Zavedenie bezpečnostných opatrení samo osebe ešte nezaručuje, že organizácia je skutočne chránená. Skutočná úroveň kybernetickej bezpečnosti sa ukáže až vtedy, keď organizácia pravidelne overuje, či prijaté opatrenia fungujú, či sa dodržiavajú a či sú v súlade s aktuálnymi legislatívnymi požiadavkami. Aj preto je oblasť kontroly, auditu a internej kontroly pevnou súčasťou Jednotného metodického rámca (JMR).

Metodika auditu a internej kontroly dáva organizáciám verejnej správy praktický a systematický návod, ako vykonávať pravidelné kontroly kybernetickej a informačnej bezpečnosti tak, aby boli obhájiteľné, opakovateľné a použiteľné v riadení.

Kontrolné mechanizmy v oblasti kybernetickej bezpečnosti sú často vnímané ako formálna povinnosť. Zmyslom metodiky v rámci JMR je však posunúť kontrolu z administratívnej roviny do funkčného riadiaceho nástroja, ktorý organizácii pomáha porozumieť vlastnému bezpečnostnému stavu a cieľavedome ho zlepšovať.

Metodika nadväzuje najmä na požiadavky zákona o kybernetickej bezpečnosti, zákona o informačných technológiách vo verejnej správe a súvisiacich vykonávacích predpisov. Zároveň zohľadňuje požiadavky na audit kybernetickej bezpečnosti a opiera sa o osvedčené postupy a odporúčania národných aj medzinárodných autorít.

Kontrola v kontexte JMR znamená systematické a opakovateľné overovanie zhody medzi legislatívnymi požiadavkami, prijatými bezpečnostnými opatreniami a ich reálnym fungovaním v praxi. Cieľom nie je hľadať pochybenia jednotlivcov, ale včas identifikovať slabé miesta v procesoch, technických opatreniach a organizačnom nastavení ešte predtým, než sa z nich stane incident alebo zlyhanie s dopadom na služby, údaje či dôveryhodnosť organizácie.

V praxi sa kontrola typicky zameriava na tieto okruhy:

• overenie súladu s požiadavkami ZoKB a ZoITVS a s internými pravidlami organizácie,
• posúdenie, či zavedené opatrenia fungujú v reálnej prevádzke a sú primerané rizikám,
• kontrolu dodržiavania bezpečnostných politík a postupov zamestnancami, administrátormi a bezpečnostnými rolami,
• vyhodnotenie zistení a ich premena na nápravné opatrenia s jasnou zodpovednosťou a termínmi.

Kontrola tretích strán a dodávateľov je riešená samostatnou metodikou, aby bolo jasne oddelené, čo sa overuje interne a čo sa vyžaduje vo vzťahoch s externými subjektmi. Tento prístup znižuje riziko nejasných kompetencií a zároveň podporuje lepšiu preukázateľnosť plnenia povinností.

Jedným z hlavných prínosov metodiky je jej praktický charakter. Organizáciám ponúka základný postup, ktorý ich prevedie procesom auditu a internej kontroly od prípravy a plánovania, cez vykonanie kontroly, až po vyhodnotenie výsledkov a sledovanie nápravných opatrení.

Dôležitou súčasťou je aj nastavenie rolí a zodpovedností, pravidlá dokumentovania kontrolných činností a používanie metrík, vďaka ktorým je možné hodnotiť úroveň implementácie a jej postupné zlepšovanie. Takto nastavený prístup pomáha budovať dlhodobo udržateľný systém kontroly, nie jednorazové audity vykonané len formálne.

Metodika je doplnená o praktické prílohy a vzory, ktoré uľahčujú preniesť kontrolu do každodennej praxe a zvýšiť konzistentnosť výsledkov. Typicky ide o checklisty a evidencie pre oblasti, kde sa v organizáciách opakovane objavujú riziká a nesúlady, najmä:

• riadenie zmien a zmenových požiadaviek,
• cloudové služby a bezpečnosť ich používania,
• bezpečnosť aplikácií a zodpovednosti pri ich prevádzke,
• plánovanie a evidencia auditov a interných kontrol,
• sledovanie zistení a riadenie nápravných opatrení,
• kontinuita činností a pripravenosť na výpadky.

Tieto nástroje majú odporúčací charakter a organizácie si ich môžu prispôsobiť vlastným procesom, veľkosti a štruktúre tak, aby boli použiteľné v praxi a zároveň primerané rozsahu ich povinností.

Kontrola v rámci JMR nie je cieľom sama osebe. Je to prostriedok na zvyšovanie úrovne kybernetickej bezpečnosti, posilňovanie odolnosti organizácie a znižovanie rizika incidentov. Pravidelné a systematické kontroly umožňujú organizáciám včas identifikovať nesúlady, reagovať na zmeny v legislatíve a priebežne zlepšovať zavedené bezpečnostné opatrenia.

Zaradením auditu a internej kontroly do Jednotného metodického rámca získavajú organizácie verejnej správy ucelený a jednotný prístup ku kontrole kybernetickej bezpečnosti, ktorý je zrozumiteľný, praktický a dlhodobo použiteľný.