Úloha kyber zločincov v podkopaní fungovania firiem je v súčasnosti enormne veľká.
Predstavte si, že napríklad dodávate elektrinu a zrazu, z akéhokoľvek dôvodu zlyhajú systémy. A nebudete ich vedieť nakopnúť ani zo zálohy. Napríklad v januári. To, že ľudia budú mrznúť, bude váš najmenší problém. Môžete sa pripraviť na žiadosti o finančné odškodné od klientov, ktorí museli odstaviť výrobu. A vaše reputácia a s ňou akékoľvek budúce zákazky budú ohrozené.
Zákon o kybernetickej bezpečnosti č. 69/2018 Z.z., ktorý zaviedol základné bezpečnostné požiadavky a opatrenia dôležité pre koordinovanú ochranu informačných, komunikačných a riadiacich systémov v rámci firiem a štátnych inštitúcií nie je novinkou. Do 01.04.2020 museli firmy a štátne inštitúcie prijať bezpečnostné opatrenia.
Zákon o kybernetickej bezpečnosti nadobudol účinnosť 1. apríla 2018. Firmy a inštitúcie mali 2 roky na to, aby sa zosúladili so zákonom.
,,Prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb je povinný do 2 rokov odo dňa účinnosti tohto zákona prijať bezpečnostné opatrenia podľa § 20. Zároveň podľa § 19 ods. 2 prevádzkovatelia základnej služby musia do 2 rokov od účinnosti zákona zosúladiť aj všetky zmluvy uzavreté na výkon činnosti.
Patríte do týchto skupín ?
Zákon o kybernetickej bezpečnosti sa vzťahuje na organizácie, ktoré sú na základe identifikačných kritérií považované za prevádzkovateľa základnej služby. Do tohto zoznamu sa zaraďuje služba ktorá je uvedená v zozname základných služieb NBÚ (https://www.nbu.gov.sk/wp-content/uploads/kyberneticka-bezpecnost/zakladne-sluzby.htm) a :
- Závisí od sietí a informačných systémov a je vykonávaná aspoň v jednom sektore alebo podsektore,
- Je informačným systémom verejnej správy, alebo
- Je prvkom kritickej infraštruktúry.
Identifikačné kritéria prevádzkovanej služby sú definované vyhláškou Národného bezpečnostného úradu č. 164/2018.
Čo všetko je potrebné urobiť ?
Organizácie, ktorých predmetom podnikania je činnosť uvedená v zozname základných služieb sú zároveň povinné skúmať prípadne prekročenie identifikačných kritérií.
V prípade prekročenia sú tieto organizácie povinné doručiť NBÚ registráciu.
Po registrácií úrad zaradí základnú službu do zoznamu základných služieb a jej prevádzkovateľa do registra prevádzkovateľ základných služieb.
Opatrenia podľa § 20 (1) Zákona sú :
- Úlohy, procesy, roly a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov.
Technické opatrenia
Opatrenia na zníženie bezpečnostných rizík pomocou prostriedkov fyzickej a technologickej povahy
Organizačné opatrenia
Opatrenia na zníženie bezpečnostných rizík pomocou zmien procesov a úpravou dokumentácie
Personálne opatrenia
Podmnožina organizačných opatrení týkajúcich sa riadenia ľudských zdrojov
Minimálny rozsah bezpečnostných opatrení
Podľa § 20 ods. 4 Zákona bezpečnostné opatrenia musia zahŕňať najmenej :
Implementácia opatrení
Prevádzkovateľ základnej služby je povinný do 6 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.
Povinnosti prevádzkovateľa digitálnej služby sú podmnožinou povinností PZS (§22)
Oblasti bezpečnostných opatrení § 20 ods. 2 :
Všeobecné bezpečnostné opatrenia sa prijímajú a zdokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17. Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenie bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu.
Podľa zákona č. 69/2018 definovaný zoznam bezpečnostnej dokumentácie :
- Bezpečnostná stratégia kybernetickej bezpečnosti
- Bezpečnostná politika kybernetickej bezpečnosti
- Klasifikácia informácií a kategorizácia sietí a informačných systémov
- Vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení
- Analýza rizík kybernetickej bezpečnosti
- Správu o výsledkoch auditu kybernetickej bezpečnosti
autro: Monika Štúriková, Bc., Ochrana osobných údajov