News & Blog

Zostáva posledný mesiac na zabezpečenie kyberochrany. Vieme ako na to

Zostáva posledný mesiac na zabezpečenie kyberochrany. Vieme ako na to

Do 1. apríla musia mať stovky firiem a štátnych inštitúcií prijaté bezpečnostné opatrenia. Vyžaduje to zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.), ktorý zaviedol základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov.

Zákon o kybernetickej bezpečnosti nadobudol účinnosť pred dvomi rokmi (1. apríla 2018) a to je aj čas, ktorý dal všetkým firmám a inštitúciám, ktorých sa týka, aby sa s ním zosúladili.
„Prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb podľa odseku 5 je povinný do dvoch rokov odo dňa účinnosti tohto zákona prijať bezpečnostné opatrenia podľa § 20.,“ hovorí zákon v prechodných ustanoveniach.
Okrem toho, prevádzkovatelia základnej služby musia do dvoch rokov od účinnosti zákona zosúladiť aj všetky zmluvy uzatvorené na výkon činností podľa § 19 ods. 2.
Na splnenie povinností, ostáva tak už iba marec 2020.

Týka sa to aj vás?
Zákon o kybernetickej bezpečnosti sa vzťahuje na organizácie, ktoré sú na základe identifikačných kritérií považované za prevádzkovateľa základnej služby.
Podľa zákona sa za základnú službu považuje služba, ktorá je zaradená v zozname základných služieb NBÚ a:

Čo potrebujete a ako vám pomôžeme v Binary Confidence

  • Naša spoločnosť v prvom kroku ponúka službu analýzy – zistenia aktuálneho stavu danej spoločnosti (tzv. GAP analýzu) a identifikáciu nedostatkov v zmysle platnej legislatívy, interných štandardov a medzinárodných štandardov. Rozsah analýzy je závislý od komplexnosti informačných systémov podliehajúcich legislatíve z oblasti kybernetickej bezpečnosti. Štandardne sa GAP analýza spracuje na základe 2 kôl pohovorov so správcami a manažérmi IT a zástupcami užívateľov. Nasleduje analýza predloženej existujúcej riadiacej dokumentácie, prípadne zmlúv s dodávateľmi vybraných IT služieb a spracovania správy a jej prerokovanie.
  • Druhým krokom je vyhotovenie Štúdie uskutočniteľnosti (tzv. Feasibility study), ktorá upresní rozsah potrieb organizácie a sumarizuje aktivity potrebné na zhodu s predmetnými normami. Cieľom je navrhnúť sadu opatrení (akčný plán) potrebných pre dosiahnutie súladu s legislatívnymi požiadavkami a potrebných na zvýšenie úrovne vyspelosti spoločnosti v oblasti riadenia KB.
  • Následne, podľa vyhotoveného a schváleného plánu, ponúkame práce súvisiace s implementáciou opravných opatrení.

Vďaka našej pomoci splníte všetky Povinnosti prevádzkovateľa základnej služby. Ktorými sú:

Registrácia
Organizácie, ktorých predmetom podnikania je činnosť uvedená v zozname základných služieb, sú zároveň povinné skúmať prípadné prekročenie identifikačných kritérií.
V prípade prekročenia sú tieto organizácie povinné doručiť NBÚ registráciu.
Po registrácii úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb

Bezpečnostné opatrenia
Opatrenia podľa § 20 (1) Zákona sú:
úlohy, procesy, roly a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.
• Technické opatrenia
opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy
• Organizačné opatrenia
opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie
• Personálne opatrenia
podmnožina organizačných opatrení týkajúcich sa riadenia ľudských zdrojov

Minimálny rozsah bezpečnostných opatrení
Podľa §20 (4) Zákona bezpečnostné opatrenia musia zahŕňať najmenej:
a) detekciu kybernetických bezpečnostných incidentov,
b) evidenciu kybernetických bezpečnostných incidentov,
c) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
d) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
e) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

Implementácia opatrení
Prevádzkovateľ základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.

