436/2019 Z. z.

Vyhlásené znenie

Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.

436
VYHLÁŠKA
Národného bezpečnostného úradu
z 11. decembra 2019,
o audite kybernetickej bezpečnosti a znalostnom štandarde audítora
Národný bezpečnostný úrad podľa § 32 ods. 1 písm. d) a f) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:
§ 1
(1)
Auditom kybernetickej bezpečnosti (ďalej len „audit“) sa overuje plnenie povinností podľa zákona a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov1) prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom. Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby s cieľom prijať opatrenia na ich odstránenie a nápravu a na predchádzanie kybernetickým bezpečnostným incidentom.
(2)
Audit vykonáva orgán posudzovania zhody podľa § 29 ods. 3 zákona, ktorým je audítor kybernetickej bezpečnosti (ďalej len „audítor“).
(3)
Na vykonanie auditu audítor spĺňa podmienky znalostného štandardu podľa prílohy č. 1 overené skúškou doloženou podľa odporúčaní medzinárodne akceptovaných technických noriem2) alebo iných, týmto štandardom vecne obdobných a všeobecne uznávaných postupov.
(4)
Audítor zodpovedá za správnosť, rozsah a odbornosť pri výkone auditu a spracovaní záverečnej správy o výsledkoch auditu.
(5)
Audítor vykonáva audit odborne, objektívne, nestranne, na základe dôkazov podľa odporúčaní technických noriem2) alebo iných vecne obdobných a všeobecne uznávaných postupov.
(6)
Audítor určuje časový rozsah trvania auditu tak, že je dostatočný na posúdenie plnenia povinností podľa zákona a účinnosti prijatých bezpečnostných opatrení a ich stav hodnotí formou vzorkovania, pričom rozsah vzoriek určuje s ohľadom na vykonanú klasifikáciu informácií a kategorizáciu sietí a informačných systémov, vykonanú analýzu rizík kybernetickej bezpečnosti a na vypovedaciu schopnosť auditu podľa odseku 1.
(7)
Audítor pri výkone auditu najmä
a)
prijíma žiadosť o vykonanie auditu v rozsahu minimálnych náležitostí uvedených v prílohe č. 2 a posudzuje kompletnosť údajov v žiadosti; môže si vyžiadať ďalšie informácie potrebné na prípravu a výkon auditu,
b)
pripravuje harmonogram výkonu auditu, ktorý obsahuje najmä
1.
identifikáciu organizačných útvarov, procesov, auditovaných sietí a informačných systémov a fyzických lokalít prevádzkovateľa základnej služby s uvedením času a
2.
meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytuje audítorovi počas auditu požadovanú súčinnosť,
c)
určuje rozsah auditu spôsobom podľa prílohy č. 3,
d)
určuje metódy auditu podľa prílohy č. 4,
e)
pripravuje podklady a pracovné dokumenty potrebné na výkon auditu,
f)
preskúmava bezpečnostnú dokumentáciu a vyhodnocuje bezpečnostné opatrenia a vypracúva kontrolný záznam auditovaných bezpečnostných opatrení (ďalej len „kontrolný záznam“) podľa prílohy č. 4,
g)
zbiera, sústreďuje a vyhodnocuje dôkazy o zisteniach auditu,
h)
písomne oboznamuje zodpovedného zamestnanca prevádzkovateľa základnej služby so zistenými nedostatkami a zostavuje súbor odporúčaných opatrení na ich odstránenie,
i)
vypracúva záverečnú správu o výsledkoch auditu.
§ 2
(1)
V záverečnej správe o výsledkoch auditu sa hodnotí výsledok auditu a uvedú sa dôkazy, na základe ktorých sa hodnotenie vykonalo.
