179/2020 Z.z.
VYHLÁŠKA
Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu
z 22. júna 2020,
ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných
technológií verejnej správy
Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu podľa
§ 31 písm. a) a i) zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej
správe a o zmene a doplnení niektorých zákonov (ďalej len "zákon") ustanovuje:
§ 1
Základné ustanovenia
(1) Táto vyhláška ustanovuje
a) kategórie informačných technológií verejnej
správy a podrobnosti o spôsobe zaraďovania do týchto kategórií s použitím klasifikácie
informácií a kategorizácie sietí a informačných systémov podľa osobitného predpisu1)
podľa § 11 ods. 4 zákona,
b) podrobnosti o bezpečnosti informačných technológií verejnej správy podľa § 18
až 23 zákona, obsahu bezpečnostných opatrení, obsahu a štruktúre bezpečnostného projektu
a rozsahu bezpečnostných opatrení v závislosti od klasifikácie informácií a od kategorizácie
sietí a informačných systémov.
(2) Aktíva informačných technológií verejnej správy sa identifikujú a udržiavajú
podľa prílohy č. 1 so zreteľom na ich nedostupnosť alebo zníženú kvalitu, ktoré môžu
mať zásadný vplyv na poskytovanie služieb verejnej správy, služieb vo verejnom záujme
alebo verejných služieb.
(3) Vo vzťahu k informačným technológiám verejnej správy sú realizované bezpečnostné
opatrenia aspoň na úrovni minimálnych bezpečnostných opatrení danej kategórie.
(4) Na splnenie požiadaviek zákona a tejto vyhlášky sa poskytne správcovi súbor
materiálov, ktorý obsahuje šablóny a vzory dokumentácie bezpečnosti informačných
technológií verejnej správy, návody, školiace materiály a ukážky.
§ 2
Bezpečnostné opatrenia
(1) Bezpečnostné opatrenia informačných technológií verejnej správy tvoria
minimálne bezpečnostné opatrenia troch kategórií pre jednotlivé oblasti podľa prílohy
č. 2.
(2) Pri duplicite alebo nekompatibilite minimálnych bezpečnostných opatrení
rôznych kategórií, ktoré môžu byť aplikované na konkrétne informačné technológie
verejnej správy, majú prednosť ustanovenia upravujúce opatrenia vyššej kategórie.
(3) Ak sa aplikuje bezpečnostné opatrenie aj podľa osobitného predpisu,2) aplikuje
sa bezpečnostné opatrenie podľa zákona, ak jeho cieľom je dosiahnuť vyššiu úroveň
bezpečnosti sietí a informačných systémov ako podľa osobitného predpisu.2)
(4) Bezpečnostný projekt informačných systémov verejnej správy sa vypracuje
a implementuje podľa prílohy č. 3.
§ 3
Minimálne bezpečnostné opatrenia
(1) Minimálne bezpečnostné opatrenia upravuje príloha č. 2 a sú rozdelené do
Kategórie I, Kategórie II a Kategórie III v rámci jednotlivých oblastí kybernetickej
bezpečnosti a informačnej bezpečnosti.
(2) Minimálne bezpečnostné opatrenia Kategórie I jednotlivých oblastí kybernetickej
bezpečnosti a informačnej bezpečnosti vo vzťahu k informačným technológiám verejnej
správy sa vzťahujú na
a) obec do 6000 obyvateľov,
b) obec so štatútom mesta do 6000 obyvateľov,
c) právnickú osobu v zriaďovateľskej pôsobnosti alebo zakladateľskej pôsobnosti orgánu
riadenia podľa § 5 ods. 2 písm. a) až d) zákona, ktorá nie je uvedená v odsekoch
3 a 4,
d) osobu podľa § 5 ods. 2 písm. g) zákona,
e) komoru podľa § 5 ods. 2 písm. f) zákona.
(3) Minimálne bezpečnostné opatrenia Kategórie I a Kategórie II jednotlivých
oblastí kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu k informačným
technológiám verejnej správy sa vzťahujú na
a) obec nad 6000 obyvateľov,
b) obec so štatútom mesta nad 6000 obyvateľov okrem krajských miest,3)
c) mestskú časť s právnou subjektivitou,4)
d) Kanceláriu verejného ochrancu práv,
e) Úrad komisára pre deti,
f) Úrad komisára pre osoby so zdravotným postihnutím,
g) Radu pre vysielanie a retransmisiu,
h) prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete
a informačné systémy sú zaradené do Kategórie I alebo Kategórie II podľa osobitného
predpisu1) neuvedeného v odseku 4.
