Politika KIB je základom ISMS. Vo všeobecnosti popisuje, ako má byť zavedená KIB v organizácii, akú úlohu plní pre organizáciu a ktoré zdroje sú vynaloženie pre KIB. Jej súčasťou sú bezpečnostné ciele, ktoré aktíva chránite, pred ktorými hrozbami a cielená úroveň bezpečnostných opatrení. Tiež obsahuje popis zavedenej organizačnej štruktúry, zavedené role v KIB a kto zodpovedá za KIB v organizácii.
Povinnosť spísať politiku KIB Vám ako súčasť ISMS ukladá ZoITVS v ¶ 19 odseku 1 písmene a.
Tento dokument je Politika kybernetickej a informačnej bezpečnosti organizácie [[${orgName}]] (Politika KIB [[${orgNameAcr}]]). Politika KIB [[${orgNameAcr}]] bola vypracovaná v súlade s požiadavkami 69/2018 Z. z. (zákon o kybernetickej bezpečnosti) a 95/2019 Z. z. (zákon o informačných technológiách vo verejnej správe). Využíva BSI štandardy BSI 200-1, BSI 200-2, a IT-Grundschutz kompendium, ktoré sú kompatibilné s požiadavkami zákonov.
Politika KIB [[${orgNameAcr}]] sa vzťahuje na informácie [[${orgNameAcr}]], informačné systémy a počítačové siete v správe [[${orgNameAcr}]] a kladie bezpečnostné požiadavky na externé systémy, ktoré komunikujú s informačnými systémami v správe [[${orgName}]].
Politika KIB [[${orgNameAcr}]] sa nevzťahuje na informačné systémy a počítačové siete [[${orgNameAcr}]], ktorých ochranu upravujú iné zákony, ako tie, ktoré sú uvedené vyššie.
Politika KIB [[${orgNameAcr}]] je verejný dokument a vzťahuje sa na všetkých ľudí (zmestnancov [[${orgNameAcr}]], poskytovateľov služieb, dodávateľov, tretie strany, občanov, klientov a pod.), ktorí majú prístup k informačným systémom a informáciám [[${orgNameAcr}]] a svojou činnosťou môžu (v pozitívnom alebo negatívnom zmysle) ovplyvniť kybernetickú a informačnú bezpečnosť [[${orgNameAcr}]].
[[${orgNameAcr}]] je [[${ismsSetupModel.officialInformation.organisationCharacteristics}]], ktorá na základe [[${ismsSetupModel.officialInformation.organisationFoundation}]] plní nasledujúce úlohy [[${ismsSetupModel.officialInformation.organisationTasks}]]. [[${orgNameAcr}]] plní tieto úlohy prostredníctvom agiend a činností [[${ismsSetupModel.officialInformation.organisationFoundation}]].
Pri plnení hlavných úloh a zabezpečovaní vlastnej činnosti [[${orgNameAcr}]] využíva informácie, ktoré spracováva pomocou informačných systémov, počítačových sietí a iných zariadení digitálnych informačných a komunikačných technológií (d-IKT).
Zabezpečenie primeranej ochrany aktív [[${orgNameAcr}]] (zaistenie a udržiavanie primeranej/dostatočnej úrovne kybernetickej a informačnej bezpečnosti) je nutným predpokladom toho, aby [[${orgNameAcr}]] mohla plniť svoje poslanie a každý, kto má prístup k informačným aktívam [[${orgNameAcr}]], musí dodržiavať ustanovenia Politiky KIB a podieľať sa spôsobom zodpovedajúcim jeho pracovnému zaradeniu na plnení úloh KIB. Za hlavné ciele kybernetickej a informačnej bezpečnosti vo [[${orgNameAcr}]] Vedenie [[${orgNameAcr}]] považuje:
Vedenie [[${orgNameAcr}]] preto považuje zaistenie primeranej úrovne kybernetickej a informačnej bezpečnosti [[${orgNameAcr}]] za trvalú úlohu s najvyššou prioritou a zaväzuje sa na plnenie tejto úlohy vytvoriť na [[${orgNameAcr}]] primerané právne, organizačné, technické, materiálne aj finančné podmienky.
