Metody prowadzenia audytu cyberbezpieczeństwa : Ustawa o KSC

• Authors: Adam Wygodny

Title variants

EN

Methods for Cybersecurity Auditing – Act on the National Cybersecurity System

Abstracts

EN

The Act on the National Cybersecurity System (Polish: Krajowy System Cyberbezpieczeństwa, KSC), which is the first regulation that provides legal and or ganisational basis for a cybersecurity system, was signed by the President of Poland on 1 August 2018. The adoption of the Act is a response to the obligatory implemen tation of the Directive of the European Parliament and of the Council on security of network and information systems (the NIS Directive). The objective of the Act on KSC is to establish an effective information technology system at the national level. It defines the entities that constitute the system, especially key services operators, and obliges them to conduct regular audits of IT systems security. At the same time, the Act emphasises the importance of providing a method for unified reporting on audit results, in this way minimising subjectivity of evaluations – yet the Act itself does not define the method. The methodology for IT security auditing should combine, in a comprehensive manner, legal requirements and standards with good practices in the area. In his article, the author has attempted to summarise the methodologies and stan dards for cybersecurity management, taking into account the experience of auditors.

PL

Ustawa o Krajowym Systemie Cyberbezpieczeństwa zdefiniowała tworzą ce go podmioty, w szczególności operatorów usług kluczowych, nakładając na nich obowiązek przeprowadzania regularnych audytów bezpieczeństwa systemu informacyjnego. Jednocześnie podkreśliła wagę wypracowania metody umożliwiającej ujednolicone podejście do raportowania wyników, minimalizujące tym samym subiektywizm oceny, sama jednak jej nie wskazując. Metodyka audytu bezpieczeństwa informacyjnego po winna spójnie łączyć wymogi ustawowe z normami i dobrymi praktykami. W artykule podjęto próbę usystematyzowania metod i standardów zarządzania cyberbezpieczeństwem, wykorzystując doświadczenia audytorów.

Keywords

PL

krajowy system cyberbezpieczeństwa; ustawa KSC; audyt bezpieczeństwa systemu informacyjnego; audyt cyberbezpieczeństwa operatorów usług kluczowych; operator usługi kluczowej; metodyka audytu IT

EN

national cybersecurity system; Act on KSC; IT security audit; audit of key services operators cybersecurity; key services operators; IT audit methodology

• Publisher: Najwyższa Izba Kontroli
• Journal: Kontrola Państwowa
• Year: 2021
• Volume: 66
• Issue: 2 (397)
• Pages: 74-90

Dates

published

2021

Contributors

author

Adam Wygodny

References

• Axelos: ITIL Foundation – v4, TSO, 2019 r.
• K. Bradley: Podstawy metodyki Prince 2, CRM, Warszawa 2002 r.
• A. Chrysikos: IT Security Audit, London Metropolitan University, 2019 r.
• COBIT 5 – Metodyka biznesowa w zakresie nadzoru nad technologiami informatycznymi w przedsiębiorstwie i zarządzania nimi, ISACA, 2012 r.
• Cybersecurity skills development in the EU, ENISA, Greece 2020 r.
• K. Czaplicki, A. Gryszczyńska, G. Szpor: Ustawa o krajowym systemie cyberbezpieczeństwa. Komentarz, Wolters Kluwer Polska, Warszawa 2019 r.
• W. Dańczyszyn: Metodyki budowania programu cyberbezpieczeństwa, materiały EY w ramach studiów podyplomowych SGH, Warszawa 2019 r.
• C. Dotson: Bezpieczeństwo w chmurze. Przewodnik po projektowaniu i wdrażaniu zabezpieczeń, PWN, Warszawa 2020 r.
• T. Herath, H. Herath, W. Bremser: Balanced Scorecard Implementation of Security Strategies, Framework for IT Security Performance Management, T&F, 2010 r.
• International Standard ISO/IEC 27001:2019, Information Technology – Security Techniques – Information Security Management Systems – Requirements, Genewa 2019 r.
• ISO 22301:2019 Security and resilience – Business continuity management systems – Requirements, Genewa 2019 r.
• E. Jarzęcka-Siwik, B. Skwarka: Komentarz do ustawy o NIK, Difin, Warszawa 2017 r.
• R. S. Kaplan, D. P. Horton: Strategiczna Karta Wyników. Jak przełożyć strategię na działa nie, PWN, Warszawa 2001 r.
• Kompendium kontroli. Cyberbezpieczeństwo w UE i państwach członkowskich UE, Unia Europejska, 2020 r.
• KNF: Komunikat KNF dotyczący przetwarzania przez podmioty nadzorowane informacji w chmurze obliczeniowej publicznej lub hybrydowej, Warszawa 2020 r.
• KNF: Rekomendacja D dotycząca zarządzania obszarami technologii informacyjnej i bez pieczeństwa środowiska teleinformatycznego w bankach, Warszawa 2013 r.
• K. Liderman: Bezpieczeństwo informacyjne. Nowe Wyzwania, PWN, Warszawa 2017 r.
• J. Molesky: Lean Technology Strategy: Moving Fast With Defined Constraints, LinkedIn Learning, 2018 r.
• M. Niepłowicz: Zrównoważona karta wyników dla departamentu audytu wewnętrznego, WNEIZ, 2009 r.
• Raport Polskiej Platformy Bezpieczeństwa Wewnętrznego: Oprogramowanie i narzędzia wspomagające analizę kryminalną, Warszawa 2019 r.
• Risk IT Practitioner Guide, USA, 2009 r.
• M. Wrzosek: Cyberbezpieczeństwo A.D. 2019, Warszawa, 2020 r.

Identifiers

DOI

10.53122/ISSN.0452-5027/2021.1.12

Biblioteka Nauki

2047040