Czcionka:

Kontrast:

Audyt Cyberbezpieczeństwa

Realizacja usługi audytu systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, o którym mowa w art. 15 ustawy z 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.

Audyt Cyberbezpieczeństwa wymagany jest dla operatorów usług kluczowych. Operatorem usługi kluczowej jest podmiot, o którym mowa w załączniku nr 1 do ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa, posiadający jednostkę organizacyjną na terytorium Rzeczypospolitej Polskiej, wobec którego organ właściwy do spraw cyberbezpieczeństwa wydał decyzję o uznaniu za operatora usługi kluczowej.

Audyt Cyberbezpieczeństwa wymagany jest dla sektorów, podsektorów oraz rodzajów podmiotów, takich jak:

  • Wydobywanie kopalin,
  • Energia elektryczna,
  • Ciepło,
  • Ropa naftowa,
  • Gaz,
  • Dostawy i usługi dla sektora energii,
  • Jednostki nadzorowane i podległe,
  • Transport lotniczy,
  • Transport kolejowy,
  • Transport wodny,
  • Transport drogowy,
  • Bankowość i infrastruktura rynków finansowych,
  • Ochrona zdrowia,
  • Zaopatrzenie w wodę pitną i jej dystrybucja,
  • Infrastruktura cyfrowa.

Podstawy prawne auditu Cyberbezpieczeństwa:

  • Rekomendacja D KNF,
  • Ustawa z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa,
  • Rozporządzenie Rady Ministrów z dnia 16 października 2018 r. w sprawie rodzajów dokumentacji dotyczącej cyberbezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej,
  • Rozporządzenie Ministra Cyfryzacji z dnia 10 września 2018 r. w sprawie warunków organizacyjnych i technicznych dla podmiotów świadczących usługi z zakresu cyberbezpieczeństwa oraz wewnętrznych struktur organizacyjnych operatorów usług kluczowych odpowiedzialnych za cyberbezpieczeństwa,
  • Norma PN ISO/IEC 27001,
  • Norma PN ISO/IEC 20000,
  • Norma PN ISO/IEC 22301.

Zakres badania dokumentacji obejmuje badania stanu dokumentacji oraz stanu świadomości realizacyjnej w zakresie:

  1. dokumentacji dotyczącej systemu zarządzania bezpieczeństwem informacji wytworzona zgodnie z wymaganiami normy PN-EN ISO/IEC 27001;
  2. dokumentacji ochrony infrastruktury, z wykorzystaniem której świadczona jest usługa kluczowa, dotycząca:
    • charakterystyki usługi kluczowej oraz infrastruktury,
    • szacowania ryzyka dla obiektów infrastruktury,
    • oceny aktualnego stanu ochrony infrastruktury (plan postępowania z ryzykiem),
    • opisu zabezpieczeń technicznych obiektów infrastruktury,
    • zasad organizacji i wykonywania ochrony fizycznej infrastruktury;
  3. dokumentacji systemu zarządzania ciągłością działania usługi kluczowej wytworzona zgodnie z wymaganiami ISO 22301;
  4. dokumentacji technicznej systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej;
  5. dokumentacji wynikającej ze specyfiki świadczonej usługi kluczowej w danym sektorze lub podsektorze w tym zasady bezpieczeństwa obsługi;
  6. badanie punktów podatności dla aktywów krytycznych organizacyjnych – badanie zapisów, zasad i wymagań zawartych w udostępnionej dokumentacji procesów bezpieczeństwa i ciągłości działania;
  7. badania wyników wewnętrznych/zewnętrznych testów penetracyjnych lub technologicznych na podstawie udostępnionych raportów za okres do 24 m-cy;
  8. badania stanu realizacji rekomendacji wskazanych w poprzednich raportach audytowych, w tym w audycie luki;
  9. badania świadomości wybranej próby kadrowej poprzez wywiad on-site oraz badanie testowe.

Raport

  1. Raport podsumowujący wydany przez audytora wiodącego w 2 egzemplarzach drukowanych i w wersji elektronicznej.
  2. Minimalny zakres informacji w tekście audytu:
    • interpretacje zespołu audytorskiego wymagań określonych w ustawie o Krajowym Systemie Cyberbezpieczeństwa ze szczególnym odniesieniem do niezbędnego zakresu stosowania wymagań formalnych bezpieczeństwa i ciągłości działania w organizacji i procesów kluczowych z wykluczeniem procesów merytorycznych,
    • wykaz zidentyfikowanych niezgodności i luk w stosunku do wymagań UKSC, ze szczegółowym opisem i z materiałem dowodowym,
    • wykaz niezgodności i luk w stosunku do wymagań norm ISO 27001 i ISO 22301,
    • rekomendacje dla organizacji w zakresie wymagań SZBI i audytu wymaganego ustawą,
    • rekomendacje działań korygujących lub naprawczych we wdrożonej w organizacji dokumentacji SZBI / SMS,
    • rekomendacje działań korygujących lub naprawczych we wdrożonej w organizacji dokumentacji w kontekście wymagań UKSC.

Zapytaj o wdrożenie w Twojej firmie

Nasi konsultanci pracują od poniedziałku do piątku w godz. 7:00 – 15:00

W pozostałych godzinach zapraszamy do kontaktu mailowego pod adresem:

sekretariat@volvox.pl