Za svoje hlavné primárne aktíva [[${orgNameAcr}]] považuje:
Primárne aktíva závisia od sekundárnych aktív. Za svoje hlavné sekundárne aktíva [[${orgName}]] považuje:
Narušenie hlavných aktív [[${orgName}]] (primárnych aj sekundárnych) môže spôsobiť, že [[${orgNameAcr}]] nedokáže v plnej miere plniť svoje poslanie. Za hlavné hrozby voči svojim hlavným aktívam [[${orgName}]] považuje:
Pri zaisťovaní kybernetickej a informačnej bezpečnosti [[${orgNameAcr}]] vychádza z nasledujúcich zásad:
Informácie, informačné systémy, počítačové siete a ďalšie aktíva, ktoré [[${orgNameAcr}]] používa na plnenie svojich úloh [[${ismsSetupModel.officialInformation.organisationFoundation}]], ktorý určuje poslanie a úlohy [[${orgNameAcr}]], tvoria informačný systém verejnej správy (ISVS) [[${orgNameAcr}]]. Prevádzka ISVS je podľa zákona 69/2018 Z.z. základnou službou a [[${orgNameAcr}]] je prevádzkovateľom základnej služby podľa §3, písm. l) zákona 69/2018 Z.z. Povinnosťou [[${orgNameAcr}]], ako správcu ISVS, je podľa § 21, ods. (3), písm. b) zákona 95/2019 Z.z. zaviesť „jednotný systém riadenia informačnej bezpečnosti pre všetky informačné systémy, ktoré sú v jeho správe“.
[[${orgNameAcr}]] zaviedlo a rozvíja jednotný systém riadenia informačnej bezpečnosti (ISMS, information security management system) pre všetky informačné systémy, ktoré sú v jeho správe v súlade s požiadavkami zákona 95/2019 Z.z. ISMS [[${orgNameAcr}]] zároveň spĺňa všetky požiadavky vyplývajúce zo zákona 69/2018 Z.z.
Každá osoba (fyzická aj právnická), ktorá môže svojím konaním ovplyvniť kybernetickú a informačnú bezpečnosť [[${orgNameAcr}]], je povinná dodržiavať ustanovenia tejto Politiky KIB a dokumentov, v ktorých sú ustanovenia Politiky KIB [[${orgNameAcr}]] detailnejšie rozpracované. Každý človek, ktorý má (môže mať) vplyv na KIB [[${orgNameAcr}]], je v súlade s jeho postavením vo vzťahu k informačným aktívam [[${orgNameAcr}]] a potrebami používať ich zaradený aspoň do jednej z bezpečnostných rol. Bezpečnostné roly špecifikujú oprávnenia a povinnosti, ktoré osoba zaradená do danej roly má vo vzťahu k informačným aktívam [[${orgNameAcr}]] a vzťahy s inými bezpečnostnými rolami. Vo [[${orgNameAcr}]] sú definované tieto bezpečnostné roly:
V prípade potreby môže manažér KIB Vedeniu [[${orgNameAcr}]] navrhnúť rozšírenie tohto zoznamu o nové roly.
Každý človek a organizačná zložka [[${orgNameAcr}]] je povinná vo svojej činnosti zohľadňovať relevantné požiadavky kybernetickej a informačnej bezpečnosti. Na zaistenie úloh v KIB vyplývajúcich [[${orgNameAcr}]] zo zákonov 69/2018 Z.z a 95/2019 Z.z [[${orgNameAcr}]]:
Postavenie a najdôležitejšie úlohy vedenia [[${orgNameAcr}]] a ustanovených orgánov v KIB sú:
Podstatou trvalého zabezpečovania potrebnej úrovne KIB vo [[${orgNameAcr}]] je správa rizík. Správa rizík umožňuje zistiť, ktoré aktíva [[${orgNameAcr}]] potrebuje chrániť, pred akými hrozbami, akým spôsobom a zaistiť zavedenie potrebných opatrení a udržiavanie ich účinnosti. Správa rizík je dlhodobý proces, ktorý pozostáva z analýzy rizík, vyhodnotenia identifikovaných rizík, návrhu a implementácie bezpečnostných opatrení, monitorovania účinnosti zavedených opatrení a celkového stavu KIB vo [[${orgNameAcr}]], auditu.24 Jednotlivé činnosti sa v správe rizík pravidelne s rôznou frekvenciou alebo podľa potreby opakujú.
