Ahoj! Som Systém, program vyvinutý na fakulte Matematiky fyziky a informatiky Univerzity Komenského. Mojou úlohou je Vám pomôcť pri plnení povinností, ktoré pre Vašu organizáciu vyplývajú z nasledujúcich zákonov:
Skratka | Odkaz na SlovLex | |
---|---|---|
Zákon o kybernetickej bezpečnosti | ZoKB | 69/2018 Z. z |
Zákona o informačných technológiach verejnej správy | ZoITVS | 95/2019 Z. z |
Tieto zákony Vám ukladajú povinnosti v oblasti kybernetickej a informačnej bezpečnosti (KIB), ktoré ste povinný splniť – súčasne ako prevádzkovateľ základnej služby (podľa ZoKB) a správca informačných technológií verejnej správy (podľa ZoITVS).
Informačná technológia je technológia, ktorá slúži na spracúvanie údajov v elektronickej podobe, podporuje služby verejnej správy. Orgán riadenia, ktorý tieto technológie používa, sa nazýva správca.
Informačný systém je funkčný celok, ktorý zabezpečuje cieľavedomú činnosť za pomoci informačných technológií. Orgán riadenia, ktorý vykonáva informačnú činnosť, sa nazýva prevádzkovateľ.
Pre kompletné definície pojmov pozri do zákona.
Zákon ZoKB a ZoITVS Vám ukladajú minimálne bezpečnostné opatrenia, ktoré musíte v rámci svojej organizácie zaviesť: jednak ako poskytovateľ základnej služby a jednak ako správca ITVS a prevádzkovateľ ISVS.
Ako prevádzkovateľ základnej služby ste povinný zaviesť a dodržiavať všeobecné bezpečnostné opatrenia (určené ZoKB a jeho vykonávacími predpismi) a sektorové bezpečnostné opatrenia (určené ZoITVS a jeho vykonávacími predpismi). Tieto bezpečnostné opatrenia musia zohľadňovať klasifikáciu a kategorizáciu systémov – to znamená od závažnosti rizík vyplývajúcich z hrozieb voči aktívam systémov organizácie. Ktoré bezpečnostné opatrenia sú relevantné je výsledkom analýzy rizík.
Aktívum je čokoľvek, čo má pre Vašu organizáciu význam a je potreba to chrániť. Príkladom môže byť fyzická osoba, informácia v digitálnej alebo písomnej forme, vedomosť (know-how), budova, počítač, server a pod.
Hrozba je potenciálna možnosť, ktorá môže priamo alebo nepriamo negatívne ovplyvniť systém alebo aktíva. Príkladom môže byť výpadok elektrickej siete, napadnutie škodlivým kódom, nespoľahlivý komunikačný kanál a pod.
Analýza rizík je proces identifikovania a analyzovania potenciálnych hrozieb voči systémom a aktívam.
Bezpečnostné opatrenie je technické, organizačné alebo právne riešenie, ktoré úplne/čiastočne odstraňuje zraniteľnosť, znižuje pravdepodobnosť naplnenia hrozby alebo v prípade naplnenia hrozby znižuje rozsah dopadu a škôd.
Pre detailnejšie vysvetlenie pozri slovník.
ZoKB Vám ukladá povinnosť do 12 mesiacov prijať a dodržiavať bezpečnostné opatrenia určené ZoKB a ZoITVS. Ste povinný riešiť a hlásiť bezpečnostné incidenty a poskytnúť súčinnosť úradu a ústrednému orgánu pri vyšetrovaní bezpečnostných incidentov. V prípade, že Vám systémy poskytujú dodávatelia (ak nie sú prevádzkovateľmi základnej služby), musíte zmluvne zaistiť dodržiavanie bezpečnostných opatrení, ktoré vyplývajú zo ZoKB a máte povinnosť ich informovať o bezpečnostnom incidente v nevyhnutnom rozsahu. Pozri ZoKB ¶ 19.
ZoKB rámcovo stanovuje oblasti KIB, pre ktoré sa majú prijať bezpečnostné opatrenia. Oblastí je šestnásť (ZoKB ¶ 20. odsek 3 ):
K ZoKB nadväzuje jeho vykonávací predpis 362/2018 Z. z., ktorý ustanovuje obsah bezpečnostných opatrení a obsah a štruktúru bezpečnostnej dokumentácie. Z oblastí rámcovo stanovených ZoKB sú pre kategóriu I. povinné oblasti e), k), m) a zriadenie manažéra KIB .
