Izvješće o provedenom savjetovanju - Nacrt Smjernica za provedbu samoprocjene kibernetičke sigurnosti
|
Redni broj
|
Komentar | Odgovor | |||
|---|---|---|---|---|---|
| 1 | DRAGAN PODVOREC | Prilog C – Katalog kontrola, Postupak ocjenjivanja | S obzirom da će biti potrebno ocijeniti dokumentaciju i implementaciju, nije dovoljno jasno kako to uraditi za svaku pojedinačnu kontrolu kada kod samih kontrola postoje samo općenite smjernice za ocjenjivanje koje ne pružaju konkretne kriterije za zasebno ocjenjivanje dokumentacije i implementacije. Primjera radi, kontrola POL-006: Proces upravljanja kibernetičkim sigurnosnim rizicima navodi ocjenu 4 za "Procesi i identifikacija vlasnika rizika postoje te su formalno dokumentirani i implementirani. Formalizirani procesi postoje, ali se ne prate dosljedno." Znači li to da takav subjekt dobiva ocjenu 4 za dokumentiranje i 4 za implementaciju? | Primljeno na znanje | Uredba o kibernetičkoj sigurnosti (NN 135/2024) u članku 52. stavak 1. propisuje da se stupanj usklađenosti uspostavljenih mjera temelji na procjeni stupnja usklađenosti dokumentiranih i implementiranih mjera upravljanja kibernetičkim sigurnosnim rizicima u subjektu. Provjera dokumentacije i implementacije svake mjere provodi se jednom ili više kontrola, te se uz svaku kontrolu nalaze i smjernice za ocjenjivanje koje usmjeravaju revizora (internog ili vanjskog) u postupku, a tablica koju ste komentirali je set općih smjernica za ocjenjivanje dokumentacije i implementacije koja pomaže revizoru u slučaju da implementacija ili dokumentacija nisu dovoljno detaljno razrađene unutar kontrole. Naime, također kako i kod mnogih revizija (poput ISO 19011:2018), revizor mora koristiti profesionalno prosuđivanje pri ocjenjivanju dokaza i donošenju zaključaka o sukladnosti. Ovo profesionalno prosuđivanje osigurava da se nalazi temelje na objektivnim dokazima i uzimaju u obzir specifične okolnosti revidirane organizacije. Vezano uz ocjenu, ukoliko je implementacija i dokumentacija napisana na istoj ocjeni (što nije slučaj u mnogim kontrolama) tada će subjekt dobiti istu ocjenu za implementaciju i dokumentaciju kao u primjeru koji ste naveli. |
| 2 | DRAGAN PODVOREC | Prilog C – Katalog kontrola, RIZ-016: Sigurnosni zahtjevi u ugovorima sa izravnim dobavljačima ili pružateljima usluga | U mjeri 8.3. kojoj pripada ova kontrola spominje se zahtjev "− u slučaju sklapanja ugovora o pružanju upravljanih usluga i upravljanih sigurnosnih usluga, ugovori o pružanju takvih usluga moraju se sklapati isključivo sa pružateljima takvih usluga koji su kategorizirani kao ključni ili važni subjekti sukladno Zakonu (provjera statusa kategorizacije pružatelja upravljanih usluga i pružatelja upravljanih sigurnosnih usluga provodi se preko središnjeg državnog tijela za kibernetičku sigurnost)". Međutim u samoj kontroli RIZ-016 tog zahtjeva nema u opisu kontrole, niti u smjernicama za ocjenjivanje. Ne znam koliko bi taj zahtjev i bio realan za većinu subjekata. Organizacije često koriste različite SaaS servise o kojima su potpunosti ovisno u svom poslovanju (npr. komunalna poduzeća, lokalne samouprave i sl.) i velika većina njih također koristi eksternalizirane usluge IT održavanja. Teško ili gotovo nemoguće je da će biti u stanju osigurati da im eksternalizaciju takvih usluga vrše samo "pružatelji usluga koji su kategorizirani kao ključni ili važni subjekti". Usluge takvog održavanja većinom im rade mala IT tvrtke ili obrti za koje je nerealno očekivati da tijekom godinu dana izvrše implementaciju ISMS-a (sustava upravljanja informacijskom sigurnošću). Možete li dati neke konkretnije smjernice o tome kada i za koga bi to eventualno bilo potrebno. Hvala | Prihvaćen | Kontrola se primjenjuje samo u mjeri 8.3. te će se dopuniti zahtjevima iz mjere koje do sada nije pokrivala, a koje ste naveli. Nastavno na Vaš komentar za male IT tvrtke, predlažemo da Vaš upit postavite središnjem državnom tijelu za kibernetičku sigurnost. |