Slovensko má prvú certifikačnú autoritu v kybernetickej bezpečnosti

Ochrana organizácií pred kybernetickými bezpečnostnými hrozbami je predovšetkým vecou implementácie bezpečnostných opatrení a následne aj zavedenia procesov reakcie na kybernetické bezpečnostné incidenty. „Panta rhei“  je Platónova skrátená interpretácia tvrdenia antického filozofa Herakleita o tom, že všetko sa neustále mení. Nič nie je stále a nič nie je naveky. Každé odvetvie, technológia, prostredie postupne prechádza prirodzenými, ale aj vyvolanými zmenami, ktoré majú vplyv i na úroveň ochrany informačných aktív. Preto je nanajvýš vhodné, aby sa organizácie nespoliehali len na vykonané aktivity, ale aby pravidelne overovali  a testovali stávajúcu úroveň svojho zabezpečenia.

Nielen pre kybernetickú bezpečnosť platí, že overovanie, či testovanie má vyššiu objektivitu, pokiaľ ho vykoná niekto, kto je na takú činnosť dostatočne kvalifikovaný, nestranný a dôveryhodný. A keďže výsledky testovania sa zvyčajne predkladajú štatutárnym zástupcom, alebo vlastníkom organizácie (ktorí nemusia byť v testovanej oblasti odborníkmi), je nanajvýš vhodné, ak sa overovanie stavu skutočností porovnáva voči formálnym, optimálne písomne definovaným požiadavkám. V prípade kybernetickej bezpečnosti sú týmito formálnymi požiadavkami ustanovenia vyhlášky Národného bezpečnostného úradu č. 362/2019 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti, okrem iného, zaväzuje prevádzkovateľov základných služieb povinnosťou preverovať účinnosť prijatých bezpečnostných opatrení, vykonaním auditu kybernetickej bezpečnosti. Správu auditu je nutné získať každé dva roky a po každej zmene, majúcej významný vplyv na realizované bezpečnostné opatrenia. Vykonať audit môže iba certifikovaný audítor kybernetickej bezpečnosti.

Požiadavky na audítorov sú dané vyhláškou Národného bezpečnostného úradu č. 436/2019 Z.z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. Certifikáciu audítorov môžu vykonávať len organizácie, ktoré sú akreditované ako orgány, príslušné na posudzovanie zhody s požiadavkami, kladenými na audítorov kybernetickej bezpečnosti. Akreditácia je atestácia treťou stranou, ktorá slúži ako oficiálny dôkaz kompetentnosti plniť špecifické úlohy posudzovania zhody. V tomto prípade je to teda postup, na základe ktorého autorita vydáva osvedčenie o tom, že organizácia bude spôsobilá vykonávať certifikáciu audítorov. V Slovenskej republike je vnútroštátnym akreditačným orgánom Slovenská národná akreditačná služba (SNAS).

Od 1. januára 2020 začala pôsobiť nová príspevková organizácia Národného bezpečnostného úradu, Kompetenčné a certifikačné centrum kybernetickej bezpečnosti. Kompetenčné centrum bolo zriadené zriaďovacou listinou, ktorá bola vydaná 16. decembra 2019 rozhodnutím riaditeľa NBÚ podľa zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy. Vznik kompetenčného centra vychádza aj z návrhu nariadenia Európskeho parlamentu a rady, ktorým sa zriaďuje Európske centrum odvetvových, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier.

Dňom 15. apríla 2020 Kompetenčné a certifikačné centrum kybernetickej bezpečnosti úspešne zavŕšilo proces akreditácie podľa certifikačnej schémy overovania odbornej spôsobilosti audítora kybernetickej bezpečnosti a stalo sa tak prvým certifikačným orgánom v tejto oblasti na Slovensku. O akreditácii rozhodla Slovenská národná akreditačná služba, ktorá posúdila naplnenie všetkých náležitostí v súlade s ISO/IEC 17024:2012 o požiadavkách na orgány vykonávajúce certifikáciu osôb.

Kompetenčné a certifikačné centrum kybernetickej bezpečnosti plánuje spustiť certifikáciu audítorov kybernetickej bezpečnosti v najbližších týždňoch, pri plnom rešpektovaní opatrení, stanovených vládou SR, v súvislosti s prebiehajúcou epidémiou. Bližšie informácie budú priebežne zverejnené na stránke www.cybercompetence.sk .

Ak bude v blízkej budúcnosti navrhnutá certifikačná schéma pre certifikáciu produktov  v kybernetickej bezpečnosti (v súlade s ISO/IEC 17065:2012 o požiadavkách na orgány vykonávajúce certifikáciu výrobkov, procesov a služieb), bude Kompetenčné a certifikačné centrum kybernetickej bezpečnosti nepochybne prvou slovenskou organizáciou, ktorá sa bude uchádzať aj o akreditáciu tohto typu.

« Späť na zoznam