(4) Minimálne bezpečnostné opatrenia Kategórie I, Kategórie II a Kategórie
III jednotlivých oblastí kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu
k informačným technológiám verejnej správy sa vzťahujú na
a) obec, ktorá je aj krajským
mestom,3)
b) samosprávny kraj,
c) ministerstvo a ostatný ústredný orgán štátnej správy,5)
d) Úrad pre reguláciu sieťových odvetví,
e) Úrad pre reguláciu elektronických komunikácií a poštových služieb,
f) Najvyšší kontrolný úrad Slovenskej republiky,
g) Úrad pre dohľad nad zdravotnou starostlivosťou,
h) Úrad na ochranu osobných údajov Slovenskej republiky,
i) Generálnu prokuratúru Slovenskej republiky,
j) Dopravný úrad,
k) Ústav pamäti národa,
l) Tlačovú agentúru Slovenskej republiky,
m) Rozhlas a televíziu Slovenska,
n) Kanceláriu Súdnej rady Slovenskej republiky,
o) Kanceláriu Najvyššieho súdu Slovenskej republiky,
p) Kanceláriu Ústavného súdu Slovenskej republiky,
q) Kanceláriu prezidenta Slovenskej republiky,
r) Kanceláriu Národnej rady Slovenskej republiky,
s) Finančné riaditeľstvo Slovenskej republiky,
t) Národnú agentúru pre sieťové a elektronické služby,
u) Zbor väzenskej a justičnej stráže,
v) DataCentrum Ministerstva financií Slovenskej republiky,
w) DataCentrum elektronizácie územnej samosprávy Slovenska,
x) Sociálnu poisťovňu,
y) zdravotnú poisťovňu,
z) Národné centrum zdravotníckych informácií,
aa) prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete
a informačné systémy sú zaradené do Kategórie III podľa osobitného predpisu.1)
(5) Minimálne bezpečnostné opatrenia konkrétnej kategórie vo vzťahu k informačným
technológiám verejnej správy podľa odsekov 2 až 4 sa môžu určiť aj pre iný štátny
orgán.
§ 4
Spoločné ustanovenia
(1) Za bezpečnosť informačných technológií verejnej správy je zodpovedný jeho
správca. Ak je na bezpečnosť informačných technológií verejnej správy vhodné prijať
iný súbor opatrení, ako sú opatrenia uvedené v tejto vyhláške, zmeny v rozsahu opatrení
správca zadokumentuje, odôvodní a tieto zmeny schválené štatutárnym orgánom zašle
orgánu vedenia.
(2) Ak sa v tejto vyhláške ustanovuje použitie postupu podľa technickej normy,
slovenskej technickej normy, európskeho normalizačného produktu alebo európskej normy,
je možné postupovať aj podľa ich ekvivalentu, ak sa takýmto postupom dosiahne rovnaký
výsledok a dodržia sa požiadavky podľa tejto vyhlášky. Pri pochybnostiach o vhodnosti
použitia ekvivalentnej normy alebo špecifikácie podľa prvej vety je rozhodujúce vyjadrenie
orgánu vedenia k možnosti ich použitia.
§ 5
Prechodné ustanovenia
(1) V organizácii správcu, ktorý je zriadený alebo založený pred dňom účinnosti
tejto vyhlášky, sa táto vyhláška vykoná do dvoch rokov odo dňa nadobudnutia účinnosti
tejto vyhlášky.
(2) V organizácii správcu, ktorý je zriadený alebo založený po nadobudnutí
účinnosti tejto vyhlášky, sa táto vyhláška vykoná do 12 mesiacov odo dňa zriadenia
alebo založenia organizácie.
(3) V organizácii správcu podľa § 3 ods. 2 sa prijmú vnútorné riadiace akty
vo forme dokumentov schválených vedením podľa prílohy č. 2 do jedného roka odo dňa
podľa § 1 ods. 4; tým nie je dotknutá lehota podľa odseku 1.
§ 6
Zrušovacie ustanovenie
Zrušuje sa výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z.z.
o štandardoch pre informačné systémy verejnej správy v znení výnosu č. 276/2014 Z.z.,
výnosu č. 137/2015 Z.z., opatrenia č. 1521/2018/oLG-5 (oznámenie č. 78/2018 Z.z.),
opatrenia č. 311/2018 Z.z., opatrenia č. 56/2019 Z.z. a opatrenia č. 78/2020 Z.z.
Roman Krpelan v.r.
PRÍL.1
ZOZNAM AKTÍV
Zoznam aktív obsahuje označenie operačného systému alebo firemného softvéru
a jeho aktuálne používanej verzie všetkých týchto komponentov informačných technológií
verejnej správy:
a) pracovná stanica - stolová,
b) pracovná stanica - prenosná,
c) aplikačný softvér,
1. kancelársky softvér,
2. internetový prehliadač,
3. antivírusový
softvér,
4. komunikačný softvér,
5. ďalší využívaný komerčný softvér,
d) všetky druhy serverov,
e) virtualizačné prostredie,
f) databázové prostredie,
g) komerčný podnikový softvér,
h) sieťový firewall,
i) sieťový router,
j) sieťový prepínač,
k) komunikačné prostredie,
l) zálohovacie prostredie,
m) mobilné zariadenia,
n) dátové úložiská,
o) ostatné zariadenia alebo sieťové prvky schopné komunikovať so zvyškom ekosystému
informačných technológií verejnej správy,
p) prenosné zariadenia.
