Audyt cyberbezpieczeństwa to proces oceny bezpieczeństwa systemów informatycznych i telekomunikacyjnych, który pozwala zidentyfikować potencjalne luki i zagrożenia oraz zapewnić odpowiednie środki zabezpieczające.

ENTRAST świadczy usługi audytu zgodnie z następującymi regulacjami:

1. Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa (Dz. U. z 2018 r. poz. 1560 z późn. zm.) zwane dalej UoKSC.
2. Rozporządzenie Rady Ministrów z dnia 12 kwietnia 2012 r. w sprawie Krajowych Ram Interoperacyjności, minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych (Dz.U. z  2017 r. poz. 2247, t. j.) zwane dalej KRI.
3. Rekomendacji D (dotycząca zarządzania i obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w  bankach) i wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w zakładach ubezpieczeń i zakładach reasekuracji (Wytyczne IT).
4. Zarządzenie nr 117/2022/BBIICD Prezesa Narodowego Funduszu Zdrowia NFZ.
5. Rozporządzenie Delegowane Komisji (UE) 2018/389 z dnia 27 listopada 2017 r. uzupełniające dyrektywę Parlamentu Europejskiego i Rady (UE) 2015/2366 w odniesieniu do regulacyjnych standardów technicznych dotyczących silnego uwierzytelniania klienta i wspólnych i bezpiecznych otwartych standardów komunikacji.
6. DORA (z ang. Digital Operational Resilience Act), pod kątem projektu rozporządzenia w sprawie operacyjnej odporności cyfrowej sektora finansowego.

Poniżej metody, które są stosowane przez ENTRAST podczas audytów cyberbezpieczeństwa:

1. Analiza ryzyka: Audytor może oceniać poziom ryzyka dla danego systemu lub sieci, biorąc pod uwagę czynniki takie jak wartość danych, częstotliwość użytkowania, sposób przechowywania danych i inne.
2. Testy penetracyjne: Audytor może wykonywać testy penetracyjne, aby zidentyfikować potencjalne luki w zabezpieczeniach systemu lub sieci. Testy te polegają na symulowaniu ataków hakerskich i sprawdzeniu, jak system sobie z nimi radzi.
3. Inwentaryzacja systemów: Audytor może przeprowadzać inwentaryzację systemów, aby zidentyfikować wszystkie elementy systemu, takie jak oprogramowanie, sprzęt i sieci, oraz ocenić, czy są one odpowiednio zabezpieczone.
4. Audyt polityki i procedur: Audytor może sprawdzić, czy dana firma posiada odpowiednie polityki i procedury dotyczące bezpieczeństwa IT oraz czy są one odpowiednio stosowane.
5. Audyt kompetencji personelu: Audytor może ocenić poziom wiedzy i umiejętności personelu dotyczących bezpieczeństwa IT i zaproponować odpowiednie szkolenia, jeśli to konieczne.

Po zakończeniu audytu cyberbezpieczeństwa audytor może zaproponować odpowiednie środki zabezpieczające i zalecenia dotyczące poprawy bezpieczeństwa systemów.

UWAGA!

12 października 2018 r. zostało opublikowane rozporządzenie Ministra Cyfryzacji w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu. Rozporządzenie stanowi uzupełnienie przepisów ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.

Zgodnie z zapisami ustawy operatorzy usług kluczowych mają obowiązek przeprowadzenia audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej raz na 2 lata. Pierwszy audyt powinien zostać przeprowadzony w ciągu roku od dnia doręczenia decyzji o uznaniu za operatora usługi kluczowej.

Audyt może być przeprowadzony przez jednostkę oceniającą zgodność [1], co najmniej dwóch audytorów z odpowiednim doświadczeniem [2] albo co najmniej dwóch audytorów posiadających certyfikaty określone w rozporządzeniu.

Wykaz certyfikatów – audyt bezpieczeństwa systemu informacyjnego do usługi kluczowej

Rozporządzenie zawiera wykaz certyfikatów, które uprawniają do przeprowadzania audytu:

1. Certified Internal Auditor (CIA);
2. Certified Information System Auditor (CISA);
3. Certyfikat audytora wiodącego systemu zarządzania bezpieczeństwem informacji według normy PN-EN ISO/IEC 27001 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie certyfikacji osób;
4. Certyfikat audytora wiodącego systemu zarządzania ciągłością działania PN-EN ISO 22301 wydany przez jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku, w zakresie certyfikacji osób;
5. Certified Information Security Manager (CISM);
6. Certified in Risk and Information Systems Control (CRISC);
7. Certified in the Governance of Enterprise IT (CGEIT);
8. Certified Information Systems Security Professional (CISSP);
9. Systems Security Certified Practitioner (SSCP);
10. Certified Reliability Professional;
11. Certyfikaty uprawniające do posiadania tytułu ISA/IEC 62443 Cybersecurity Expert.

Przypisy:

[1] Jednostka oceniająca zgodność musi być akredytowana zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych. (art. 15 ust.2 pkt. 1 ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.)

[2] Audytor powinien posiadać co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych lub co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymować się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych (art. 15 ust. 2 pkt. 2 ustawy o krajowym systemie cyberbezpieczeństwa z dnia 5 lipca 2018 r.)