej Únie, vrátane našej je prijatá smernica NIS (Network and Information Systems Directive), ktorej cieľom je zvýšiť úroveň kybernetickej bezpečnosti v celej Európskej Únii. V rámci tejto smernice majú členské štáty povinnosť preniesť tieto ustanovenia do svojich vnútroštátnych právnych predpisov a zabezpečiť ich dodržiavanie.

Ak sa zameriame konkrétne na bezpečnostný audit, tak v smernici NIS, ktorá bola prijatá 6.7.2016 v článku 15, odsek 2-b je napísané, že členské štáty Európskej Únie zabezpečia, aby príslušné orgány mali právomoci a prostriedky na to, aby poskytovali dôkazy o účinnom vykonávaní bezpečnostných politík, ako sú výsledky auditu, ktoré vykoná príslušný orgán alebo kvalifikovaný audítor. V prípade, že audit vykonáva audítor, výsledky spolu s dôkazmi budú poskytnuté príslušnému orgánu. Z kontextu vyplýva, že audit kybernetickej bezpečnosti nie je priamo povinný úkon z tejto smernice a krajiny si ho môžu dobrovoľne zaviesť do svojho zákonníka. Všetky členské štáty boli povinné transponovať, a dokonca transponovali svoje zákony a právne predpisy tak, aby spĺňali nariadenia smernice do 9.5.2018.

 

Novelizácia smernice NIS

Vzhľadom na nové výzvy a obmedzenia z oblasti kybernetickej bezpečnosti sa neskôr schválila smernica NIS 2, ktorá bola nariadená 16.1.2023. Členské štáty Európskej únie sú povinné transponovať svoje zákony a právne predpisy do 17.10.2024. Medzi hlavné problémy prvého právneho predpisu NIS, ktoré identifikovala komisia patria:

  • nedostatočná úroveň kybernetickej odolnosti podnikov pôsobiacich v EÚ
  • nekonzistentná odolnosť medzi členskými štátmi a odvetviami
  • nedostatočné spoločné chápanie hlavných hrozieb a výziev medzi členskými štátmi
  • nedostatočná spoločná reakcia na krízu.

 

Tentokrát novelizácia priniesla pre audit kybernetickej bezpečnosti významné zmeny, ktoré sú stanovené v článku 32 odseku 2. Podľa tejto novely majú členské štáty právomoc podrobiť kľúčové subjekty nasledujúcim opatreniam na zabezpečenie správneho auditu kybernetickej bezpečnosti:

  • Inšpekcie na mieste a dohľad na diaľku: Tieto inšpekcie môžu zahŕňať náhodné kontroly, vykonávané vyškolenými odborníkmi.
  • Pravidelné a cielené bezpečnostné audit: Musia byť vykonávané v pravidelných intervaloch, ktoré si určí členský štát, a taktiež musia byť nezávislé.
  • Audit ad hoc: Takýto audit sa vykonáva v prípadoch, keď je odôvodnený významný incident alebo porušenie smernice kľúčovým subjektom.
  • Bezpečnostné kontroly: Tieto kontroly sa vykonávajú na základe objektívnych, nediskriminačných, spravodlivých a transparentných kritérií hodnotenia rizík, a to v prípade potreby v spolupráci s dotknutým subjektom.
  • Žiadosti o informácie: Príslušné orgány majú právo požadovať o informácie potrebné na posúdenie opatrení na riadenie kybernetických rizík, vrátane zdokumentovaných politík kybernetickej bezpečnosti.
  • Žiadosti o prístup k údajom, dokumentom a informáciám: Tieto žiadosti sú nevyhnutné na plnenie úloh dohľadu a kontrol.
  • Žiadosti o dôkazy ohľadom vykonávaní politík kybernetickej bezpečnosti: To zahŕňa výsledky bezpečnostných auditov vykonaných kvalifikovanými audítormi a príslušné dôkazy.

 

V súčasnej dobe, ku dňu 19.9.2023, na základe priameho zdroja, smernica NIS-2, nebola v  žiadnom z členských štátov potvrdená transpozícia smernice NIS 2. To však neimplikuje, že niektoré krajiny už nemohli zaviesť určité aspekty týkajúce sa auditu kybernetickej bezpečnosti do svojich právnych predpisov. Preto sa v rámci tohto cvičenia zameriame na Audit kybernetickej bezpečnosti podľa Národného bezpečnostného úradu. – NBU.

1.5   Audit kybernetickej bezpečnosti podľa NBU

Národný bezpečnostný úrad (NBU) zaviedol opatrenia na zlepšenie kybernetickej bezpečnosti v krajine. Zároveň transponoval do Slovenského právneho poriadku európskusmernicu o sieťovej a informačnej bezpečnosti – NIS. Týmito opatreniami vznikol zákon o kybernetickej bezpečnosti 69/2018 Z. z.

 

Poznámka: Nedodržanie ustanovení v zákone o Kybernetickej bezpečnosti môžu prevádzkovateľom základných a digitálnych služieb uložiť pokutu od 300 eur až do výšky 300 000 eur.