PRÍL.2
MINIMÁLNE BEZPEČNOSTNÉ OPATRENIA
A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
Kategória I
a) Určenie pracovníka zodpovedného za koordináciu kybernetickej
bezpečnosti a informačnej bezpečnosti.
b) Vypracovanie a implementácia interného riadiaceho aktu, ktorý je pre organizáciu
správcu záväzný a obsahuje najmenej
1. určenie povinnosti, zodpovednosti a právomoci
pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti,
ktoré organizácia správcu má zavedené a riadi sa nimi.
Kategória II
a) Vypracovanie a implementácia interného riadiaceho aktu
Politika kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý je pre organizáciu
správcu záväzný a obsahuje najmenej
1. určenie povinnosti, zodpovednosti a právomoci
manažéra kybernetickej bezpečnosti a informačnej bezpečnosti a všetkých zamestnancov
v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2. základné zásady
a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných
touto vyhláškou.
b) Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej
bezpečnosti v organizácii správcu zodpovedného za koordináciu a plnenie týchto úloh:
1. vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej
bezpečnosti a ďalšie interné riadiace akty podľa písmena c),
2. riadiť a zaisťovať
kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov
a interných riadiacich aktov,
3. metodicky viesť správcov informačných technológií
verejnej správy, gestorov informačných technológií verejnej správy, vlastníkov procesov,
vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
4. v
súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať
bezpečnostné hrozby a riziká organizácie,
5. navrhovať opatrenia na zamedzenie alebo
minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych
situácií, monitorovať plnenie a efektivitu týchto opatrení a viesť evidenciu bezpečnostných
incidentov,
6. koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie
správcu,
7. predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a
ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú
bezpečnosť organizácie správcu,
8. zabezpečiť pravidelné - najmenej raz za dva roky
- preskúmanie stavu informačnej bezpečnosti a spolupracovať pri realizácii auditov
vykonávaných internými a externými subjektmi,
9. zabezpečovať školenia zamestnancov
v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
10. spolupracovať s
inými orgánmi verejnej moci.
c) Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané
oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu a detaile zodpovedajúcom
veľkosti a štruktúre organizácie správcu, významu informačných technológií verejnej
správy v jeho správe a štruktúre existujúcich interných riadiacich aktov s detailným
opisom jednotlivých opatrení a postupov pre tieto oblasti:
1. organizácia kybernetickej
bezpečnosti a informačnej bezpečnosti,
2. riadenie rizík kybernetickej bezpečnosti
a informačnej bezpečnosti,
3. personálna bezpečnosť,
4. riadenie prístupov,
5. riadenie
kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s tretími stranami,
6.
bezpečnosť pri prevádzke informačných systémov a sietí,
7. hodnotenie zraniteľnosti
a bezpečnostné aktualizácie,
8. ochrana proti škodlivému kódu,
9. sieťová a komunikačná
bezpečnosť,
10. akvizícia, vývoj a údržba informačných technológií verejnej správy,
11.
zaznamenávanie udalostí a monitorovanie,
12. riadenie kontinuity procesov. fyzická
bezpečnosť a bezpečnosť prostredia,
13. riešenie kybernetických bezpečnostných incidentov,
14.
kryptografické opatrenia,
15. kontinuita prevádzky informačných technológií verejnej
správy,
16. audit a kontrolné činnosti.
d) Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej
bezpečnosti podľa osobitného predpisu.6)
e) Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti
a informačnej bezpečnosti a efektivity jednotlivých opatrení a postupov.
f) Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej
raz za rok.
Kategória III
a) Vytvorenie bezpečnostného výboru s rozsahom povinností
a právomocí určených štatútom.
b) Bezpečnostný výbor pri výkone svojej činnosti najmä
1. riadi stratégie v oblasti
kybernetickej bezpečnosti a informačnej bezpečnosti,
2. riadi bezpečnostné riziká
v rozsahu celej organizácie, akceptuje bezpečnostné riziká, ktoré sa týkajú viac
ako jednej organizačnej jednotky organizácie správcu,
3. schvaľuje a rozhoduje o implementácii
významných bezpečnostných opatrení a postupov,
4. schvaľuje odporúčania, návrhy strategických
a koncepčných materiálov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
predkladaných manažérom kybernetickej bezpečnosti a informačnej bezpečnosti,
5. predkladá
štatutárnemu orgánu na schválenie návrh zodpovednosti za implementáciu a uplatňovanie
jednotlivých opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti
v organizácii.
c) Bezpečnostný výbor sa skladá najmenej z
1. štatutára správcu, jeho zástupcu alebo
ním poverenej osoby,
2. manažéra kybernetickej bezpečnosti a informačnej bezpečnosti,
3.
vedúceho zamestnanca organizačného útvaru zodpovedného za správu informačno-komunikačnej
infraštruktúry,
4. vedúceho zamestnanca organizačného útvaru zodpovedného za právne
a legislatívne služby,
5. zodpovednej osoby za ochranu osobných údajov.
