Úvodná stránka Otázka: Prečo sa naša organizácia musí zaoberať kybernetickou a informačnou bezpečnosťou? Otázka: Ktoré bezpečnostné opatrenia musíme zaviesť podľa ZoKB a ZoITVS? Otázka: Je toho veľa, ako vieme splniť všetky legislatívne požiadavky? Začíname

Úvodná stránka

Ahoj! Som Systém, program vyvinutý na fakulte Matematiky fyziky a informatiky Univerzity Komenského. Mojou úlohou je Vám pomôcť pri plnení povinností, ktoré pre Vašu organizáciu vyplývajú z nasledujúcich zákonov:

Skratka Odkaz na SlovLex
Zákon o kybernetickej bezpečnosti ZoKB 69/2018 Z. z
Zákona o informačných technológiach verejnej správy ZoITVS 95/2019 Z. z

Tieto zákony Vám ukladajú povinnosti v oblasti kybernetickej a informačnej bezpečnosti (KIB), ktoré ste povinný splniť – súčasne ako prevádzkovateľ základnej služby (podľa ZoKB) a správca informačných technológií verejnej správy (podľa ZoITVS).


Otázka: Prečo sa naša organizácia musí zaoberať kybernetickou a informačnou bezpečnosťou?

Základným dôvodom je dosiahnuť aspoň základnú úroveň ochrany Vašich systémov a údajov. Ochraňovať ich musíte, aby ste počas svojej každodennej práce: Ďalším dôvodom sú legislatívne požiadavky, keďže:

Od Národného bezpečnostného úradu (NBÚ) ste mali dostať oznámenie o zaradení do registra prevádzkovateľov základných služieb - odkaz na zoznam prevádzkovateľov základných služieb . Rozhodnute, ako zaraďuje NBÚ niekoho do zoznamy je obsiahnuté v ZoKB ("Úrad" je NBÚ):
§ 5 Úrad
(1) Úrad v oblasti kybernetickej bezpečnosti
    k) na základe oznámenia ústredného orgánu, prevádzkovateľa základnej služby, poskytovateľa digitálnej služby alebo z vlastnej iniciatívy určuje
    1. základnú službu a zaraďuje ju do zoznamu základných služieb,
    2. digitálnu službu a zaraďuje ju do zoznamu digitálnych služieb,
    3. poskytovateľa digitálnej služby a zaraďuje ho do registra poskytovateľov digitálnych služieb,
    4. prevádzkovateľa základnej služby a zaraďuje ho do registra prevádzkovateľov základných služieb,

Zo ZoKB:
§ 3 Vymedzenie základných pojmov
  • l) základnou službou služba, ktorá je zaradená v zozname základných služieb a
    1. závisí od sietí a informačných systémov a je činnosťou aspoň v jednom sektore alebo podsektore podľa prílohy č. 1, alebo
    2. je prvkom kritickej infraštruktúry,9)
  • m) prevádzkovateľom základnej služby orgán verejnej moci alebo osoba, ktorá prevádzkuje aspoň jednu službu podľa písmena l),
Podľa prílohy č.1 ste zaradení do sektoru 10. Verejná správa a podsektoru Informačné systémy verejnej správy, ktorého ústredný orgán je Ministerstvo investícií, regionálneho rozvoja a informatizácie.

ZoITVS rozumie pod pojmom orgán riadenia:
§ 5 Organizácia správy informačných technológií verejnej správy
(2) Orgánom riadenia na účely tohto zákona je
  • c) obec a vyšší územný celok,

Informačná technológia je technológia, ktorá slúži na spracúvanie údajov v elektronickej podobe, podporuje služby verejnej správy. Orgán riadenia, ktorý tieto technológie používa, sa nazýva správca.

Informačný systém je funkčný celok, ktorý zabezpečuje cieľavedomú činnosť za pomoci informačných technológií. Orgán riadenia, ktorý vykonáva informačnú činnosť, sa nazýva prevádzkovateľ.

Pre kompletné definície pojmov pozri do zákona.

Zákon ZoKB a ZoITVS Vám ukladajú minimálne bezpečnostné opatrenia, ktoré musíte v rámci svojej organizácie zaviesť: jednak ako poskytovateľ základnej služby a jednak ako správca ITVS a prevádzkovateľ ISVS.

