Metody prowadzenia audytu cyberbezpieczeństwa - ustawa o KSC

DOI: 10.53122/ISSN.0452-5027/2021.1.12

„Kontrola Państwowa” 2/2021

Pełna treść artykułu (plik PDF)

Adam Wygodny

Ustawę o Krajowym Systemie Cyberbezpieczeństwa, pierwszą która kompleksowo określa jego ramy prawno-organizacyjne, Prezydent RP podpisał 1 sierpnia 2018 r. Jej przyjęcie było odpowiedzią na obowiązek implementacji dyrektywy Parlamentu Europejskiego i Rady (UE) w sprawie środków na rzecz wysokiego wspólnego poziomu bezpieczeństwa sieci i systemów informatycznych na terytorium Unii (Network and Information Security Directive – dyrektywa NIS). Celem – utworzenie efektywnego systemu bezpieczeństwa teleinformatycznego na poziomie krajowym. Ustawa KSC zdefiniowała tworzące go podmioty, w szczególności operatorów usług kluczowych, nakładając na nich obowiązek przeprowadzania regularnych audytów bezpieczeństwa systemu informacyjnego. Jednocześnie podkreśliła wagę wypracowania metody umożliwiającej ujednolicone podejście do raportowania wyników, minimalizujące tym samym subiektywizm oceny, sama jednak jej nie wskazując. Metodyka audytu bezpieczeństwa informacyjnego powinna spójnie łączyć wymogi ustawowe z normami i dobrymi praktykami. W artykule podjęto próbę usystematyzowania metodyki i standardów zarządzania cyberbezpieczeństwem, wykorzystując doświadczenia audytorów.

Słowa kluczowe: krajowy system cyberbezpieczeństwa, ustawa KSC, audyt bezpieczeństwa systemu informacyjnego, audyt cyberbezpieczeństwa operatorów usług kluczowych, operator usługi kluczowej, metodyka audytu IT

ABSTRACT

Methods for Cybersecurity Auditing – Act on the National Cybersecurity System

The Act on the National Cybersecurity System (Polish: Krajowy System Cyberbezpieczeństwa, KSC), which is the first regulation that provides legal and organisational basis for a cybersecurity system, was signed by the President of Poland on 1 August 2018. The adoption of the Act is a response to the obligatory implementation of the Directive of the European Parliament and of the Council on security of network and information systems (the NIS Directive). The objective of the Act on KSC is to establish an effective information technology system at the national level. It defines the entities that constitute the system, especially key services operators, and obliges them to conduct regular audits of IT systems security. At the same time, the Act emphasises the importance of providing a method for unified reporting on audit results, in this way minimising subjectivity of evaluations – yet the Act itself does not define the method. The methodology for IT security auditing should combine, in a comprehensive manner, legal requirements and standards with good practices in the area. In his article, the author has attempted to summarise the methodologies and standards for cybersecurity management, taking into account the experience of auditors.  

Key words: national cybersecurity system, Act on KSC, IT security audit, audit of key services operators cybersecurity, key services operators, IT audit methodology

Informacje o artykule

Udostępniający:
Najwyższa Izba Kontroli
Data utworzenia:
22 kwietnia 2021 16:48
Data publikacji:
22 kwietnia 2021 16:48
Wprowadził/a:
Andrzej Gaładyk
Data ostatniej zmiany:
07 czerwca 2021 12:32
Ostatnio zmieniał/a:

Przeczytaj treść ponownie