Minimálne zloženie
bezpečnostného výboru možno doplniť o ďalšie osoby.
d) Vytvorenie pozície manažéra kybernetickej bezpečnosti a informačnej bezpečnosti
v organizácii správcu mimo organizačného útvaru zodpovedného za správu a prevádzku
informačných technológií verejnej správy.
e) Manažér kybernetickej bezpečnosti a informačnej bezpečnosti pri výkone svojej
činnosti najmä
1. navrhuje stratégie v oblasti kybernetickej bezpečnosti a informačnej
bezpečnosti,
2. informuje bezpečnostný výbor alebo štatutárny orgán správcu o stave
informačnej bezpečnosti v organizácii správcu najmenej raz za rok,
3. bezodkladne
informuje bezpečnostný výbor alebo štatutárny orgánu správcu o závažných bezpečnostných
rizikách, kybernetických bezpečnostných incidentoch a významných bezpečnostných udalostiach,
4.
zabezpečuje nezávislé preskúmanie stavu informačnej bezpečnosti a spoluprácu pri
realizácii auditov vykonávaných internými a externými subjektmi.
f) Zabezpečenie kontinuálneho vzdelávania manažéra kybernetickej bezpečnosti a informačnej
bezpečnosti.
g) Uplatňovanie princípu oddelenia právomocí a zodpovedností v celej organizačnej
štruktúre organizácie správcu tak, že rovnaká osoba nie je zodpovedná za vykonávanie
a zároveň aj schvaľovanie alebo kontrolu bezpečnostne relevantných aktivít a činností.
h) Zabezpečenie preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach
procesu riadenia projektov v organizácii správcu a určenie adekvátnych opatrení na
zníženie každého identifikovaného rizika na prijateľnú úroveň. Definovanie osoby
zodpovednej za kybernetickú a informačnú bezpečnosť v projektovom tíme.
i) Zabezpečenie vypracovania bezpečnostného projektu informačného systému verejnej
správy.
B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti
Kategória I
Kontinuálne riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti:
1. Vypracovanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti.
2. Návrh a prijatie bezpečnostných opatrení.
3. Periodické preskúmavanie rizík.
Kategória II
a) Identifikácia všetkých významných informačných aktív v
organizácii správcu a určenie ich vlastníka, ktorý definuje požiadavky na ich dôvernosť,
dostupnosť a integritu.
b) Zaradenie informačných aktív podľa definovaných požiadaviek na ich dôvernosť,
dostupnosť a integritu do určených klasifikačných stupňov, pre ktoré sú určené bezpečnostné
opatrenia najmenej na ich označovanie, ukladanie, prenos, zverejňovanie a likvidáciu.
c) Klasifikačné stupne pre informačné aktíva ustanovuje osobitný predpis.1)
d) Vypracovanie a implementácia interného riadiaceho aktu na riadenie bezpečnostných
rizík, ktorý obsahuje najmenej
1. zodpovednosť za vykonanie analýzy rizík kybernetickej
bezpečnosti a informačnej bezpečnosti,
2. proces vykonávania analýzy rizík,
3. maticu
určenia závažnosti rizika,
4. periodicitu vykonávania analýzy rizík,
5. spôsob dokumentácie
bezpečnostných rizík a prijatých opatrení a postupov na ich zníženie na prijateľnú
úroveň v podľa matice určenia závažnosti rizika.
e) Vykonávanie analýzy rizík najmenej raz za dva roky.
Kategória III
a) Vytvorenie a udržiavanie zoznamu informačných aktív každého
organizačného útvaru organizácie správcu, ktorý je zároveň ich vlastníkom a ktorý
určí požiadavky na dôvernosť, dostupnosť a integritu každého informačného aktíva
v jeho vlastníctve.
b) Vykonávanie analýzy rizík a vyhodnocovanie súladu implementovaných opatrení s
touto vyhláškou najmenej raz ročne.
C. Personálna bezpečnosť
Kategória I
a) Ustanoviť plán rozvoja bezpečnostného povedomia, ktorý obsahuje
formu, obsah a rozsah potrebných školení a vykonať bezpečnostné vzdelávanie na zvýšenie
bezpečnostného povedomia najmenej každé tri roky.
b) Zabezpečenie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, vykonávaných
školení a ďalších činností spojených s prehlbovaním bezpečnostného povedomia.
c) Zamestnávateľ povinnej osoby a tretia strana zabezpečí, že každý zamestnanec a
tretia strana sú poučení o povinnosti zachovávať mlčanlivosť o všetkých skutočnostiach,
informáciách a osobných údajoch, a to predtým, ako získajú prístup k informačným
technológiám verejnej správy. Mlčanlivosť je generálna a trvalá a vzťahuje sa tak
na čas výkonu činnosti, ako aj po skončení výkonu činnosti.
d) Zabezpečenie oznamovania bezpečnostných incidentov pracovníkovi, ktorý je zodpovedný
za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.
