Zostáva posledný mesiac na zabezpečenie kyberochrany. Vieme ako na to
Do 1. apríla musia mať stovky firiem a štátnych inštitúcií prijaté bezpečnostné opatrenia. Vyžaduje to zákon o kybernetickej bezpečnosti (č. 69/2018 Z. z.), ktorý zaviedol základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov.
Zákon o kybernetickej bezpečnosti nadobudol účinnosť pred dvomi rokmi (1. apríla 2018) a to je aj čas, ktorý dal všetkým firmám a inštitúciám, ktorých sa týka, aby sa s ním zosúladili.
„Prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb podľa odseku 5 je povinný do dvoch rokov odo dňa účinnosti tohto zákona prijať bezpečnostné opatrenia podľa § 20.,“ hovorí zákon v prechodných ustanoveniach.
Okrem toho, prevádzkovatelia základnej služby musia do dvoch rokov od účinnosti zákona zosúladiť aj všetky zmluvy uzatvorené na výkon činností podľa § 19 ods. 2.
Na splnenie povinností, ostáva tak už iba marec 2020.
Týka sa to aj vás?
Zákon o kybernetickej bezpečnosti sa vzťahuje na organizácie, ktoré sú na základe identifikačných kritérií považované za prevádzkovateľa základnej služby.
Podľa zákona sa za základnú službu považuje služba, ktorá je zaradená v zozname základných služieb NBÚ a:
- závisí od sietí a informačných systémov a je vykonávaná aspoň v jednom sektore alebo podsektore,
- je informačným systémom verejnej správy, alebo
- je prvkom kritickej infraštruktúry.
Identifikačné kritériá prevádzkovanej služby sú definované vyhláškou Národného bezpečnostného úradu č. 164/2018 Z. z.
Čo potrebujete a ako vám pomôžeme v Binary Confidence
- Naša spoločnosť v prvom kroku ponúka službu analýzy – zistenia aktuálneho stavu danej spoločnosti (tzv. GAP analýzu) a identifikáciu nedostatkov v zmysle platnej legislatívy, interných štandardov a medzinárodných štandardov. Rozsah analýzy je závislý od komplexnosti informačných systémov podliehajúcich legislatíve z oblasti kybernetickej bezpečnosti. Štandardne sa GAP analýza spracuje na základe 2 kôl pohovorov so správcami a manažérmi IT a zástupcami užívateľov. Nasleduje analýza predloženej existujúcej riadiacej dokumentácie, prípadne zmlúv s dodávateľmi vybraných IT služieb a spracovania správy a jej prerokovanie.
- Druhým krokom je vyhotovenie Štúdie uskutočniteľnosti (tzv. Feasibility study), ktorá upresní rozsah potrieb organizácie a sumarizuje aktivity potrebné na zhodu s predmetnými normami. Cieľom je navrhnúť sadu opatrení (akčný plán) potrebných pre dosiahnutie súladu s legislatívnymi požiadavkami a potrebných na zvýšenie úrovne vyspelosti spoločnosti v oblasti riadenia KB.
- Následne, podľa vyhotoveného a schváleného plánu, ponúkame práce súvisiace s implementáciou opravných opatrení.
Vďaka našej pomoci splníte všetky Povinnosti prevádzkovateľa základnej služby. Ktorými sú:
Registrácia
Organizácie, ktorých predmetom podnikania je činnosť uvedená v zozname základných služieb, sú zároveň povinné skúmať prípadné prekročenie identifikačných kritérií.
V prípade prekročenia sú tieto organizácie povinné doručiť NBÚ registráciu.
Po registrácii úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľov základných služieb
Bezpečnostné opatrenia
Opatrenia podľa § 20 (1) Zákona sú:
úlohy, procesy, roly a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.
