Zostáva posledný mesiac na zabezpečenie kyberochrany. Vieme ako na to

/ /

4. 03. 2020

Do 1. apríla musia mať stovky firiem a štátnych inštitúcií prijaté bezpečnostné opatrenia. Vyžaduje to zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.), ktorý zaviedol základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov.

Zákon o kybernetickej bezpečnosti nadobudol účinnosť pred dvomi rokmi (1. apríla 2018) a to je aj čas, ktorý dal všetkým firmám a inštitúciám, ktorých sa týka, aby sa s ním zosúladili.
„Prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb podľa odseku 5 je povinný do dvoch rokov odo dňa účinnosti tohto zákona prijať bezpečnostné opatrenia podľa § 20.,“ hovorí zákon v prechodných ustanoveniach.
Okrem toho, prevádzkovatelia základnej služby musia do dvoch rokov od účinnosti zákona zosúladiť aj všetky zmluvy uzatvorené na výkon činností podľa § 19 ods. 2.
Na splnenie povinností, ostáva tak už iba marec 2020. 

Týka sa to aj vás?
Zákon o kybernetickej bezpečnosti sa vzťahuje na organizácie, ktoré sú na základe identifikačných kritérií považované za prevádzkovateľa základnej služby.
Podľa zákona sa za základnú službu považuje služba, ktorá je zaradená v zozname základných služieb NBÚ a:

Čo potrebujete a ako vám pomôžeme v Binary Confidence

  • Naša spoločnosť v prvom kroku ponúka službu analýzy – zistenia aktuálneho stavu danej spoločnosti (tzv. GAP analýzu) a identifikáciu nedostatkov v zmysle platnej legislatívy, interných štandardov a medzinárodných štandardov. Rozsah analýzy je závislý od komplexnosti informačných systémov podliehajúcich legislatíve z oblasti kybernetickej bezpečnosti. Štandardne sa GAP analýza spracuje na základe 2 kôl pohovorov so správcami a manažérmi IT a zástupcami užívateľov. Nasleduje analýza predloženej existujúcej riadiacej dokumentácie, prípadne zmlúv s dodávateľmi vybraných IT služieb a spracovania správy a jej prerokovanie.
  • Druhým krokom je vyhotovenie Štúdie uskutočniteľnosti (tzv. Feasibility study), ktorá upresní rozsah potrieb organizácie a sumarizuje aktivity potrebné na zhodu s predmetnými normami. Cieľom je navrhnúť sadu opatrení (akčný plán) potrebných pre dosiahnutie súladu s legislatívnymi požiadavkami a potrebných na zvýšenie úrovne vyspelosti spoločnosti v oblasti riadenia KB.
  • Následne, podľa vyhotoveného a schváleného plánu, ponúkame práce súvisiace s implementáciou opravných opatrení.

Vďaka našej pomoci splníte všetky Povinnosti prevádzkovateľa základnej službyKtorými sú:

Registrácia
Organizácie, ktorých predmetom podnikania je činnosť uvedená v zozname základných služieb, sú zároveň povinné skúmať prípadné prekročenie identifikačných kritérií. 
V prípade prekročenia sú tieto organizácie povinné doručiť NBÚ registráciu.
Po registrácii úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb

Bezpečnostné opatrenia
Opatrenia podľa § 20 (1) Zákona sú: 
úlohy, procesy, roly a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.
• Technické opatrenia 
opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy 
• Organizačné opatrenia 
opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie 
• Personálne opatrenia 
podmnožina organizačných opatrení týkajúcich sa riadenia ľudských zdrojov

Minimálny rozsah bezpečnostných opatrení
Podľa §20 (4) Zákona bezpečnostné opatrenia musia zahŕňať najmenej: 
a) detekciu kybernetických bezpečnostných incidentov,
b) evidenciu kybernetických bezpečnostných incidentov,
c) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
d) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
e) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

Implementácia opatrení
Prevádzkovateľ základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.

Povinnosti prevádzkovateľa digitálnej služby sú podmnožinou povinností PZS (§22 zákona).
Oblasti bezpečnostných opatrení §20 odst. 3) písmeno:
a) Oblasť organizácia informačnej bezpečnosti
b) Oblasť riadenia aktív, hrozieb a rizík
c) Oblasť personálnej bezpečnosti
d) Oblasť riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
e) Oblasť technických zraniteľností systémov a zariadení
f) Oblasť riadenia bezpečnosti sietí a informačných systémov
g) Oblasť riadenia prevádzky
h) Oblasť riadenia prístupov
i) Oblasť kryptografických opatrení
j) Oblasť riešenia kybernetických bezpečnostných incidentov
k) Oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov
l) Oblasť fyzickej bezpečnosti a bezpečnosti prostredia
m) Oblasť riadenia kontinuity procesov

Dokumentácia
Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17.
Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Podľa zákona 69/2018 definovaný zoznam bezpečnostnej dokumentácie
• Bezpečnostná stratégia kybernetickej bezpečnosti
• Bezpečnostné politiky kybernetickej bezpečnosti
• Klasifikácia informácií a kategorizáciu sietí a informačných systémov 
(Vyhláška č. 362/2018 Z. z, § 4 + Príloha č. 2 Klasifikačná schéma)
• Vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení
• Analýzu rizík kybernetickej bezpečnosti
• Správu o výsledkoch auditu kybernetickej bezpečnosti

Bezpečnostná stratégia kybernetickej bezpečnosti

Bezpečnostné politiky Súvisiace bezpečnostné štandardy
Organizácia bezpečnosti – Riadenie bezpečnostnej architektúry
– Systém riadenia kybernetickej bezpečnosti
– Riadenie identít a prístupových práv
– Riadenie privilegovaných prístupov
– Bezpečnostný monitoring a správa bezpečnostných záznamov
Riadenie bezpečnostných rizík – Testovanie a bezpečnostná certifikácia systémov
– Metodika posudzovania vplyvu na ochranu osobných údajov
– Metodika posudzovania rizík
– Fyzická bezpečnosť a bezpečnosť prostredia
– Riešenie bezpečnostných incidentov
Riadenie informačných aktív – Klasifikácia informácií a kategorizácia sietí
– Registratúrny poriadok a registratúrny plán
Pravidlá správania a dobrej praxe – Práca na diaľku a používanie mobilných zariadení
– Riadenie personálnej bezpečnosti
– Pravidlá komunikácie
Riadenie dodávateľských vzťahov – Riadenie dodávateľských služieb
– Akvizícia informačných systémov
Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií – Vývoj a testovanie informačných systémov
– Postupy údržby informačných systémov
– Riadenie technických zraniteľností a manažment záplat
Riadenie a prevádzka informačno-komunikačných technológií – Pravidlá prepájania systémov a prenosu elektronických informácií
– Riadenie bezpečnosti sietí
– Riadenie zmien infraštruktúry
– Riadenie kapacity systémov a služieb
– Riadenie kryptografických opatrení
Riadenie súladu – Audit kybernetickej bezpečnosti – Spracúvanie osobných údajov a klasifikovaných informácií
– Poskytovanie súčinnosti tretím stranám
Riadenie kontinuity procesov a činností – Plány kontinuity prevádzkových činností
– Plány havarijnej obnovy prevádzky
– Metodika zálohovania a obnovy informácií
[naše manifesto]

Pripojte sa k nášmu newsletteru

Zaregistrujte sa a získajte najnovšie informácie a novinky od spoločnosti Binary Confidence.