e) Určenie postupu pri ukončení pracovného pomeru alebo iného obdobného vzťahu zamestnanca
a pri ukončení spolupráce s externým pracovníkom alebo treťou stranou, ktorým sa
zabezpečí
1. vrátenie pridelených zariadení, ktorými sú najmä počítače, pamäťové
médiá, čipové karty a navrátenie informačných aktív, ktorými sú najmä programy, dokumenty
a údaje,
2. zablokovanie prístupu v zariadeniach pridelených zamestnancovi, ktorými
sú najmä počítače, notebooky, pamäťové médiá a ďalšie mobilné elektronické zariadenia,
3.
zrušenie prístupových práv v informačných systémoch verejnej správy,
4. odovzdanie
výsledkov práce v súvislosti s informačnými systémami verejnej správy, ktorými sú
najmä programy vrátane dokumentácie a vlastné elektronické dokumenty.
f) Zabezpečenie zmeny prístupových oprávnení pri zmene postavenia používateľov, administrátorov
alebo osôb zastávajúcich bezpečnostné roly.
g) Sankcionovanie porušenia interných riadiacich aktov v oblasti kybernetickej bezpečnosti
a informačnej bezpečnosti prostredníctvom disciplinárneho procesu organizácie správcu.
Kategória II
a) Vypracovanie a pravidelné aktualizovanie dokumentu Bezpečnostné
zásady pre koncových používateľov, ktorý obsahuje súhrn povinností a oprávnení v
oblasti kybernetickej bezpečnosti a informačnej bezpečnosti pre koncových používateľov,
najmä
1. prideľovanie prístupových práv,
2. zásady tvorby a používania hesiel,
3. zásady
ochrany pred infiltráciou škodlivým kódom,
4. zásady bezpečného používania elektronickej
pošty,
5. zásady bezpečného používania internetu,
6. zásady bezpečného používania komunikačných
nástrojov a sociálnych sietí,
7. zásady používania prenosných zariadení a médií,
8.
zálohovanie údajov,
9. riešenie kybernetických bezpečnostných incidentov,
10. ochranu
fyzického majetku,
11. pohyb v priestoroch organizácie správcu.
b) Zavedenie procesu preukázateľného poučenia a oboznámenia nových zamestnancov bezprostredne
po nástupe s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti a
informačnej bezpečnosti.
c) Zavedenie procesu preukázateľného oboznámenia správcov informačných technológií
verejnej správy s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti
a informačnej bezpečnosti.
d) Zavedenie procesu zvyšovania bezpečnostného povedomia zamestnancov s cieľom ich
oboznamovania s aktuálnymi bezpečnostnými hrozbami v oblasti kybernetickej bezpečnosti
a informačnej bezpečnosti, ako aj opatreniami a postupmi zavedenými v organizácii
správcu na ich elimináciu najmenej raz za dva roky.
e) Na prístup k informačným technológiám verejnej správy sa vyžaduje
1. oboznámenie
so spôsobom používania informačných technológií verejnej správy a bezpečnostných
mechanizmov informačných technológií verejnej správy v rozsahu svojej pracovnej náplne,
2.
poučenie na rozoznanie kybernetického bezpečnostného incidentu od bežnej prevádzky
a zvládnutie postupu pri kybernetickom bezpečnostnom incidente,
3. oboznámenie so
zamestnancom, na ktorého je možné sa obracať s otázkami a nejasnosťami pri používaní
informačných technológií verejnej správy a bezpečnostných mechanizmov informačných
technológií verejnej správy.
Kategória III
a) Vytvorenie evidencie informačných technológií verejnej
správy s priradením konkrétnych správcov, ktorí sú zodpovední za implementáciu a
prevádzku bezpečnostných opatrení a postupov.
b) Systematické zvyšovanie bezpečnostného povedomia tak, že pokrýva všetky oblasti
ustanovené touto vyhláškou, zákonom a osobitnými predpismi7) a najnovšími poznatkami
v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu pracovného
zaradenia najmenej raz ročne.
D. Riadenie prístupov
Kategória I
a) Zavedenie pravidiel zakazujúcich zdieľanie používateľských
hesiel do informačných technológií verejnej správy.
b) Zavedenie identifikácie používateľa a autentifikácie pri vstupe do informačných
technológií verejnej správy.
c) Zavedenie pravidiel na zmenu používateľských hesiel s frekvenciou najmenej jeden
rok.