(2)
Záverečná správa o výsledkoch auditu obsahuje najmä
a)
meno, priezvisko, číslo platného certifikátu audítora, dátum vyhotovenia a jeho podpis,
b)
vymedzenie rozsahu vykonaného auditu,
c)
cieľ auditu,
d)
metódy vykonaného auditu,
e)
zhrnutie zistení výsledkov auditu a konštatovanie súladu alebo nesúladu s požiadavkami na bezpečnosť sietí a informačných systémov,
f)
odporúčané nápravné opatrenia audítora pri zistení nedostatkov,
g)
dokumenty, najmä
1.
kópiu certifikátu audítora,
2.
kópiu žiadosti o vykonanie auditu,
3.
výpočet rozsahu trvania auditu a zdôvodnenie jeho skrátenia alebo predĺženia,
4.
kontrolný záznam s vyjadrením prevádzkovateľa základnej služby so zisteniami auditu,
5.
harmonogram auditu,
6.
zoznam posúdenej dokumentácie,
7.
uvedenie a zdôvodnenie zmien a rozdielov priebehu auditu oproti plánovanému harmonogramu,
8.
zhodnotenie plnenia povinností podľa zákona a celkového stavu prijatých bezpečnostných opatrení každého informačného systému súvisiaceho so základnou službou, vyslovenie súladu alebo nesúladu s požiadavkami na bezpečnosť sietí a informačných systémov a konkrétne uvedenie nedostatkov,
h)
informáciu o stave vykonaných nápravných opatrení, ak prevádzkovateľ základnej služby na základe predchádzajúceho auditu mal tieto nápravné opatrenia prijať.
(3)
Súčasťou záverečnej správy o výsledkoch auditu je pri zistení nesúladu s požiadavkami na bezpečnosť sietí a informačných systémov aj správa o zistených nedostatkoch, pri ktorých prevádzkovateľ základnej služby uvádza termín vykonania nápravných opatrení na zabezpečenie požadovaného súladu s požiadavkami na bezpečnosť sietí a informačných systémov. Nápravné opatrenia sa prijímajú tak, že je možné ich zahrnúť do záverečnej správy o výsledkoch auditu.
(4)
Ak sú všetky zistené nedostatky odstránené do dohodnutého času pred spracovaním záverečnej správy o výsledkoch auditu, je možné v tejto záverečnej správe o výsledkoch auditu konštatovať zhodu s požiadavkami na bezpečnosť sietí a informačných systémov.
§ 3
Táto vyhláška nadobúda účinnosť 1. januára 2020.
Roman Konečný v. r.
Príloha č. 1 k vyhláške č. 436/2019 Z. z.
Príloha č. 2 k vyhláške č. 436/2019 Z. z.
MINIMÁLNE NÁLEŽITOSTI ŽIADOSTI
O VYKONANIE AUDITU KYBERNETICKEJ BEZPEČNOSTI
1.
Identifikácia prevádzkovateľa základnej služby.
2.
Identifikácia základných služieb podporených auditovanými informačnými systémami a sieťami.
3.
Počet zamestnancov prevádzkovateľa základnej služby.
4.
Zoznam informačných systémov a ich klasifikácia s väzbou na základnú službu a pre každý z nich najmenej informácie o informačnom systéme a
a)
identifikácia organizačných útvarov prevádzkovateľa základnej služby a počet zamestnancov prevádzkujúcich informačné systémy a siete, pri externom zabezpečovaní činností správy informačných systémov rozsah využívaných služieb v človekodňoch; pri doložení výsledkov auditu na externe zabezpečované činnosti sa externí pracovníci nezapočítavajú,
b)
väzba siete a informačného systému na prevádzkovanú základnú službu; ktorá základná služba je závislá od informačného systému, aký je vplyv výpadku informačného systému na základnú službu,
c)
počet užívateľov základnej služby, teritoriálne rozloženie a dôsledky pri výpadku základnej služby na jej užívateľov,
d)
systém správy; interné a externé zdroje, identifikácia kľúčových dodávateľov a zmlúv a dohôd o úrovni poskytovaných služieb,
e)
schéma sieťovej architektúry s uvedením miest prepojení sietí a pripojenia voči externým sieťam,
f)
zoznam aktív a používaných technológií so závislosťami od iných informačných systémov a služieb dodávateľov s uvedením vlastníkov týchto aktív a identifikáciou citlivosti podľa osobitného predpisu,4)
g)
organizačné útvary a počty zamestnancov prevádzkujúcich informačné systémy a siete vrátane počtu dodávateľov; pri prítomnosti zamestnancov dodávateľa na pracovisku prevádzkovateľa počas auditu sa lokality dodávateľov nezapočítavajú,
h)
správa z posledného penetračného testovania informačného systému, použitá metodika a rozsah testovania a doloženie kvalifikácie zamestnancov vykonávajúcich penetračné testy, ak sú penetračné testy vykonané.