Paragraf 29 zo zákona 69/2018  je venovaný Auditu kybernetickej bezpečnosti. Obsahuje tieto základné nariadenia:

  1. Audit kybernetickej bezpečnosti podľa zákona zahŕňa overenie dodržiavania povinností prevádzkovateľa základnej služby a pomáha predchádzať kybernetickým incidentom s úlohou identifikovať nedostatky.
  2. Audit kybernetickej bezpečnosti môže vykonávať len certifikovaný audítor podľa ISO/IEC 17024
  3. Povinnosť vykonať audit je do 2 rokov od zaradenia do registra prevádzkovateľov základných služieb.
    1. Audit sa ďalej vykonáva pravidelne každé 2 roky a pri každej významnej zmene, najneskôr do dvoch mesiacov
  4. Prevádzkovateľ má za úlohu do 30 dní od vykonania auditu predložiť úradu záverečnú správu o výsledkoch spolu s opatreniami na nápravu a určenými termínmi na ich vykonanie.
  5. Náklady za audit kybernetickej bezpečnosti si hradí prevádzkovateľ
  6. Úrad má právo kedykoľvek vykonať náhodný audit kybernetickej bezpečnosti u prevádzkovateľa základnej služby; v takom prípade náklady na audit nesie úrad, nie prevádzkovateľ.

Zaujímavosť: V prípade, ak by vás zaujímal informatívny zoznam audítorov SR, môžete si pozrieť túto stránku: https://www.nbu.gov.sk/kyberneticka-bezpecnost/kontrola-a-audit/zoznam-auditorov/index.html.

1.6   Metodika auditu kybernetickej bezpečnosti

Štát zaviedol metodiku auditu kybernetickej bezpečnosti, ktorá vyhovuje požiadavkám zákona 69/2018 Z. z. o kybernetickej bezpečnosti. Je to záväzná norma pre všetkách certifikovaných audítorov.  Cieľom tejto metodiky je zaistiť jednotný formát záverečných správ a kompatibilitu postupov medzi audítormi. Rozsah auditu je podrobne definovaný vo vyhláške NBÚ č. 436/2019 Z.z . týkajúcej sa auditu kybernetickej bezpečnosti.

 

Úloha: prečítajte si všetky 3 paragrafy o audite kybernetickej bezpečnosti z vyhlášky 436/2019.

 

Zákon obsahuje 4 prílohy:

  • Príloha č.1 obsahuje znalostný štandard audítora – všeobecné a osobitné požiadavky Najdôležitejší bod je absolvovanie vysokoškolského vzdelania 2. stupňa a 3 ročná prax z oblasti auditovania informačných systémov spolu s medzinárodných certifikátom z tejto oblasti.
  • Príloha č.2 obsahuje minimálne náležitosti žiadosti o vykonanie auditu kybernetickej bezpečnosti:
    • identifikácia prevádzkovateľa základnej služby
    • identifikácia základných služieb
    • počet zamestnancov
    • zoznam informačných systémov a ich klasifikácia
    • Siete, topológie, architektúry, správy z penetračných testovaní, počet používateľov a iné.
  • Príloha č.3 obsahuje dokument na určenie rozsahu trvania a časový interval auditu kybernetickej bezpečnosti, ktorý určuje audítor
  • Príloha č.4 obsahuje kontrolný záznam auditovaných bezpečnostných opatrení, ktorý vypracúva audítor.

 

Pre audítorov sú pred-pripravené 2 základné dokumenty, obe sú dostupné online z NBU [metodika auditu]:

  1. Metodika auditu kybernetickej bezpečnosti – ktorá podrobne opisuje priebeh auditu, spolu so všetkými dôležitými informáciami.
  2. Príloha č.4 – Kontrolný záznam auditovaných bezpečnostných opatrení – ktorý vypĺňa audítor so všetkými zisteniami, súladmi a nesúladmi s požiadavkami, dôkazmi a referencií.

Zaujímavosť: Template záverečnej správy získanej z NBU si môžete pozrieť  TU

1.7   Analýza priebehu auditu

.Vzhľadom na to, že proces auditu kybernetickej bezpečnosti podľa platného právneho predpisu predstavuje zložitú činnosť, sústreďme sa iba na jeho podrobnú analýzu.

Otvorte si Metodiku auditu kybernetickej bezpečnosti a analyzujte priebeh auditu.

V rámci cvičenia dostanete k dispozícii Google formulár obsahujúci otázky týkajúce sa tejto problematiky. Tieto otázky budú zahrnuté z kľúčových častí dokumentu, od kľúčových pojmov po záver auditu. Budú formulované tak, aby si vyžadovali dlhšie odpovede vo forme textu. Očakávame, že budete schopní vyjadriť svoje myšlienky vlastnými slovami, pokiaľ nepôjde o jednoznačnú odpoveď, v reakcii na každú z týchto otázok.

Vyplňte formulár TU.

1.8   Zdroje

1.9   Dotazník / Kvíz

Dotazník resp. kvíz je hodnotený 0.5 bodom k zápočtu. Na jeho vyplnenie máte čas do 15. októbra. Odkaz na dotazník nájdete tu