Ako prevádzkovateľ základnej služby ste povinný zaviesť a dodržiavať všeobecné bezpečnostné opatrenia (určené ZoKB a jeho vykonávacími predpismi) a sektorové bezpečnostné opatrenia (určené ZoITVS a jeho vykonávacími predpismi). Tieto bezpečnostné opatrenia musia zohľadňovať klasifikáciu a kategorizáciu systémov – to znamená od závažnosti rizík vyplývajúcich z hrozieb voči aktívam systémov organizácie. Ktoré bezpečnostné opatrenia sú relevantné je výsledkom analýzy rizík.

Otázka: Ktoré bezpečnostné opatrenia musíme zaviesť podľa ZoKB a ZoITVS?

ZoKB Vám ukladá povinnosť do 12 mesiacov prijať a dodržiavať bezpečnostné opatrenia určené ZoKB a ZoITVS. Ste povinný riešiť a hlásiť bezpečnostné incidenty a poskytnúť súčinnosť úradu a ústrednému orgánu pri vyšetrovaní bezpečnostných incidentov. V prípade, že Vám systémy poskytujú dodávatelia (ak nie sú prevádzkovateľmi základnej služby), musíte zmluvne zaistiť dodržiavanie bezpečnostných opatrení, ktoré vyplývajú zo ZoKB a máte povinnosť ich informovať o bezpečnostnom incidente v nevyhnutnom rozsahu. Pozri ZoKB ¶ 19.

ZoKB rámcovo stanovuje oblasti KIB, pre ktoré sa majú prijať bezpečnostné opatrenia. Oblastí je šestnásť (ZoKB ¶ 20. odsek 3 ):

  1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
  2. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
  3. personálnej bezpečnosti,
  4. riadenia prístupov,
  5. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
  6. bezpečnosti pri prevádzke informačných systémov a sietí,
  7. hodnotenia zraniteľností a bezpečnostných aktualizácií,
  8. ochrany proti škodlivému kódu,
  9. sieťovej a komunikačnej bezpečnosti,
  10. akvizície, vývoja a údržby informačných sietí a informačných systémov,
  11. zaznamenávania udalostí a monitorovania,
  12. fyzickej bezpečnosti a bezpečnosti prostredia,
  13. riešenia kybernetických bezpečnostných incidentov,
  14. kryptografických opatrení,
  15. kontinuity prevádzky,
  16. auditu, riadenia súladu a kontrolných činností
Súčasťou bezpečnostných opatrení je určenie manažéra KIB zodpovedného za KIB v organizácií, detekciu, evidenciu a riešenie bezpečnostných incidentov. Tiež ZoKB vyžaduje určenie kontaktnej osoby pre nahlasovanie KIB incidentov a pripojenie sa do komunikačného systému NBÚ pre hlásenie a riešenie KIB incidentov. ZoKB ¶ 20. odsek 4

K ZoKB nadväzuje jeho vykonávací predpis 362/2018 Z. z., ktorý ustanovuje obsah bezpečnostných opatrení a obsah a štruktúru bezpečnostnej dokumentácie. Z oblastí rámcovo stanovených ZoKB sú pre kategóriu I. povinné oblasti e), k), m) a zriadenie manažéra KIB .


ZoITVS od Vás vyźaduje, aby ste zabezpečovali plynulú, bezpečnú a spoľahlivú prevádzku ITVS, ktoré máte zabezpečiť proti zneužitiu a aby ste zabezpečili riadenie bezpečnosti v organizácii. Explicitne sa od Vás ¶ 19 odsek 1, vyžaduje, aby ste zaviedli systém riadenia informačnej bezpečnosti, vypracovali a prijali bezpečnostnú politiku a zriadili riadiacu, výkonnú a kontrolnú zložku riadenia bezpečnosti.

Ďalej sa od Vás požaduje, aby ste identifikovali kľúčové prvky vašej organizácie, vykonali analýzu rizík, zabezpečili správu rizík a určili postupy pri riešení bezpečnostných incidentov. Pred tým, ako zavediete Váš systém do prevádzky, musíte overiť splnenie bezpečnostných požiadaviek na ISVS.