Kategória II
a) Vypracovanie a implementácia interného predpisu upravujúceho
riadenie prístupu k údajom a funkciám informačných technológií verejnej správy založenom
na zásade, že používateľ má prístup len k tým údajom a funkciám, ktoré potrebuje
na vykonávanie svojich úloh.
b) Určenie postupu a zodpovednosti v súvislosti s prideľovaním prístupových práv
používateľom a ich schvaľovania vlastníkom informačných aktív.
c) Zaznamenávanie zmien v pridelenom prístupe a ich archivácia.
d) Používanie bezpečných postupov identifikácie a autentifikácie jednotlivých používateľov
s cieľom minimalizovať možnosť neautorizovaného prístupu.
e) Vytvorenie a presadzovanie politiky a systému správy hesiel, ktorá umožní používateľom
najmä
1. zabezpečiť absolútnu kontrolu nad heslom svojho používateľského účtu,
2.
presadzovať určenú štruktúru hesla,
3. vyžadovať pravidelnú zmenu hesla,
4. uchovávať
a prenášať používateľské heslá bezpečným spôsobom.
f) Zabezpečenie formálneho riadenia a autorizácie prideľovania privilegovaných prístupov
do informačných technológií verejnej správy a ich obmedzenie len na nevyhnutné prípady.
g) Preskúmavanie privilegovaných prístupových práv v pravidelných intervaloch najmenej
raz za rok.
h) Určenie bezpečnostných zásad na mobilné pripojenie do informačných technológií
verejnej správy a na prácu na diaľku.
i) Automatické zaznamenávanie každého prístupu administrátora do informačných technológií
verejnej správy a automatické zaznamenávanie prístupu používateľa.
j) Vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov informačných
technológií verejnej správy.
Kategória III
a) Implementácia centrálnej správy identít (IDM).
b) Preskúmanie prístupových opatrení v spolupráci s vlastníkom najmenej raz za rok.
c) Vypracovanie a pravidelná aktualizácia zoznamu privilegovaných prístupových oprávnení
a ich preskúmavanie každých šesť mesiacov.
d) Implementácia, vynucovanie prístupových rolí v informačných technológiách verejnej
správy.
e) Zamedzenie možnosti zmeny log záznamov prístupu každého používateľa vrátane administrátora
do informačných technológií verejnej správy, zamedzenie možnosti vymazania týchto
záznamov a uchovávanie týchto záznamov šesť mesiacov.
f) Používanie silných autentizačných metód na overenie identity používateľov, ako
je viacfaktorová autentizácia pri informačných technológiách verejnej správy, ktoré
obsahujú prísne chránené informačné aktíva v zmysle klasifikácie informačných aktív.
E. Riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch
s tretími stranami
Kategória I
V zmluve s dodávateľmi musí byť určená požiadavka na dodržiavanie všetkých
interných riadiacich dokumentov a všeobecne záväzných predpisov týkajúcich sa kybernetickej
bezpečnosti a informačnej bezpečnosti. Môže byť uvedený odkaz na zákon, túto vyhlášku
alebo na osobitný predpis.8)
Kategória II
a) Požiadavky v oblasti kybernetickej bezpečnosti a informačnej
bezpečnosti sa určujú, odsúhlasujú a formálne zadokumentujú formou zmluvy pre každý
dodávateľský vzťah, ktorý si vyžaduje prístup alebo akékoľvek používanie informačných
technológií verejnej správy.
b) Zmluvné požiadavky na kybernetickú bezpečnosť a informačnú bezpečnosť obsahujú
najmenej záväzok
1. plnenia určených požiadaviek a kritérií pre oblasť kybernetickej
bezpečnosti a informačnej bezpečnosti pri dodávke predmetu zmluvy,
2. ochrany informácií,
ku ktorým je poskytnutý prístup,
3. oboznámenia sa a dodržiavania všetkých interných
riadiacich aktov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti
a ďalších opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti
špecifických na plnenie predmetu zmluvy,
4. riadenia a monitorovania prístupov do
informačných technológií verejnej správy vrátane spôsobu a mechanizmu,
5. možnosti
vykonávania kontrolných činností a auditu vrátane rozsahu a spôsobu,
6. oznámenia
všetkých bezpečnostných rizík, nedostatkov alebo zraniteľností informačných technológií
verejnej správy zistených v rámci plnenia predmetu zmluvy, ako aj povinnosť a proces
ich ošetrenia,
7. spolupráce pri riešení kybernetických bezpečnostných incidentov,
najmä zachovania a poskytovania všetkých relevantných informácií, dôkazov a podkladov,
8.
zachovania úrovne kybernetickej bezpečnosti a informačnej bezpečnosti pri významných
zmenách vrátane spôsobu a formy prechodu k inému dodávateľovi.
c) Pri využívaní dodávateľských reťazcov sa pred začatím využívania služieb identifikujú
možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti a posúdia sa najmä
1. kritické komponenty a prvky služby,
2. možnosti presadzovania a monitorovania bezpečnostných
požiadaviek naprieč celým dodávateľským reťazcom,
3. možné riziká kybernetickej bezpečnosti
a informačnej bezpečnosti vo vzťahoch medzi dodávateľmi a subdodávateľmi,
4. ďalšie
možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vyplývajúce zo životného
cyklu dodávanej služby a z možnosti ukončenia dodávky služieb alebo prechodu k inému
dodávateľovi.
d) Pri zmenách služieb poskytovaných treťou stranou sa posudzuje ich vplyv na kybernetickú
a informačnú bezpečnosť, a ak je to potrebné, sú navrhnuté a implementované ďalšie
opatrenia a postupy kybernetickej bezpečnosti a informačnej bezpečnosti.
e) Do zmluvného vzťahu s tretími stranami sa zavedie proces implementácie zmien v
oblasti riadenia kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii
správcu.
f) Pri vývoji aplikácií a systémov realizovaných treťou stranou sa v zmluve určia
jasné podmienky týkajúce sa najmä autorských práv, práv duševného vlastníctva, bezpečnostných
parametrov, bezpečnostného a funkčného testovania, legislatívnych a regulačných požiadaviek.