Za správu rizík vo [[${orgNameAcr}]] zodpovedá na najvyššej úrovni Vedenie [[${orgNameAcr}]], riadi ju a koordinuje manažér KIB; za implementáciu opatrení podľa ich charakteru zodpovedajú vedúci pracovníci, vlastníci aktív a informatici; za dodržiavanie opatrení upravujúcich narábanie s aktívami zodpovedajú používatelia týchto aktív. Každá osoba, od ktorej závisí KIB [[${orgNameAcr}]], je oboznámená s konkrétnymi povinnosťami, ktoré v oblasti KIB má a je povinná ich dodržiavať.
[[${orgNameAcr}]] pri správe rizík postupuje podľa medzinárodnej normy BSI 200-3, využíva sa vysokoúrovňová analýza rizík (zameraná na správu KIB). Hodnoty dopadov hrozieb, rizík sa vo [[${orgNameAcr}]] vyjadrujú na škále NÍZKA, STREDNÁ, VYSOKÁ. Hodnota akceptovateľného rizika pre vyhodnocovanie rizík a návrh ich ošetrenia je na úrovni [[${ismsSetupModel.acceptableRiskLevel?.reading.toUpperCase()}]]. Pri výbere opatrení na ošetrenie identifikovaných rizík [[${orgNameAcr}]] uplatňuje zásadu primeranosti – náklady na ochranu aktíva musia byť primerané ujme, ktoré by [[${orgNameAcr}]] narušením aktíva utrpelo. Pri analýze rizík a výbere opatrení [[${orgNameAcr}]] využíva katalógy hrozieb a zraniteľností uvedené v kompendiu IT-Grundschutz a opatrenia kompendia IT-Grundschutz.
[[${orgNameAcr}]] (manažér KIB) vedie centrálnu dokumentáciu podľa §6 vyhlášky 95/2019 Z.z. obsahujúcu zoznam a popis aktív, hrozieb relevantných pre tieto aktíva, rizík vyplývajúcich z hrozieb voči aktívam, navrhovaných/implementovaných opatrení, osôb zodpovedných za jednotlivé aktíva, klasifikácie aktív.
[[${orgNameAcr}]] (manažér KIB a ním poverení zamestnanci a externí spolupracovníci) priebežne kontroluje stav a účinnosť opatrení, vyhodnocuje úroveň akceptovaných rizík, sleduje vývoj hrozieb a zraniteľností, testuje odolnosť systémov a sietí [[${orgNameAcr}]] voči potenciálnym útokom, podľa potreby iniciuje audit bezpečnostných opatrení, cielene zameranú analýzu rizík a na ich základe navrhuje prijatie potrebných opatrení.
Bezpečnosť informačných aktív [[${orgNameAcr}]] môže pozitívne alebo negatívne ovplyvniť každá osoba,
ktorá k nim má prístup.
Povinnosť dodržiavať Bezpečnostnú politiku a bezpečnostné opatrenia je uvedená v pracovnej zmluve a porušenie týchto povinností môže mať za následok disciplinárne konanie. Prijatí zamestnanci prechádzajú povinnými vstupnými školeniami, ktorých súčasťou sú aj základy KIB; sú zaradení do bezpečnostných rol a oboznámení s povinnosťami, ktoré zo zaradenia do konkrétnej roly vyplývajú. Zaradenie do roly (prípadne viacerých rol) vyplýva z pracovnej náplne zamestnanca, ktoré určuje jeho priamy nadriadený. Zmeny pracovnej náplne, preradenie zamestnanca na inú pozíciu, ukončenie pracovného pomeru sa musia bezodkladne prejaviť aj v úpravách oprávnení, zmenách rôl, prípadne vyradení zamestnanca z roly. Disciplinárny proces so zamestnancom, ktorý spôsobil bezpečnostný incident, je popísaný v Politike Zásady a postupy riešenia bezpečnostných incidentov.
[[${orgNameAcr}]] sa snaží o systematické zvyšovanie bezpečnostného povedomia a kompetencií v KIB svojich zamestnancov. Cieľom [[${orgNameAcr}]] je, aby každý jeho zamestnanec poznal význam KIB pre činnosť [[${orgNameAcr}]], poznal svoje povinnosti v KIB, vedel ich plniť a vedel na koho sa má obrátiť, ak narazí na problém KIB, ktorý presahuje jeho možnosti. Plán činnosti v KIB, ktorý každoročne schvaľuje vedenie [[${orgNameAcr}]] obsahuje aj plán vzdelávacích aktivít v KIB.
