Úloha kyber zločincov v podkopaní fungovania firiem je v súčasnosti enormne veľká.

Predstavte si, že napríklad dodávate elektrinu a zrazu, z akéhokoľvek dôvodu zlyhajú systémy. A nebudete ich vedieť nakopnúť ani zo zálohy. Napríklad v januári. To, že ľudia budú mrznúť, bude váš najmenší problém. Môžete sa pripraviť na žiadosti o finančné odškodné od klientov, ktorí museli odstaviť výrobu. A vaše reputácia a s ňou akékoľvek budúce zákazky budú ohrozené.

 

Zákon o kybernetickej bezpečnosti č. 69/2018 Z.z., ktorý zaviedol základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov v rámci firiem a štátnych inštitúcií nie je novinkou. Do 01.04.2020 museli firmy a štátne inštitúcie prijať bezpečnostné opatrenia.

 

Zákon o kybernetickej bezpečnosti nadobudol účinnosť 1. apríla 2018. Firmy a inštitúcie mali 2 roky na to, aby sa zosúladili so zákonom.

 

,,Prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb je povinný do 2 rokov odo dňa účinnosti tohto zákona prijať bezpečnostné opatrenia podľa § 20. Zároveň podľa § 19 ods. 2 prevádzkovatelia základnej služby musia do 2 rokov od účinnosti zákona zosúladiť aj všetky zmluvy uzavreté na výkon činnosti.

 

Patríte do týchto skupín ?

 

Zákon o kybernetickej bezpečnosti sa vzťahuje na organizácie, ktoré sú na základe identifikačných kritérií považované za prevádzkovateľa základnej služby. Do tohto zoznamu sa zaraďuje služba ktorá je uvedená v zozname základných služieb NBÚ (https://www.nbu.gov.sk/wp-content/uploads/kyberneticka-bezpecnost/zakladne-sluzby.htm) a :

- Závisí od sietí a informačných systémov a je vykonávaná aspoň v jednom sektore alebo podsektore,

- Je informačným systémom verejnej správy, alebo

- Je prvkom kritickej infraštruktúry.

 

Identifikačné kritéria prevádzkovanej služby sú definované vyhláškou Národného bezpečnostného úradu č. 164/2018.

 

Čo všetko je potrebné urobiť ?

  1. Registrácia

Organizácie, ktorých predmetom podnikania je činnosť uvedená v zozname základných služieb sú zároveň povinné skúmať prípadne prekročenie identifikačných kritérií.

V prípade prekročenia sú tieto organizácie povinné doručiť NBÚ registráciu.

Po registrácií úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľ základných služieb.

 

  1. Bezpečnostné opatrenia

Opatrenia podľa § 20 (1) Zákona sú :

- Úlohy, procesy, roly a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.

 

Technické opatrenia

Opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy

Organizačné opatrenia

Opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie

Personálne opatrenia

Podmnožina organizačných opatrení týkajúcich sa riadenia ľudských zdrojov

 

Minimálny rozsah bezpečnostných opatrení

Podľa § 20 ods. 4 Zákona bezpečnostné opatrenia musia zahŕňať najmenej :

  1. Detekciu kybernetických bezpečnostných incidentov
  2. Evidenciu kybernetických bezpečnostných incidentov
  3. Postupy riešenia a riešenie kybernetických bezpečnostných incidentov
  4. Určenie kontaktnej osoby pre prijímanie a evidenciu hlásení
  5. Pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania

 

Implementácia opatrení

Prevádzkovateľ základnej služby je povinný do 6 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.

 

Povinnosti prevádzkovateľa digitálnej služby sú podmnožinou povinností PZS (§22)

Oblasti bezpečnostných opatrení § 20 ods. 2 :

  1. Oblasť organizácia informačnej bezpečnosti
  2. Oblasť riadenia aktív, hrozieb a rizík
  3. Oblasť personálnej bezpečnosti
  4. Oblasť riadenia dodávateľských služieb, akvizície vývoja a údržby informačných systémov
  5. Oblasť technických zraniteľností systémov a zariadení
  6. Oblasť riadenia bezpečnosti sietí a informačných systémov
  7. Oblasť riadenia prevádzky
  8. Oblasť riadenia prístupov
  9. Oblasť kryptografických opatrení
  10. Oblasť riešenia kybernetických bezpečnostných incidentov
  11. Oblasť monitorovania, testovania bezpečnosti a bezpečnostných auditov
  12. Oblasť fyzickej bezpečnosti a bezpečnosti prostredia
  13. Oblasť riadenia kontinuity procesov

 

  1. Dokumentácia

Všeobecné bezpečnostné opatrenia sa prijímajú a zdokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17. Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenie bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.

 

Podľa zákona č. 69/2018 definovaný zoznam bezpečnostnej dokumentácie :

- Bezpečnostná stratégia kybernetickej bezpečnosti

- Bezpečnostná politika kybernetickej bezpečnosti

- Klasifikácia informácií a kategorizácia sietí a informačných systémov

- Vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení

- Analýza rizík kybernetickej bezpečnosti

- Správu o výsledkoch auditu kybernetickej bezpečnosti

 

 

 

 

autro: Monika Štúriková, Bc., Ochrana osobných údajov 

Zákonov je veľa a stále sa menia, vyznať sa v nich stojí veľa času. My Vám ho ušetríme


Obrancov Mieru 354/32
Dubnica nad Váhom