ZoITVS od Vás vyźaduje, aby ste zabezpečovali plynulú, bezpečnú a spoľahlivú prevádzku ITVS, ktoré máte zabezpečiť proti zneužitiu a aby ste zabezpečili riadenie bezpečnosti v organizácii. Explicitne sa od Vás ¶ 19 odsek 1, vyžaduje, aby ste zaviedli systém riadenia informačnej bezpečnosti, vypracovali a prijali bezpečnostnú politiku a zriadili riadiacu, výkonnú a kontrolnú zložku riadenia bezpečnosti.
Riadiaca zložka iniciuje bezpečnostný proces v organizácii, prerokováva a schvaľuje bezpečnostné opatrenia, dostáva hlásenia o KIB a pod.
Výkonná zložka plánuje, koordinuje a vyhodnocuje KIB, vypracováva dokumenty v KIB, realizuje bezpečnostné opatrenia a pod.
Kontrólna zložka kontroluje dodržiavanie povinností, ktoré plynú z legislatívy v oblasti KIB a hodnoti stav KIB v organizácii.
K ZoITVS nadväzuje jeho vykonávací predpis 179/2020 Z. z., ktorý ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení. Z oblastí rámcovo stanovených ZoKB vyplýva z vyhlášky pre kategóriu I. mnoho povinností v takmer každej oblasti.
Požiadaviek ZoKB a ZoITVS je mnoho, podrobnejšie sa nimi budeme zaoberať pri zavádzaní ISMS.
Postup rozdelíme na dve veľké časti, najprv v organizácii zavediete systém riadenia informačnej bezpečnosti a potom spustite bezpečnostný proces.
Systém riadenia informačnej bezpečnosti (angl. information security management system, ISMS) je súbor nástrojov a metód na dosiahnutie systematického riešenia informačnej bezpečnosti v organizácii. Podkladom pre ISMS je politika kybernetickej a informačnej bezpečnosti (KIB).
Politika kybernetickej a informačnej bezpečnosti je dokument, v ktorom vo všeobecnosti popíšete, ako je zavedená KIB v organizácií; aký účel plní pre ciele organizácie; čo chránite, pred čím a akým spôsobom; organizačnú štruktúru a vynaložené zdroje pre KIB. Na to, aby ste mohli napísať politiku kybernetickej a informačnej bezpečnosti, musíte urobiť vysokoúrovňovú analýzu rizík. Pomocou vysokoúrovňovej analýzy rizík:
Vďaka vysokoúrovňovej analýze rizík budete môcť navrhnúť a prijať bezpečnostné opatrenia, ktoré sa tiež premietnu do bezpečnostnej politiky a to najma tak, že:
Bezpečnostný proces slúži na kontinuálne spravovanie bezpečnostných rizík a spustite ho po zavedení ISMS. Sústredíte sa na kľúčové systémy vašej organizácie a pre každý z nich vypracujete bezpečnostný projekt - t.j. vykonáte analýzu rizík, spravíte podrobnú inventarizáciu aktív, navrhnete a implementujete bezpečnostné opatrenia. Samozrejme, budete potrebovať pomoc vlastníkov systémov. Vlastník je osoba, ktorá zodpovedá za systém, aktívum a pod., napríklad manažér KIB je vlastníkom bezpečnostnej politky, je za ňu zodpovedný a slúži ako kontaktná osoba.
Ďalej bude potreba revidivať dokumenty Vašej organizácie, ktoré súvisia s KIB, napr. aj samotnú bezpečnostnú politiku, prevádzkový poriadok budovy a IT, klasifikovanie informácií a pod. V dokumentoch podrobnejšie rozpracujete rámcove ustanovania bezpečnostnej politiky v podobe politík 2. úrovne. Preškolíte zamestnancov v KIB, oboznámite ich o zmenách a zavediete systém vzdelávania (niečo na štýl BOZP). Preveríte zmluvy s dodávateľmi/poskytovateľmi služieb a pridáte dodatky povinnosti v KIB vyplývajúce z legislatívy.
Nakoniec budete plánovať ďalšie činnosti v KIB a vypracujete bezpečnostné projekty pre zvyšné systémy v organizácií. Pravidelne budete kontrolovať stav KIB, účinnosť a relevantnosť zavedených opatrení, prijímať nové opatrenia voči novým hrozbám. Tiež v pravidelných intervaloch budete predkladať vedeniu výročné správy o stave KIB v organizácií.
Oboznámili sme Vás zhruba o problematike KIB, ktorou sa budete musieť zaoberať. Ďalej môžete postupovať v časti 'Zavádzanie ISMS'. Tam Vás prevedieme procesom zavádzania systému riadenia informačnej bezpečnosti, získame od Vás niektoré potrebné informácie a nakoniec nám vznikne politika KIB.
Pri vypracovávaní týchto materiálov sme postupovali podľa štandardov BSI. V rôznych častiach sa budeme odkazovať na konkrétne kapitoly, z ktorých sme čerpali, keby ste si chceli prečítať dané témy detailnejšie.