AUDYTOR KSC

Kompetencje audytora KSC – wymaganie prawne.

ISO 22301, ISO 27001, Audyt KSCAudytor KSC, czy też Audytor Cyberbezpieczeństwa to obecnie nowa poszukiwana kompetencja w IT. Temat „kompetencje audytora KSC” wydaje się być oczywisty w świetle zapisów wymagań ustawowych, a mimo wszystko wzbudza wiele nieporozumień. Dlaczego? Dotyczy to audytorów skupionych wokół standardów ISO 27001 oraz ISO 22301. W niniejszym artykule przedstawiamy spójną interpretację w tym zakresie, która pozwoli Państwu jednoznacznie odnieść się do wspomnianego tematu. Ustawa o KSC (Krajowy System Cyberbezpieczeństwa) z dn. 05.07.2018 (Dz.U. 2018 poz. 1560) w art. 15. ust.1 określa: Operator usługi kluczowej ma obowiązek zapewnić przeprowadzenie, co najmniej raz na 2 lata, audytu bezpieczeństwa systemu informacyjnego wykorzystywanego do świadczenia usługi kluczowej, zwanego dalej „audytem”. Ustęp 2 ustawy definiuje kto może wykonywać ten audyt, podając poniższe uwarunkowania. Audyt może być przeprowadzony przez:

  1.  jednostkę oceniającą zgodność, akredytowaną zgodnie z przepisami ustawy z dnia 13 kwietnia 2016 r. o systemach oceny zgodności i nadzoru rynku (Dz. U. z 2017 r. poz. 1398 oraz z 2018 r. poz. 650 i 1338), w zakresie właściwym do podejmowanych ocen bezpieczeństwa systemów informacyjnych.
  2. co najmniej dwóch audytorów posiadających:
    – certyfikaty określone w przepisach wydanych na podstawie ust. 8 lub,
    – co najmniej trzyletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych, lub
    – co najmniej dwuletnią praktykę w zakresie audytu bezpieczeństwa systemów informacyjnych i legitymujących się dyplomem ukończenia studiów podyplomowych w zakresie audytu bezpieczeństwa systemów informacyjnych, wydanym przez jednostkę organizacyjną, która w dniu wydania dyplomu była uprawniona, zgodnie z odrębnymi przepisami, do nadawania stopnia naukowego doktora nauk ekonomicznych, technicznych lub prawnych.
  3. sektorowy zespół cyberbezpieczeństwa, ustanowiony w ramach sektora lub podsektora wymienionego w załączniku nr 1 do ustawy, jeżeli audytorzy spełniają warunki, o których mowa w pkt.2.

Co z tego wynika? Jakie kroki należy podjąć aby legitymizować swoją pracę jako  audytor cyberbezpieczeństwa / audytor KSC – zgodnie z wymaganiami jak w powyższym pkt.2?

W przypadku zespołu audytowego – pkt.2 a) mamy odwołanie do ust. 8, czyli – Minister właściwy do spraw informatyzacji określi, w drodze rozporządzenia, wykaz certyfikatów uprawniających do przeprowadzenia audytu, uwzględniając zakres wiedzy specjalistycznej wymaganej od osób legitymujących się poszczególnymi certyfikatami. Rozporządzenie Ministra Cyfryzacji zostało wydane 12.10.2018 jako Dz.U.2018 poz.1999 – w sprawie wykazu certyfikatów uprawniających do przeprowadzenia audytu.

Załącznik do rozporządzenia określa 11 certyfikatów uprawniających do przeprowadzenia audytu KSC, dla uznania kompetencji –  audytor KSC, albo audytor cyberbezpieczeństwa jak wolą inni. Tylko w stosunku do poz. 3 i 4 należy się wyjaśnienie, gdyż to te dwa certyfikaty są przedmiotem niejasności – Audytor Wiodący ISO/IEC 27001, Audytor Wiodący ISO 22301. Pozostałe certyfikaty kompetencyjne nie budzą zastrzeżeń, są bowiem wprost wydawane w oparciu o ścieżkę certyfikacji kompetencji wg normy ISO/IEC 17024, co jest wyraźnie pokazane na samych certyfikatach. Kompetencje audytora KSC w oparciu np. certyfikat CISA, CISSP, itd. są więc bezwarunkowo zgodne z wymaganiem prawnym. Certyfikaty te można pozyskać również i w Polsce wg zasad ustanowionych przez organizację ISACA. Osobiście mam jednak wątpliwości co do wymienionych i lobbowanych przez ISACA certyfikatów, gdyż CISM, CISSP, CRISC nie dotyczą kompetencji audytorskich.