Kategória III
a) Pre informačné technológie verejnej správy, ktoré spracúvajú
kritické informačné aktíva v zmysle požiadaviek na ich dôvernosť, dostupnosť a integritu,
sa implementuje technológia pre riadenie privilegovaných prístupov a zaznamenávanie
aktivít správcov.
b) Interný predpis ustanovujúci zásady kybernetickej bezpečnosti a informačnej bezpečnosti
pre dodávateľov a tretie strany obsahuje najmenej bezpečnostné požiadavky
1. pri
riadení vzťahov s dodávateľmi,
2. pri ošetrení kybernetickej bezpečnosti a informačnej
bezpečnosti v zmluvách s dodávateľmi,
3. dodávateľských reťazcov informačných technológií
verejnej správy,
4. monitorovania a preskúmavania dodávateľských služieb,
5. riadenia
zmien v službách dodávateľa,
6. na prístupové práva a účty,
7. na fyzickú bezpečnosť,
8.
na ochranu a zálohovanie dát,
9. na mobilné prostriedky a vzdialený prístup.
c) Vytvorenie a využívanie procesu pravidelného monitorovania a preskúmavania kybernetickej
bezpečnosti a informačnej bezpečnosti vo vzťahu s dodávateľmi.
F. Bezpečnosť pri prevádzke informačných systémov a sietí
Kategória I
a) Na účinnú prevenciu pred stratou dát v organizácii správcu
sa zavedie proces na vytváranie záložných kópií dôležitých informácií a softvéru.
b) V organizácii správcu sa vypracuje a dodržiava politika zálohovania, ktorá definuje
požiadavky organizácie správcu na zálohovanie vrátane doby uchovávania, testovania
záloh, ako aj opatrenia na ochranu záložných médií.
c) Prevádzkové zálohy, kópia archivačnej zálohy a kópie inštalačných médií sú uložené
do uzamykateľného priestoru.
Kategória II a Kategória III
a) Vyhotovenie archivačnej zálohy najmenej
v dvoch kópiách.
b) Zabezpečenie vykonania testu funkcionality dátového nosiča archivačnej zálohy
a prevádzkovej zálohy a pri nefunkčnosti, najmä pri nečitateľnosti alebo chybách
pri čítaní, opätovné vytvorenie zálohy na inom dátovom nosiči.
c) Zabezpečenie vykonania testu obnovy informačných technológií verejnej správy a
údajov z prevádzkovej zálohy najmenej raz za rok.
d) Fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú
technické prostriedky informačných technológií verejnej správy, ktorej údaje sú archivované
tak, že je minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej
zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
e) Prevádzkové postupy informačných technológií verejnej správy sa zadokumentujú,
udržiavajú a sú dostupné všetkým používateľom, ktorí ich potrebujú. Za aktuálnosť
prevádzkovej dokumentácie zodpovedajú správcovia jednotlivých informačných technológií
verejnej správy.
f) Všetky zmeny v prevádzkovaných informačných technológiách verejnej správy, ako
aj procesoch alebo fyzických objektoch organizácie, ktoré môžu mať vplyv na bezpečnosť
informačných aktív, sa zadokumentujú a schvália v procese riadenia zmien.
g) Vypracovanie interného riadiaceho aktu riadenia zmien, ktorý obsahuje posúdenie
zmien s cieľom identifikácie možných bezpečnostné rizík a návrh adekvátnych opatrení
na ich zníženie na akceptovateľnú úroveň.
h) Zmeny, pri ktorých ich iniciátor nedokáže jednoznačne určiť alebo vylúčiť možný
vplyv na bezpečnosť posudzuje manažér kybernetickej bezpečnosti a informačnej bezpečnosti.
i) V rámci formálneho procesu riadenia zmien sa určí aj postup kontrolovanej a autorizovanej
implementácie urgentných zmien.
j) Na jednotlivých prvkoch informačných technológií verejnej správy sa implementujú
implementované bezpečnostné nastavenia podľa odporúčania výrobcov alebo podľa interného
riadiaceho aktu. Bezpečnostné nastavenia sa implementujú najmä na týchto prvkoch
informačných technológií verejnej správy:
1. operačné systémy,
2. virtualizačné prostredia,
3.
aplikačný softvér,
4. pracovné stanice,
5. sieťové zariadenia, vrátane bezpečnostných
zariadení,
6. databázové prostredia.
k) Monitorovanie informačných technológií verejnej správy na identifikáciu ich kapacitných
požiadaviek a ich trendov tak, že nedôjde ku kritickému výpadku, spomaleniu alebo
inej neočakávanej poruche funkčnosti.
l) Vzájomné oddelenie vývojového, testovacieho a prevádzkového prostredia na prevenciu
neautorizovaného prístupu alebo zmien v prevádzkovom prostredí, ak je to možné.
