Audit kybernetickej bezpečnosti
Získajte podporu KFB Control v aktuálnom i nadchádzajúcom období. S nami zvládnete audit kybernetickej bezpečnosti s ľahkosťou. Podmienky minimálnej ochrany sa neustále menia, kybernetické riziká narastajú. Naši odborníci Vás pripravia na najbližšie obdobia.
Audit kybernetickej bezpečnosti ako logický dôsledok nárastu kybernetických útokov
V ostatných rokoch exponenciálne narastá počet kybernetických útokov a neraz si útočníci vyberajú svoje obete spomedzi subjektov, ktoré zabezpečujú produkty a služby dennej potreby, či dokonca inštitúcie zabezpečujúce záchranu ľudských životov. Slovensko v tomto zmysle nepredstavuje žiadnu výnimku. Práve naopak. Vďaka slabému zabezpečeniu a nízkemu security awareness povedomiu sa slovenské organizácie stávajú čoraz častejšie obeťami útočníkov v kybernetickom priestore.
Ako reakciu na aktuálnu dobu a očakávaný vývoj schválil v roku 2018 parlament nový zákon, ktorý posilňuje kybernetickú bezpečnosť v kľúčových odvetviach. Je to Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, resp. jeho lokálna regulácia, ktorá reflektuje európsku smernicu o bezpečnosti sietí a informácií (NIS Directive).
Zákon o kybernetickej bezpečnosti stanovuje v tejto oblasti viaceré povinnosti, ktoré sa zameriavajú na riadenie rizík, oznamovaciu povinnosť a výmenu informácií. Požiadavky sa týkajú i reakcií na incidenty, bezpečnosť dodávateľských reťazcov, šifrovania a zverejňovania slabých miest, na ktoré je potrebné sa zamerať.
Máte záujem o bezplatnú konzultáciu k povinnostiam týkajúcich sa témy audit kybernetickej bezpečnosti? Kontaktujte nás
Network and Information Security Directive – NIS2 – aktualizácie a nové ustanovenia
Ktoré odvetvia spadajú pod dodávateľov základnej služby
V novembri 2022 bola európskym parlamentom schválená nová verzia regulácie pod názvom NIS2, ktorá je v platnosti od 14. decembra 2022 a náš Zákon o kybernetickej bezpečnosti bude podľa nej novelizovaný do 17. októbra 2024 s platnosťou od 1.1.2025. Na základe smernice príjmu subjekty v odvetví všetky potrebné opatrenia na svoju ochranu. Nové bezpečnostné ustanovenia sa vzťahujú na tzv. dodávateľov základnej služby, akými sú napríklad oblasti – energetiky, dopravy, bankovníctva, zdravotníctva, digitálnej infraštruktúry, verejnej správy a vesmírneho sektora. Podrobné kritériá pre identifikáciu základnej služby sú definované vo Vyhláške č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby.
Medzi prevádzkovými službami okrem iných sa rozumejú aj:
- Bankovníctvo
- Doprava
- Energetika
- Infraštruktúra finančných trhov
- Poskytovatelia riadených ICT služieb
- Verejná správa
- Zdravotníctvo
- Poskytovatelia dogotálnych služieb
- Poštové služby
- Pitná voda
Po novele zákona medzi nimi pribudnú napríklad tieto:
- Digitálna infraštruktúra
- Odpadové vody
- Chemický priemysel
- Vesmírny program
- Odpadové hospodárstvo
- Potravinárstvo
- Výroba
- Výskum
- Farmaceutický priemysel
Špecifické sektorové činnosti/kritériá určené pre jednotlivé subjekty s potrebou ochrany
Medzi tabuľkové činnosti/kritériá (vybrali sme naozaj veľmi názornú a stručnú ukážku z celkového zoznamu) spadajú aj:
- Minimálny počet zamestnancov
- Trhový podiel
- Kontrola riadenia prevádzky v doprave
- Prevádzka inteligentného dopravného systému
- Letisková služba riadenia
- Automatické vedenie vlaku
- Prevádzkovanie registra internetových domén
- Prevádzkovateľ zariadenia NLG
- Rozvodné tepelné zariadenie
- Technický dispečing
- Čistička odpadových vôd
- Laboratórne služby
A máme aj zoznam dopadových kritérií vychádzajúcich z tvrdej reality:
- Ohrozenie dostupnosti, pravosti, integrity alebo dôvernosti uchovávaných, prenášaných alebo spracúvaných údajov
- Obmedzenie či narušenie prevádzky inej základnej služby alebo prvku kritickej infraštruktúry.
