Audit kybernetické bezpečnosti

Prováděcí předpisy k zákonu 181/2014S Sb. – o kybernetické bezpečnosti nestanoví žádné konkrétní požadavky na způsob zajištění a provádění auditů kybernetické bezpečnosti s výjimkou požadavku na odbornou způsobilost a kvalifikaci auditora a rámcového vymezení cílů auditu. Zákonná úprava tedy ponechává povinným osobám v tomto ohledu poměrně značnou volnost. Základním kritériem vhodnosti a správnosti použitých postupů je kvalita výsledku, tedy to, do jaké míry audit splní požadavky na něj kladené. Obecné požadavky na systémy řízení bezpečnosti informací, které jsou pro zajištění kybernetické bezpečnosti zvoleny jako nástroj předpokládají, že audity budou především systematické, že budou prováděny v plánovaných inter­valech, zjistí a poskytnou vedení infor­mace o fungování systému řízení bezpečnosti a úrovni kybernetické bezpečnosti a poskytnou identifikaci příležitostí pro zlepšení.

Auditní procedury nad to jsou hlavním diagnostickým nástrojem bezpečnostního managementu. Audit funguje jako zpětná vazba poskytující informace o stavu systému informační a/resp. kybernetické bezpečnosti organizace a fungování a stavu procesů v něm probíhajících. Audity představují nezávislý zdroj informací a týkají se všech podnikových procesů, které tvoří bezpečnostní systém organizace.

Audity systémů řízení bezpečnosti informací resp. Audity kybernetické bezpečnosti znamenají systematické a nezávislé zkoumání úrovně bezpečnosti s cílem stanovit, zda činnosti v oblasti bezpečnosti a s nimi spojené výsledky jsou v souladu s plánovanými záměry a zda se tyto záměry realizují efektivně a jsou vhodné pro dosažení cílů. Výstupy auditů jsou nezbytným podkladem pro přijetí správných rozhodnutí o opatřeních vedoucích ke zlepšování systému řízení bezpečnosti informací, na němž je kybernetická bezpečnost vystavěna.

Cílem každého auditu musí být zjišťování objektivních skutečností, nikoliv jednotlivých anomálních chyb. Základními oblastmi auditu jsou:

  • Řízení neshody
  • Plány odstranění neshody
  • Povinnosti a odpovědnosti
  • Parametry plnění cílů a jejich vazba na zjištění auditu
  • Ověřování zavedených opatření

Principy auditu kybernetické bezpečnosti jsou založeny na využívání standardních postupů a nástrojů, zavedených v příslušných normách a zkoumání shody s požadavky prováděcích předpisů zákona 181/2014 Sb. – o kybernetické bezpečnosti.

Soubor dotčených norem k posouzení věcné shody systému řízení bezpečnosti informací/kybernetické bezpečnosti nebo náhledu na kodifikované best practices pro srovnání se zjištěným stavem však může být daleko širší, protože soubor norem, které se dané problematiky dotýkají může být relativně široký – například:

  • ČSN EN ISO 9000:2006 Systémy managementu kvality – Základní principy a slovník
  • ČSN EN ISO 9001 Systémy managementu kvality – Požadavky
  • ČSN EN ISO 9004:2001 Systémy managementu jakosti – Směrnice pro zlepšování výkonnosti
  • ČSN ISO 10002 Management kvality – Spokojenost zákazníka – Směrnice pro vyřizování stížností v organizacích
  • ČSN ISO 10007 Systémy managementu jakosti – Směrnice managementu konfigurace
  • ČSN ISO/IEC 15939:2011 Systémové a softwarové inženýrství – Proces měření
  • ČSN ISO/IEC 15504-2 Informační technologie – Posuzování procesu – Část 2: Realizace posouzení
  • ČSN ISO/IEC 15504-3 Informační technologie – Posuzování procesu – Část 3: Návod na realizaci posouzení
  • ČSN ISO/IEC 19770-1 Informační technologie – Správa softwarových aktiv – Část 1: Procesy
  • ČSN EN ISO 19011:2012 Směrnice pro auditování systémů managementu
  • ČSN EN ISO 22301 Ochrana společnosti – Systémy managementu kontinuity podnikání – Požadavky
  • ČSN ISO/IEC 27000:2010 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Přehled a slovník
  • ČSN ISO/IEC 27001 Informační technologie – Bezpečnostní techniky – Systémy řízení bezpečnosti informací – Požadavky
  • ČSN ISO/IEC 27002 Informační technologie – Bezpečnostní techniky – Soubor postupů pro opatření bezpečnosti informací
  • ČSN ISO/IEC 27003:2011 Informační technologie – Bezpečnostní techniky – Směrnice pro implementaci systému řízení bezpečnosti informací
  • ČSN ISO/IEC 27004:2011 Informační technologie – Bezpečnostní techniky – Řízení bezpečnosti informací – Měření
  • ČSN ISO/IEC 27005:2013 Informační technologie – Bezpečnostní techniky – Řízení rizik bezpečnosti informací
  • ČSN ISO/IEC 27006:2013 Informační technologie – Bezpečnostní techniky – Požadavky na orgány provádějící audit a certifikaci systémů řízení bezpečnosti informací
  • ČSN ISO/IEC 27007:2013 Informační technologie – Bezpečnostní techniky – Směrnice pro audit systémů řízení bezpečnosti informací
  • TNI 01 0350:2009 Management rizik – Slovník (Pokyn 73)
  • ČSN ISO 31000 Management rizik – Principy a směrnice
  • ČSN EN 31010 Management rizik – Techniky posuzování rizik

V ELATu dokážeme ověřit, zda a v jaké míře jsou zavedeny, udržovány a zlepšovány nástroje pro zajištění shody s normami a předpisy v oblasti kybernetické bezpečnosti. Citlivě, ale vnímavě identifikujeme nedostatky a příležitosti ke zlepšení.

Máte-li tedy potřebu provedení auditu, dejte vědět.