Audit kybernetickej bezpečnosti je overenie plnenia povinností podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona. (Zákon vychádza zo smernice NIS /NIS II)
CeMS vykonáva dôkladnú analýzu vašich IT systémov a procesov. Zhodnotí, či sú vaše bezpečnostné opatrenia účinné a či spĺňajú všetky relevantné štandardy. Cieľom auditu je zabezpečiť, aby vaše podnikanie bolo chránené pred kybernetickými útokmi a aby ste plnili platnú legislatívu.
Pre koho je určený audit kybernetickej bezpečnosti
Audit je určený pre spoločnosti, ktoré si chcú overiť súlad so zákonom o kybernetickej bezpečnosti nezávislým auditným tímom. Medzi dôležité faktory patrí aj veľkosť organizácie ktoré sú stredným alebo veľkým podnikom, teda majú viac ako 50 zamestnancov a/alebo ročný obrat nad 10 miliónov eur. Existujú však aj výnimky, na ktorých sa pravidlo o veľkosti podniku nevzťahuje – hlavne poskytovatelia služieb DNS, poskytovatelia dôveryhodných služieb a podobne.
Audit kybernetickej bezpečnosti je vhodný hlavne pre nasledovné odvetvia:
Prevádzkovatelia základných služieb:
- bankovníctvo,
- digitálna infraštruktúra,
- doprava,
- energetika,
- infraštruktúry finančných trhov,
- odpadová voda,
- pitná voda,
- poskytovanie IKT služieb v B2B segmente,
- verejná správa,
- vesmír,
- a zdravotníctvo.
Ostatné spoločnosti:
- odpadové hospodárstvo,
- poskytovatelia digitálnych služieb,
- poštové a kuriérske služby,
- výroba,
- výroba, spracovanie a distribúcia potravín,
- výskum,
- a získavanie, výroba a distribúcia chemických látok.
Ako prebieha audit kybernetickej bezpečnosti (NIS 2)
Príprava na audit:
- Zber informácií o IT infraštruktúre klienta.
- Definovanie rozsahu auditu.
Audit na mieste:
- Analýza bezpečnostných nastavení.
- Testovanie zraniteľností systémov.
- Hodnotenie procesov a postupov. (Riadenie aktív, hrozieb a rizík)
- Rozhovory s kľúčovými zamestnancami.
- Hodnotenie fyzickej bezpečnosti a bezpečnosti prostredia.
Správa z auditu:
- Zhrnutie zistení.
- Identifikácia bezpečnostných rizík.
- Odporúčania na nápravu.
- Plán implementácie odporúčaní.
Kto môže vykonať audit kybernetickej bezpečnosti
Audit kybernetickej bezpečnosti môže vykonať len certifikovaný audítor kybernetickej bezpečnosti. Táto certifikácia je vydávaná akreditovaným certifikačným orgánom a potvrdzuje, že daná osoba spĺňa prísne odborné požiadavky a má dostatočné znalosti a skúsenosti v oblasti kybernetickej bezpečnosti.
Cryptography
Cryptography involves converting legible text or data into an indecipherable form through mathematical algorithms and keys. The aim of cryptography is to safeguard data to prevent unauthorized access, reading, or alteration while it's being transmitted or stored.
NIST CSF
The NIST CSF is a set of tools used to strengthen the cybersecurity posture of organizations and help them identify, protect, detect, respond, and recover from cyber threats.
ISMS
An information security management system is a set of processes, procedures and techniques that an organization uses to manage information, protect it and ensure the security of the information system. This system is based on ISO/IEC 27001, which provides a framework for the implementation and operation of an ISMS.
TISAX
TISAX stands for Trusted Information Security Assessment Exchange and is used to demonstrate that a supplier (especially Tier 1 and Tier 2) to the automotive industry meets stringent information security requirements. TISAX was created by the German Automotive Industry Association VDA.
Phishing
Phishing is a fraudulent technique where attackers pretend to be an authority (e.g., sellers, government representatives) in electronic communication (e.g., email) to get sensitive information like passwords, credit card details, or money from their targets.
Malware
Malware is short for Malicious Software, designed to attack and gain access to the user's device. It aims to cause damage, steal data, or monitor the user, and includes viruses, spyware, adware, phishing, trojans, rootkits, and more.
What can we expect from the new revision of ISO / IEC 27001 and ISO / IEC 27002
The revision process of ISO/IEC 27001 and ISO/IEC 27002 is currently underway (the current version was published in 2013). Organizations that focus on a systematic approach to information security management have certainly registered this innovation. ISO/IEC 27002 is again designed to provide a framework for information security management (similar to, for example: NIST CSF).