Úlohy Kompetenčného centra
- plnenie úloh národného odvetvového, technologického a výskumného centra v oblasti kybernetickej bezpečnosti
- plnenie úloh certifikačného orgánu podľa zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti
- činnosti autorizovanej osoby podľa Zákona č. 215/2004 Z. z. o ochrane utajovaných skutočností
- zabezpečenie služieb súvisiacich s organizáciou a technickým zabezpečením vzdelávacích aktivít pre zriaďovateľa
- zónové merania a merania nežiadúceho elektromagnetického vyžarovania
- vykonávanie znaleckej a expertíznej činnosti podľa Zákona č. 382/2004 Z. z. o znalcoch, tlmočníkoch a prekladateľoch; vykonávanie vedeckej, výskumnej činnosti a vývoja v oblasti kybernetickej bezpečnosti a informačno-komunikačných technológií
- konzultačná činnosť v oblasti ochrany utajovaných skutočností, kybernetickej bezpečnosti a dôveryhodných služieb, organizovanie vzdelávacích podujatí, kurzov, školení a seminárov
Dôležité dokumenty
Prihláška
Prihláška na certifikáciu audítora kybernetickej bezpečnosti podľa normy ISO/IEC 17024:2012
Certifikačná schéma
Požiadavky na spôsobilosť audítorov a ďalšie požiadavky kladené na certifikačný proces.
Zoznam audítorov
Audítori, ktorým bol základe úspešne absolvovaného certifikačného procesu vydaný certifikát Audítor kybernetickej bezpečnosti.
Politika kvality
Špecifikuje záväznú politiku kvality a nestrannosti zamestnancov Kompetenčného centra.
Zmluva s audítorom
Zmluva o používaní certifikačnej značky a čestné vyhlásenie o pravdivosti poskytnutých údajov, bezúhonnosti, nestrannosti a vylúčení konfliktu záujmov.
Vybavovanie sťažností a odvolaní
Postupy pre vybavovanie sťažností a odvolaní v rámci procesu certifikácie a zásady riešenia sporov.
Cenník služieb
Zásady stanovenia výšky poplatkov za certifikačné služby a spôsob úhrady za poskytované služby.
Vzor certifikátu
Potvrdenie spôsobilosti a splnenia kvalifikačných požiadaviek daných vyhláškou č. 436/2019 Z.z.
Podmienky používania certifikačnej značky
Špecifikuje logo, certifikačné značky a stanovuje zásady ich používania a právnej ochrany.
Často kladené otázky
Čo je to akreditácia?
je atestácia treťou stranou týkajúca sa orgánu posudzovania zhody, ktorá slúži ako oficiálny dôkaz kompetentnosti plniť špecifické úlohy posudzovania zhody. (ISO/IEC 17000: 2005, čl. 5.6). Postup, na základe ktorého akreditačný orgán vydáva osvedčenie o tom, že orgán posudzovania zhody je spôsobilý vykonávať deklarované činnosti.
Čo je to vnútroštátny akreditačný orgán?
je jediný orgán v členskom štáte, ktorý vykonáva akreditáciu na základe právomoci, ktorú mu udelil štát. V Slovenskej republike je vnútroštátnym akreditačným orgánom Slovenská národná akreditačná služba (SNAS). Postavenie SNAS a jej pôsobnosť určuje zákon č. 505/2009 Z. z. o akreditácii orgánov posudzovania zhody a o zmene a doplnení niektorých zákonov.
Čo je to orgán posudzovania zhody?
orgán, ktorý vykonáva služby posudzovania zhody (ISO/IEC 17000: 2004, čl. 2.5). Subjekt vykonávajúci činnosti posudzovania zhody vrátane kalibrácie, skúšania, osvedčovania a inšpekcie. (Nariadenie EP č. 765/2008, čl. 2.13)
Čo je to certifikačný orgán?
orgán vykonávajúci posudzovanie zhody treťou stranou podľa certifikačnej schémy (ISO/IEC 17065: 2012, čl. 3.12). Certifikačným orgánom je typicky vlastník certifikačnej schémy.
Kto je to vlastník certifikačnej schémy?
vlastníkom certifikačnej schémy je organizácia zodpovedná za jej rozvoj a udržiavanie; v prípade certifkácie audítorov kybernetickej bezpečnosti je vlastníkom certifikačnej schémy NBÚ
Čo je to certifikácia?
je atestácia treťou stranou týkajúca sa produktov, procesov, systémov alebo osôb. (ISO/IEC 17000: 2005, čl. 5.5). Je to postup, ktorým akreditovaný orgán posudzovania zhody poskytuje písomné ubezpečenie, že výrobok, proces, služba, systém, alebo osoba sú v zhode so špecifickými požiadavkami. Certifikácia sa týka všetkých objektov posudzovania zhody okrem samotných orgánov posudzovania zhody, ktoré sa podrobujú akreditácii
Čo je možné certifikovať?
certifikovať, teda posudzovať zhodu so špecifickými požiadavkami je možné pre systémy manažérstva (podľa ISO/IEC 17021-1:2015), pre osoby (podľa ISO/IEC 17024: 2012) a pre výrobky, procesy a služby (podľa ISO/IEC 17065: 2012).
Čo je to certifikát?
dokument vydaný certifikačným orgánom v súlade s ustanoveniami normy, osvedčujúci, že menovaná osoba splnila certifikačné požiadavky (ISO/IEC 17024: 2005, čl. 3.5).