Cieľom tejto časti politiky KIB je zaistiť konzistentný a efektívny prístup k manažmentu bezpečnostných incidentov, vrátane oznamovania bezpečnostne relevantných udalostí a možných zraniteľností.
Bezpečnostne relevantná udalosť je udalosť, ktorá môže mať negatívny dopad na aktíva [[${orgNameAcr}]], bezpečnostný incident je udalosť, ktorá má negatívny dopad na aktíva [[${orgNameAcr}]].
Každý zamestnanec organizácie a v primeranej miere externý spolupracovník a zamestnanec tretej strany je povinný:
Prípravu na riešenie bezpečnostných incidentov ako aj samotné riešenie bezpečnostných incidentov vo [[${orgNameAcr}]] koordinuje manažér KIB.
Manažér KIB vedie evidenciu bezpečnostných incidentov vo [[${orgNameAcr}]], po závažných bezpečnostných incidentoch bude informovať Vedenie [[${orgNameAcr}]] o príčinách, priebehu, riešení a dopadoch bezpečnostného incidentu a v prípade potreby o návrhoch na nové alebo upravené bezpečnostné opatrenia a či zmeny Politiky KIB, prípadne špecifických politík [[${orgNameAcr}]].
Manažér KIB v pravidelných predkladá Vedeniu [[${orgNameAcr}]] po predchádzajúcom prerokovaní správu o stave KIB v organizácii, ktorá obsahuje prehľad a analýzu príčin bezpečnostných incidentov s navrhovanými riešeniami.
Manažér KIB (v spolupráci s inými zamestnancami [[${orgNameAcr}]] a prípadne externými špecialistami) vypracuje dokument Zásady a postupy riešenia bezpečnostných incidentov vo [[${orgNameAcr}]], ktorý Vedenie [[${orgNameAcr}]] vydá ako záväzný interný predpis. Manažér KIB spravuje tento dokument.
Aby Bezpečnostná politika [[${orgNameAcr}]] mohla byť základom KIB (ISMS) [[${orgNameAcr}]], musí odrážať aktuálny stav a potreby [[${orgNameAcr}]] v oblasti KIB. Za správu Bezpečnostnej politiky [[${orgNameAcr}]] zodpovedá manažér KIB, ktorý prostredníctvom garanta KIB predkladá Vedeniu [[${orgNameAcr}]] každoročne Výročnú správu o stave KIB vo [[${orgNameAcr}]]. Súčasťou Výročnej správy je návrh opatrení na riešenie zistených/pretrvávajúcich bezpečnostných problémov [[${orgNameAcr}]], ktorý je konkretizovaný v Návrhu plánu práce a rozpočtu KIB na ďalší rok (toto je potrebné zosúladiť s plánovacím cyklom [[${orgNameAcr}]]). V prípade mimoriadnych udalostí so závažným dopadom na KIB (bezpečnostný incident, kontrola, audit, zmena legislatívy, organizačné zmeny na [[${orgNameAcr}]], presťahovanie do iných priestorov, zavedenie nového systému a pod.), resp. na základe požiadaviek Vedenia [[${orgNameAcr}]], manažér KIB prostredníctvom garanta KIB predkladá Vedeniu [[${orgNameAcr}]] správu o udalosti (minulej, alebo budúcej), jej bezpečnostných dopadoch a navrhuje opatrenia na ošetrenie rizík, ktoré z nej vyplynuli/vyplynú. Opatrenia môžu znamenať zmenu ISMS, vrátane Bezpečnostnej politiky [[${orgNameAcr}]].
Bezpečnostná politika je verejný dokument, ktorý sa v primeranej miere vzťahuje na všetky osoby, ktoré pristupujú k informačným aktívam [[${orgNameAcr}]]. Zamestnanci [[${orgNameAcr}]], externí spolupracovníci, spolupracujúce organizácie a ostatné osoby, ktorých sa týkajú povinnosti vyplývajúce z Bezpečnostnej politiky musia byť s Bezpečnostnou politikou a jej zmenami primeraným spôsobom včas oboznámení.
Bezpečnostnú politiku [[${orgNameAcr}]] schválilo Vedenie [[${orgNameAcr}]] dňa _________________.