• Technické opatrenia
opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy
• Organizačné opatrenia
opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie
• Personálne opatrenia
podmnožina organizačných opatrení týkajúcich sa riadenia ľudských zdrojov
Minimálny rozsah bezpečnostných opatrení
Podľa §20 (4) Zákona bezpečnostné opatrenia musia zahŕňať najmenej:
a) detekciu kybernetických bezpečnostných incidentov,
b) evidenciu kybernetických bezpečnostných incidentov,
c) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
d) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
e) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.
Implementácia opatrení
Prevádzkovateľ základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.
Povinnosti prevádzkovateľa digitálnej služby sú podmnožinou povinností PZS (§22 zákona).
Oblasti bezpečnostných opatrení §20 odst. 3) písmeno:
a) Oblasť organizácia informačnej bezpečnosti
b) Oblasť riadenia aktív, hrozieb a rizík
c) Oblasť personálnej bezpečnosti
d) Oblasť riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
e) Oblasť technických zraniteľností systémov a zariadení
f) Oblasť riadenia bezpečnosti sietí a informačných systémov
g) Oblasť riadenia prevádzky
h) Oblasť riadenia prístupov
i) Oblasť kryptografických opatrení
j) Oblasť riešenia kybernetických bezpečnostných incidentov
k) Oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov
l) Oblasť fyzickej bezpečnosti a bezpečnosti prostredia
m) Oblasť riadenia kontinuity procesov
Dokumentácia
Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17.
Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Podľa zákona 69/2018 definovaný zoznam bezpečnostnej dokumentácie
• Bezpečnostná stratégia kybernetickej bezpečnosti
• Bezpečnostné politiky kybernetickej bezpečnosti
• Klasifikácia informácií a kategorizáciu sietí a informačných systémov
(Vyhláška č. 362/2018 Z. z, § 4 + Príloha č. 2 Klasifikačná schéma)
• Vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení
• Analýzu rizík kybernetickej bezpečnosti
• Správu o výsledkoch auditu kybernetickej bezpečnosti
Bezpečnostná stratégia kybernetickej bezpečnosti
| Bezpečnostné politiky | Súvisiace bezpečnostné štandardy |
| Organizácia bezpečnosti | – Riadenie bezpečnostnej architektúry – Systém riadenia kybernetickej bezpečnosti – Riadenie identít a prístupových práv – Riadenie privilegovaných prístupov – Bezpečnostný monitoring a správa bezpečnostných záznamov |
| Riadenie bezpečnostných rizík | – Testovanie a bezpečnostná certifikácia systémov – Metodika posudzovania vplyvu na ochranu osobných údajov – Metodika posudzovania rizík – Fyzická bezpečnosť a bezpečnosť prostredia – Riešenie bezpečnostných incidentov |
| Riadenie informačných aktív | – Klasifikácia informácií a kategorizácia sietí – Registratúrny poriadok a registratúrny plán |
| Pravidlá správania a dobrej praxe | – Práca na diaľku a používanie mobilných zariadení – Riadenie personálnej bezpečnosti – Pravidlá komunikácie |
| Riadenie dodávateľských vzťahov | – Riadenie dodávateľských služieb – Akvizícia informačných systémov |
| Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií | – Vývoj a testovanie informačných systémov – Postupy údržby informačných systémov – Riadenie technických zraniteľností a manažment záplat |
| Riadenie a prevádzka informačno-komunikačných technológií | – Pravidlá prepájania systémov a prenosu elektronických informácií – Riadenie bezpečnosti sietí – Riadenie zmien infraštruktúry – Riadenie kapacity systémov a služieb – Riadenie kryptografických opatrení |
| Riadenie súladu – Audit kybernetickej bezpečnosti | – Spracúvanie osobných údajov a klasifikovaných informácií – Poskytovanie súčinnosti tretím stranám |
| Riadenie kontinuity procesov a činností | – Plány kontinuity prevádzkových činností – Plány havarijnej obnovy prevádzky – Metodika zálohovania a obnovy informácií |