Povinnosti prevádzkovateľa digitálnej služby sú podmnožinou povinností PZS (§22 zákona).
Oblasti bezpečnostných opatrení §20 odst. 3) písmeno:
a) Oblasť organizácia informačnej bezpečnosti
b) Oblasť riadenia aktív, hrozieb a rizík
c) Oblasť personálnej bezpečnosti
d) Oblasť riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
e) Oblasť technických zraniteľností systémov a zariadení
f) Oblasť riadenia bezpečnosti sietí a informačných systémov
g) Oblasť riadenia prevádzky
h) Oblasť riadenia prístupov
i) Oblasť kryptografických opatrení
j) Oblasť riešenia kybernetických bezpečnostných incidentov
k) Oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov
l) Oblasť fyzickej bezpečnosti a bezpečnosti prostredia
m) Oblasť riadenia kontinuity procesov

Dokumentácia
Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17.
Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Podľa zákona 69/2018 definovaný zoznam bezpečnostnej dokumentácie
• Bezpečnostná stratégia kybernetickej bezpečnosti
• Bezpečnostné politiky kybernetickej bezpečnosti
• Klasifikácia informácií a kategorizáciu sietí a informačných systémov
(Vyhláška č. 362/2018 Z. z, § 4 + Príloha č. 2 Klasifikačná schéma)
• Vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení
• Analýzu rizík kybernetickej bezpečnosti
• Správu o výsledkoch auditu kybernetickej bezpečnosti

Bezpečnostná stratégia kybernetickej bezpečnosti

Bezpečnostné politikySúvisiace bezpečnostné štandardy
Organizácia bezpečnosti– Riadenie bezpečnostnej architektúry
– Systém riadenia kybernetickej bezpečnosti
– Riadenie identít a prístupových práv
– Riadenie privilegovaných prístupov
– Bezpečnostný monitoring a správa bezpečnostných záznamov

Riadenie bezpečnostných rizík– Testovanie a bezpečnostná certifikácia systémov
– Metodika posudzovania vplyvu na ochranu osobných údajov
– Metodika posudzovania rizík
– Fyzická bezpečnosť a bezpečnosť prostredia
– Riešenie bezpečnostných incidentov

Riadenie informačných aktív– Klasifikácia informácií a kategorizácia sietí
– Registratúrny poriadok a registratúrny plán

Pravidlá správania a dobrej praxe– Práca na diaľku a používanie mobilných zariadení
– Riadenie personálnej bezpečnosti
– Pravidlá komunikácie

Riadenie dodávateľských vzťahov– Riadenie dodávateľských služieb
– Akvizícia informačných systémov

Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií– Vývoj a testovanie informačných systémov
– Postupy údržby informačných systémov
– Riadenie technických zraniteľností a manažment záplat

Riadenie a prevádzka informačno-komunikačných technológií– Pravidlá prepájania systémov a prenosu elektronických informácií
– Riadenie bezpečnosti sietí
– Riadenie zmien infraštruktúry
– Riadenie kapacity systémov a služieb
– Riadenie kryptografických opatrení

Riadenie súladu – Audit kybernetickej bezpečnosti– Spracúvanie osobných údajov a klasifikovaných informácií
– Poskytovanie súčinnosti tretím stranám

Riadenie kontinuity procesov a činností– Plány kontinuity prevádzkových činností
– Plány havarijnej obnovy prevádzky
– Metodika zálohovania a obnovy informácií

Subscribefor more usefull articles


I agree and consent to and want to receive useful articles (Newsletter) by email from company Binary Confidence that contain useful articles and information from IT Security industry or about security projects or achievements of this company. Company Binary Confidence will not share my personal data with any third party for marketing or other purposes. other recipients, except company MailChimp that provides platform for sending our useful articles (Newsletters). I can withdraw my consent at any time on info@binconf.com or on +421 232199980 or by opt out link in each Newsletter email. I have read and understood the Privacy Policy and I agree how my personal data are processed and what my rights are in respect of processing my personal information for purpose of subscription for useful articles (Newsletter). I declare that I am over 16 years old.

Contact

Address

Binary Confidence s.r.o.
Špitálska 53,
811 01 Bratislava
Slovak republic

E-mail

info@binconf.com
support@binconf.com

Telephone

+421 2 321 999 80

I agree with Privacy and Data Protection Policy
By clicking [I agree] you consent to processing your personal data by company Binary Confidence s.r.o. and you accept Privacy and Data Protection Policy.