Jak rozwiązać problem uznania kompetencji wg standardów ISO ?

PECB, Certyfikaca ISO 22301, ISO 27001, Audytor KSCProblem z dwoma wskazanymi kompetencjami wynika z faktu, że w Polsce nikt nie oferował usługi certyfikacji kompetencji. Wszelkie szkolenia Audytora wiodącego dla dowolnej z tych norm świadczone przez wszystkie jednostki certyfikacyjne kończą się certyfikatem ukończenia szkolenia, a nie certyfikatem kompetencji. Żadna z jednostek certyfikacyjnych działająca w Polsce, oferująca wspomniane szkolenia nie posiada bowiem akredytacji wg normy ISO/IEC 17024 na te programy na dzień pisania niniejszego artykułu. Tak więc certyfikaty wystawione przez te organizacje nie spełniają w/w ustawy. Powinni to wziąć pod uwagę osoby chcące świadczyć takie usługi, jak również beneficjenci takich audytów. Aby zniwelować ten niedostatek i zrównać certyfikat audytora wiodącego wspomnianych norm, i nabyć kompetencje audytora KSC można podejść do ścieżki certyfikacyjnej np. w PECB – Personal Evaluation Certification Board z Kanady.

Jako przedstawiciel PECB w Polsce możemy wesprzeć Państwa w tym temacie. Potrzebna jest tylko Państwa chęć, trochę dokumentów, i jeszcze jeden wysiłek egzaminacyjny, do którego możemy w ciągu dnia przygotować (jeżeli ma się stosowną wiedzę i doświadczenie). Długość oczekiwania i weryfikacji na wynik egzaminu zabiera jednak 6-8 tygodni, potem weryfikacja dokumentów, potwierdzenie referencji i wydanie certyfikatu, co nie przekracza zwykle 2 tygodni. W taki sposób naszych audytorów certyfikacyjnych po szkoleniach LA w jednostkach certyfikacyjnych i doświadczeniu audytorskim autoryzowaliśmy się jako audytorów KSC / audytorów Cyberbezpieczeństwa.

Akredytacja w certyfikacji kompetencji.

PECB jest akredytowana przez amerykańską jednostkę akredytacyjną IAS1, która jest równorzędną w stosunku do siostrzanej starszej akredytacji ANSI2, tej znanej z certyfikatów CISA, CISM, CISSP, itp. Powyższe logotypy organizacji akredytacyjnych są umieszczone zawsze na certyfikacie kompetencji, często z numerem akredytacji. Pozwala to sprawdzić na stronie wskazanej akredytacji, czy dany certyfikat wynika ze ścieżki certyfikacyjnej zatwierdzonej przez akredytację.

Zakres akredytacji PECB można zobaczyć pod załączonym linkiem. Warto też pamiętać, że każda akredytacja, która legitymizuje certyfikat kompetencji powinna być zrzeszona w IAF.  International Accreditation Forum (IAF) to międzynarodowa organizacja (SA), które wyznacza standardy dla akredytacji jednostek certyfikacyjnych. Podpisanie przez akredytacje krajowe porozumienia MLA IAF  zapewnia wzajemne uznawanie certyfikatów między zrzeszonymi w nim  akredytacjami. Na marginesie warto jednak usprawiedliwić jednostki certyfikacyjne, które w ramach IRCA oferowały szkolenia akredytowane. Na szkoleniach zarabia się dużo więcej niż na procesie certyfikacji kompetencji, którego przychód jest rozłożony w czasie. IRCA jako rejestr audytorów przez wiele lat było w opozycji do akredytacji kompetencji wg wymagań ISO/IEC 17024, co uważa się jako ich błąd strategiczny.  Jeżeli będą Państwo zainteresowani powyższą propozycją to pozostajemy w oczekiwaniu na kontakt.

Odnośniki:
1 – IAS – International Accreditation Service – https://www.iasonline.org/ , zrzeszonej w IAF – https://www.iaf.nu
2 – ANSI – American National Standard Institute – https://www.standardsportal.org/ , zrzeszona w IAF, j.w.

Zapraszamy do kontaktu
Zespół Centre of Excellence

Przewiń do góry