K ZoITVS nadväzuje jeho vykonávací predpis 179/2020 Z. z., ktorý ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení. Z oblastí rámcovo stanovených ZoKB vyplýva z vyhlášky pre kategóriu I. mnoho povinností v takmer každej oblasti.

Požiadaviek ZoKB a ZoITVS je mnoho, podrobnejšie sa nimi budeme zaoberať pri zavádzaní ISMS.


Otázka: Je toho veľa, ako vieme splniť všetky legislatívne požiadavky?

Postup rozdelíme na dve veľké časti, najprv v organizácii zavediete systém riadenia informačnej bezpečnosti a potom spustite bezpečnostný proces.

Systém riadenia informačnej bezpečnosti (angl. information security management system, ISMS) je súbor nástrojov a metód na dosiahnutie systematického riešenia informačnej bezpečnosti v organizácii. Podkladom pre ISMS je politika kybernetickej a informačnej bezpečnosti (KIB).

Politika kybernetickej a informačnej bezpečnosti je dokument, v ktorom vo všeobecnosti popíšete, ako je zavedená KIB v organizácií; aký účel plní pre ciele organizácie; čo chránite, pred čím a akým spôsobom; organizačnú štruktúru a vynaložené zdroje pre KIB. Na to, aby ste mohli napísať politiku kybernetickej a informačnej bezpečnosti, musíte urobiť vysokoúrovňovú analýzu rizík. Pomocou vysokoúrovňovej analýzy rizík:

  1. identifikujete hlavné aktíva organizácie,
  2. identifikujete hrozby voči týmto aktívam
  3. ohodnotíte relevantné riziká vyplývajúce z týchto hrozieb a
  4. stanovíte úroveň akceptovateľného rizika.

Vďaka vysokoúrovňovej analýze rizík budete môcť navrhnúť a prijať bezpečnostné opatrenia, ktoré sa tiež premietnu do bezpečnostnej politiky a to najma tak, že:

Bezpečnostný proces slúži na kontinuálne spravovanie bezpečnostných rizík a spustite ho po zavedení ISMS. Sústredíte sa na kľúčové systémy vašej organizácie a pre každý z nich vypracujete bezpečnostný projekt - t.j. vykonáte analýzu rizík, spravíte podrobnú inventarizáciu aktív, navrhnete a implementujete bezpečnostné opatrenia. Samozrejme, budete potrebovať pomoc vlastníkov systémov. Vlastník je osoba, ktorá zodpovedá za systém, aktívum a pod., napríklad manažér KIB je vlastníkom bezpečnostnej politky, je za ňu zodpovedný a slúži ako kontaktná osoba.

Ďalej bude potreba revidivať dokumenty Vašej organizácie, ktoré súvisia s KIB, napr. aj samotnú bezpečnostnú politiku, prevádzkový poriadok budovy a IT, klasifikovanie informácií a pod. V dokumentoch podrobnejšie rozpracujete rámcove ustanovania bezpečnostnej politiky v podobe politík 2. úrovne. Preškolíte zamestnancov v KIB, oboznámite ich o zmenách a zavediete systém vzdelávania (niečo na štýl BOZP). Preveríte zmluvy s dodávateľmi/poskytovateľmi služieb a pridáte dodatky povinnosti v KIB vyplývajúce z legislatívy.

Nakoniec budete plánovať ďalšie činnosti v KIB a vypracujete bezpečnostné projekty pre zvyšné systémy v organizácií. Pravidelne budete kontrolovať stav KIB, účinnosť a relevantnosť zavedených opatrení, prijímať nové opatrenia voči novým hrozbám. Tiež v pravidelných intervaloch budete predkladať vedeniu výročné správy o stave KIB v organizácií.

Začíname

Oboznámili sme Vás zhruba o problematike KIB, ktorou sa budete musieť zaoberať. Ďalej môžete postupovať v časti 'Zavádzanie ISMS'. Tam Vás prevedieme procesom zavádzania systému riadenia informačnej bezpečnosti, získame od Vás niektoré potrebné informácie a nakoniec nám vznikne politika KIB.

Pri vypracovávaní týchto materiálov sme postupovali podľa štandardov BSI. V rôznych častiach sa budeme odkazovať na konkrétne kapitoly, z ktorých sme čerpali, keby ste si chceli prečítať dané témy detailnejšie.