Čo je to certifikačná schéma?
formalizované požiadavky na spôsobilosť a ďalšie požiadavky kladené na špecifikovanú kategóriu povolania alebo kategórie zručnosti osôb. (ISO/IEC 17024: 2005, čl. 3.2)
Čo je to certifikačný proces?
komplex činností, na základe ktorých certifikačný orgán určí, že osoba spĺňa špecifikované požiadavky spôsobilosti (certifikačné požiadavky). Zahŕňa podanie žiadosti, posúdenie, rozhodnutie o certifikácii, recertifikácii a používanie certifikátov, loga, resp. značiek.(ISO/IEC 17024: 2005, art. 3.1).
Proces certifikácie
1. Certifikačná schéma
Uchádzač si preštuduje požiadavky na spôsobilosť audítorov a ďalšie požiadavky kladené na certifikačný proces uvedené v certifikačnej schéme.
2. Prihláška
Žiadateľ vyplní dokument "Prihláška na certifikačnú skúšku audítora kybernetickej bezpečnosti" a zašle ho elektronickou poštou opatrený certifikátom elektronického podpisu, alebo vytvorením všeobecného podania prostredníctvom portálu www.slovensko.sk poskytovateľovi služby: Kompetenčné a certifikačné centrum kybernetickej bezpečnosti.
3. Posúdenie prihlášky
Odbor certifikácie Kompetenčného a certifikačného centra kybernetickej bezpečnosti posúdi, či žiadateľ spĺňa počiatočné kritériá certifikácie podľa požiadaviek Prílohy č. 1 Vyhlášky NBÚ č. 436/2019 Z.z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora. V prípade, že sú počiatočné kritériá splnené, Odbor certifikácie vyzve žiadateľa na doplnenie dokladov (predovšetkým životopisu s uvedením kontaktu na overiteľnú referenciu, platného medzinárodného certifikátu z oblasti auditu informačných systémov a zoznamu vykonaných auditov s uvedením kontaktu na overiteľnú referenciu)
4. Pozvánka na skúšku
Kompetenčné centrum pozve žiadateľov na vykonanie certifikačnej skúšky v najbližšom možnom termíne. Pozvánka na odbornú skúšku sa doručuje žiadateľovi spravidla v elektronickej podobe 15 dní pred termínom konania skúšky. Ak sa žiadateľ na skúšku nedostaví, ale vopred sa ospravedlní, je automaticky zaradený a pozvaný na najbližší termín. V prípade, že sa žiadateľ nedostaví ani na náhradný termín odbornej skúšky, orgán posudzovania zhody ho vyradí zo zoznamu žiadateľov. Podmienkou účasti na skúške je, že žiadateľ zaplatí poplatok za certifikačné služby, podľa cenníka služieb.
5. Odborná skúška
Žiadateľ pred začatím odbornej skúšky preukáže svoju totožnosť. Odborná skúška audítora kybernetickej bezpečnosti sa vykonáva formou testu, písomnou formou, alebo elektronickou formou, zo znalostí uvedených v certifikačnej schéme. Pre každú skúšku sa vygeneruje 100 otázok náhodným výberom zo schváleného súboru otázok. Každá otázka má 4 možností odpovedí, pričom správna je len jedna. Časový rozsah skúšky je 150 minút. Skúška vykonávaná elektronicky musí byť po celý čas prípravy a priebehu monitorovaná použitím videokonferenčných nástrojov.
6. Posúdenie zhody
Posudzovanie zhody sa môže skončiť udelením atestácie, vo forme certifikátu audítora kybernetickej bezpečnosti. Podkladom na vydanie alebo nevydanie certifikátu audítora sú informácie o žiadateľovi a výsledky odbornej skúšky. Rozhodovanie o tom je nezávislé a nestranné a prijíma ho kompetentná osoba v súlade s požiadavkami na orgán posudzovania zhody podľa technickej normy a v súlade s certifikačnou schémou. Skúška sa považuje za úspešnú, ak kandidát dosiahne najmenej 80% správnych odpovedí. Skúška sa považuje za neúspešnú ak kandidát dosiahne v hodnotení menej ako 80% správnych odpovedí. Vzor certifikátu...
7. Certifikácia
Platnosť certifikátu audítora sa začína dňom vydania certifikátu audítora. Certifikát audítora sa zasiela žiadateľovi elektronicky a poštou, alebo si ho môže na základe vlastnej žiadosti prevziať osobne. Doba platnosti certifikátu je 3 roky od jeho vydania. Audítor počas doby platnosti certifikátu audítora využíva svoj certifikát audítora v súlade s podmienkami a obmedzeniami v ňom uvedenými poskytuje na vyžiadanie súčinnosť orgánu posudzovania zhody. Svoju činnosť vykonáva audítor odborne a v súlade s dobrými mravmi, k čomu je povinný zaviazať sa zmluvou o oprávnení používania certifikačnej značky.
8. Sťažnosti a odvolania
Prípadné sťažnosti a odvolania v rámci procesu certifikácie a zásady riešenia sporov sú riešené v zmysle platnej politiky.
Užitočné linky
Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
Nariadenie EÚ č. 765/2008 ktorým sa stanovujú požiadavky akreditácie a dohľadu nad trhom v súvislosti s uvádzaním výrobkov na trh
Zákon č. 56/2018 Z.z. o posudzovaní zhody výrobku, sprístupňovaní určeného výrobku na trhu
Smernica EÚ č. 2016/1148 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii
Vyhláška NBÚ č. 362/2019 Z.z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
Vyhláška NBÚ č. 436/2019 Z.z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora.
Nariadenie EÚ č. 2019/881 o agentúre ENISA a o certifikácii kybernetickej bezpečnosti informačných a komunikačných technológií.