Minimálne bezpečnostné opatrenia

Od 1. januára 2025 nadobúda účinnosť novela zákona o kybernetickej bezpečnosti. V blízkom čase sa očakáva aj vydanie novej vyhlášky o bezpečnostných opatreniach, ktorá nahradí súčasnú vyhlášku č. 362/2018 Z. z., ako aj novej „sektorovej“ vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky, ktorá nahradí aktuálnu vyhlášku č. 179/2020 Z. z.

Pred vydaním týchto vyhlášok je dôležité sústrediť sa na implementáciu a pochopenie existujúcich predpisov. Centrálny portál kybernetickej bezpečnosti, označovaný ako Kyberportál, bude v tomto procese kľúčový. Je potrebné poznamenať, že Kyberportál nie je totožný s Jednotným informačným systémom kybernetickej bezpečnosti podľa príslušného zákona. Oprávnené subjekty, ako sú orgány verejnej moci, sú o ňom priebežne informované a dostávajú prístupové údaje. Po aktivácii účtu sa môže subjekt plne zapojiť do využívania jeho funkcií. V prípade otázok alebo potreby asistencie je možné obrátiť sa na naše pracovisko.

Každá organizácia alebo právnická osoba v zriaďovateľskej alebo zakladateľskej pôsobnosti orgánu riadenia uvedeného v § 5 ods. 2 písm. a) až d) zákona, ktorá patrí do Kategórie I, je povinná dodržiavať minimálne bezpečnostné opatrenia. Bezpečnostné opatrenia podľa § 20 ods. 2 zákona č. 69/2018 Z. z. (po novele) boli už predmetom diskusie. V nasledujúcej časti opätovne prejdeme bezpečnostné opatrenia uvedené vo vyhláške č. 179/2020 Z. z.

Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

Vyhláška č. 179/2020 Z. z. vydaná Úradom podpredsedu vlády Slovenskej republiky pre investície a informatizáciu dňa 22. júna 2020 stanovuje spôsob kategorizácie a obsah bezpečnostných opatrení pre informačné technológie verejnej správy. Príloha č. 2. k vyhláške stanovuje minimálne bezpečnostné opatrenia.

Minimálne bezpečnostné opatrenia pre Kategóriu 1

A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti – V organizácii kybernetickej a informačnej bezpečnosti treba určiť pracovníka, ktorý bude zodpovedný za koordináciu týchto oblastí. Ďalej treba vypracovať a implementovať interný riadiaci akt, ktorý bude záväzný pre organizáciu správcu. Tento akt obsahuje minimálne určenie povinností, zodpovedností a právomocí pracovníka zodpovedného za koordináciu kybernetickej a informačnej bezpečnosti, a taktiež základné zásady a opatrenia kybernetickej a informačnej bezpečnosti, ktoré organizácia správcu zaviedla a ktorým sa riadi.

B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti – Kontinuálny proces riadenia rizík v oblasti kybernetickej a informačnej bezpečnosti zahŕňa niekoľko kľúčových krokov. Je potrebné vypracovať analýzu rizík, ktorá identifikuje potenciálne hrozby a zraniteľnosti. Na základe výsledkov tejto analýzy sa navrhujú a prijímajú vhodné bezpečnostné opatrenia, ktoré slúžia na minimalizáciu identifikovaných rizík. Dôležitou súčasťou tohto procesu je aj perio­dické preskúmavanie rizík, ktoré zabezpečuje, že prijaté opatrenia sú stále efektívne a relevantné voči meniacej sa bezpečnostnej situácii.

C. Personálna bezpečnosť

Na pravidelné zvyšovanie bezpečnostného povedomia je potrebné zostaviť plán rozvoja bezpečnostného opatrenia, ktorý zahŕňa formu, obsah a rozsah nevyhnutných školení. Tieto vzdelávacie aktivity by sa mali vykonávať najmenej každé tri roky. Súčasťou procesu je taktiež hodnotenie účinnosti tohto plánu a realizovaných školení, vrátane ďalších aktivít, ktoré prispievajú k rozširovaniu bezpečnostného povedomia.

Pred tým, než zamestnanci a členovia externých tímov získajú prístup k informačným technológiám verejnej správy, je nevyh