5.
Meno, priezvisko a kontaktné údaje zodpovedného zamestnanca prevádzkovateľa základnej služby, ktorý poskytne audítorovi počas výkonu auditu požadovanú súčinnosť a bude ho sprevádzať.
6.
Evidencia záznamov o kybernetických bezpečnostných incidentoch s vplyvom na poskytovanie základných služieb od doby vykonania posledného auditu alebo za posledné dva roky pri prvom audite.
7.
Rozhodnutie o uložení pokuty na úseku kybernetickej bezpečnosti, ak bola uložená, a ďalšie prípady porušenia povinností podľa zákona, ak k porušeniam došlo.
8.
Bezpečnostná dokumentácia podľa § 20 ods. 5 zákona alebo osobitného predpisu.5)
9.
Číslo platného potvrdenia o priemyselnej bezpečnosti, ak je vydané.
Príloha č. 3 k vyhláške č. 436/2019 Z. z.
Príloha č. 4 k vyhláške č. 436/2019 Z. z.
KONTROLNÝ ZÁZNAM AUDITOVANÝCH BEZPEČNOSTNÝCH OPATRENÍ
Kontrolný záznam obsahuje súbor požiadaviek na bezpečnosť sietí a informačných systémov podľa zákona a jeho vykonávacích predpisov a osobitných predpisov. Pri spoločných požiadavkách na prevádzkovateľa základnej služby sa vyplní spoločný kontrolný záznam za všetky informačné systémy relevantné pre audit. Bezpečnostné opatrenia, ktoré sú odlišné pre jednotlivé auditované informačné systémy, sa vyplnia samostatne pre každý informačný systém alebo sieť.
V kontrolnom zázname audítor uvedie
a)
súlad alebo nesúlad s požiadavkami na bezpečnosť sietí a informačných systémov na prijaté bezpečnostné opatrenia,
b)
zistenia auditu pre jednotlivé požiadavky na bezpečnosť sietí a informačných systémov,
c)
získané dôkazy podporujúce uvedené zistenia a
d)
referenciu na použitú metódu auditu, napríklad
- pozorovanie činností a stavu bezpečnostných opatrení,
- analýzu predložených záznamov,
- analýzu predložených postupov, predpisov a dokumentov,
- rozhovory a dotazníky.
Súčasťou kontrolného záznamu je aj overenie úplnosti požadovanej bezpečnostnej dokumentácie a overenie klasifikácie informácií a kategorizácie sietí a informačných systémov.
Ak sú auditované informačné systémy, pre ktoré platia dodatočné požiadavky nad rámec bezpečnostných opatrení uvedených v zákone alebo v osobitnom predpise,5) audítor uvedie v kontrolnom zázname spôsob plnenia v súlade s platnými požiadavkami aplikovanými na prevádzkovateľa základnej služby.
Audítor oboznamuje zodpovedného pracovníka prevádzkovateľa základnej služby so zistenými nedostatkami počas celého priebehu auditu a zároveň dokumentuje odporúčané opatrenia na odstránenie nedostatkov.
Audítor uchováva kontrolný záznam s odbornou starostlivosťou a s ohľadom na citlivosť informácií počas dvoch rokov od skončenia auditu.
1)
Napríklad § 2 zákona Národnej rady Slovenskej republiky č. 566/1992 Zb. o Národnej banke Slovenska v znení neskorších predpisov, § 14 zákona č. 429/2002 Z. z. o burze cenných papierov v znení neskorších predpisov, zákon č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 2 ods. 9 zákona č. 747/2004 Z. z. o dohľade nad finančným trhom a o zmene a doplnení niektorých zákonov v znení zákona č. 132/2013 Z. z., zákon č. 492/2009 Z. z. o platobných službách a o zmene a doplnení niektorých zákonov, zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.
2)
Napríklad STN EN ISO/IEC 17024 Posudzovanie zhody. Všeobecné požiadavky na orgány vykonávajúce certifikáciu osôb (ISO/IEC 17024:2012).
4)
Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
5)
Napríklad zákon č. 95/2019 Z. z., vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní́ vplyvu na ochranu osobných údajov.