- Hospodárska strata vyššiu ako 0,1 % HDP
- Hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 €
- Viac ako 100 zranených osôb vyžadujúcich lekárske ošetrenie alebo strata jedného života
- Narušenie verejného poriadku, verejnej bezpečnosti, mimoriadna udalosť alebo tieseň, ktorá môže vyžadovať vykonanie záchranných prác
(zdrojový dokument s kompletným zoznamom nájdete na: Právne predpisy PDF)
Ako zvládnuť Audit kybernetickej bezpečnosti
Audit kybernetickej bezpečnosti je potrebné vykonávať každé dva roky alebo vždy po významnej zmene vo Vašej organizácii, ktorá má vplyv na realizované bezpečnostné opatrenia v oblasti IS (zmena informačného systému, nová sieť, nová technológia a pod.).
Smernica chráni aj takzvané dôležité odvetvia, akými sú poštové služby, odpadové hospodárstvo, chemické látky, potraviny, výroba zdravotníckych pomôcok, elektronika, strojárstvo, motorové vozidlá či poskytovatelia digitálnych služieb. Právne predpisy sa vzťahujú na všetky stredné a veľké spoločnosti vo vybraných odvetviach. NIS2 prispeje aj k lepšej spolupráci a výmene informácií medzi rôznymi orgánmi a členskými štátmi. Vznikne vďaka nemu aj európska databáza zraniteľností.
Národná stratégia kybernetickej bezpečnosti
Národná stratégia kybernetickej bezpečnosti je dokument o prístupe Slovenskej republiky k lepšiemu nastavenie a zavedeniu kybernetickej bezpečnosti. Je súčasťou je plán konkrétnych úloh a zdrojov.
Stratégia kybernetickej bezpečnosti obsahuje okrem iného:
- ciele, priority a rámec riadenia na dosiahnutie týchto cieľov
- identifikáciu opatrení týkajúcich sa pripravenosti, reakcie a obnovy
- popis bezpečnostného prostredia
- definíciu bezpečnostných hrozieb
- identifikáciu potrebných zdrojov
- určenie vzdelávacích programov, programov na budovanie bezpečnostného povedomia, zvyšovanie informovanosti a odbornej prípravy
- určenie plánov výskumu a vývoja
- plán posudzovania rizika na účely identifikácie rizík
Ak chcete byť v obraze a dodržať všetky predpisy a podmienky kybernetickej bezpečnosti
Nebudeme Vám klamať, nie je to jednoduché. Ak chcete hladko a rýchlo prejsť auditom kybernetickej bezpečnosti, chce to značnú dávku trpezlivosti, času a najmä pripravenosti. Firmy a organizácie, ktoré sa rozhodnú riešiť prípravu na audit internými zdrojmi narazia na značné prekážky týkajúce sa personálneho zastrešenia, času potrebného na štúdium a prípravu vybraných pracovníkov, potrebu odborníkov, ktorí zistené nedostatky dokážu reaktívne riešiť a v konečnom dôsledku sa s veľkou pravdepodobnosťou nedopracujete po mesiacoch tvrdej práce a prípravy do štádia, aby ste cítili uvoľnený pocit istoty a ubezpečenia, že audit zvládnete naozaj v potrebnej kvalite a podľa legislatívnych noriem.
Audit kybernetickej bezpečnosti so spoľahlivým partnerom KFB Control
Jednou z povinností, ktoré vyplývajú zo zákona č. 69/2018, je audit kybernetickej bezpečnosti, vykonávaný certifikovaným audítorom kybernetickej bezpečnosti. Spoločnosť KFB Control, ponúka pomoc pri plnení predmetnej povinnosti, poskytovaním komplexnej ponuky pre prípravu a zvládnutie nárokov auditu.
Spoločne zistíme Váš aktuálny stav a pripravenosť k auditu. Nastavíme si ciele, spracujeme bezpečnostnú víziu a časové hľadisko realizácie potrebných zmien, vyškolíme Vašich zamestnancov v rámci princípov security awareness a najmä – dodáme Vašej organizácii tú mieru pocitu bezpečia, ktorú si v týchto časoch skutočne zaslúži a potrebuje.
Kontaktujte nás a dohodnite si bezplatnú cenovú ponuku na audit kybernetickej bezpečnosti