G. Hodnotenie zraniteľností a bezpečnostné aktualizácie
Kategória I
Nastavenie automatickej aktualizácie operačného systému a aplikácií.
Kategória II
a) V organizácii správcu zaviesť pravidelné zisťovanie a riešenie
efektívnych procesov pravidelného zisťovania a riešenia technických zraniteľností
systémov a aplikácií pomocou automatizovaných nástrojov.
b) Všetky zistené kritické zraniteľnosti sa odstraňujú v čo najkratšom čase, a to
najmä implementáciou opravných softvérových balíkov a aktualizácií riadne vydaných
dodávateľom systému alebo aplikácie. Uvedené platí aj na systémy dodávané treťou
stranou.
c) Vykonávanie hodnotenie zraniteľností najmenej raz ročne.
d) Vypracovanie a zavedenie procesu riadenia implementácie bezpečnostných aktualizácií
a záplat jednotlivých prvkov informačných technológií verejnej správy v organizácii
správcu.
e) Vytvorenie a udržiavanie inventárneho zoznamu hardvéru a softvéru jednotlivých
prvkov informačných technológií verejnej správy vrátane prvkov v správe tretích strán
na identifikáciu relevantných zraniteľností a aktualizácií.
f) Jednotlivé prvky informačných technológií verejnej správy monitorujú zdroje, ktoré
poskytujú včasné informácie o nových zraniteľnostiach a bezpečnostných aktualizáciách,
ktoré sa vzťahujú na prvky informačných technológií verejnej správy.
g) Primárnymi zdrojmi na identifikáciu nových zraniteľností a bezpečnostných aktualizácií
sú
1. informácie zo systémov a automatizovaných technológií pre aktualizáciu,
2. informačný
servis výrobcov technológií,
3. výstupy z bezpečnostných technológií,
4. výsledky penetračných
testov,
5. oznámenia a varovania orgánov štátnej správy a autorít v oblasti kybernetickej
bezpečnosti,
6. webové stránky a portály spoločností zameraných na publikovanie zraniteľnosti.
h) Výnimky z implementácie bezpečnostných aktualizácií sa schvaľujú a evidujú manažérom
kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý určuje bezpečnostné opatrenia
na ochranu pred zneužitím zraniteľnosti, na elimináciu ktorej je bezpečnostná aktualizácia
vydaná.
i) Súbory s bezpečnostnými aktualizáciami sa získavajú výhradne z dôveryhodného zdroja,
primárne priamo od výrobcu. Pri nejasnostiach alebo inom zdroji je potrebné porovnanie
kontrolných súčtov jednotlivých súborov bezpečnostných aktualizácií s kontrolnými
súčtami súborov výrobcu tak, že nedôjde k poskytnutiu škodlivých aktualizácií.
j) Pred implementáciou aktualizácií sú vykonané opatrenia na možnosť obnovenia pôvodného
stavu prvku informačných technológií verejnej správy pred aktualizáciou pri neočakávaných
stavoch, chybách alebo odchýlkach od požadovanej funkcionality spôsobených aktualizáciou.
k) Po implementácii aktualizácie sa aktualizuje prvok informačných technológií verejnej
správy verifikovaný, najmä jeho správna funkcionalita.
Kategória III
a) Preskúmavanie a odstraňovanie zraniteľností sa vykoná
najmenej každých šesť mesiacov.
b) Bezpečnostné a ostatné aktualizácie sa implementuje najmä prostredníctvom automatizovaného
nástroja.
H. Ochrana proti škodlivému kódu
Kategória I
a) Prijatie adekvátnych opatrení na prevenciu, detekciu škodlivého
kódu, ako aj na efektívnu reakciu pri infiltrácie škodlivým kódom.
b) V organizácii správcu je zakázané sťahovanie, inštalácia a používanie nelegálneho
alebo škodlivého softvéru.
c) Prevencia a detekcia škodlivého kódu je pravidelná a zameraná hlavne na
1. používanie
prenosných médií, napríklad USB kľúče, flash disky, CD, DVD,
2. škodlivé emailové
prílohy a odkazy,
3. podozrivé a škodlivé webové stránky a odkazy,
4. externú a internú
sieťovú komunikáciu v organizácii správcu vrátane webových sídiel,
5. prenos súborov
z externých sietí.
d) Vytvorenie procesu alebo postupu na prenos súborov z externých sietí, ktorý zabezpečí
kontrolu prenášaných súborov s cieľom detekcie škodlivého kódu.
Kategória II
a) Zavedenie ochrany informačných technológií verejnej správy
pred škodlivým kódom najmenej v rozsahu
1. kontroly prichádzajúcej elektronickej
pošty na prítomnosť škodlivého kódu a nepovolených typov príloh,
2. detekcie prítomnosti
škodlivého kódu na všetkých používaných informačných technológiách verejnej správy,
3.
kontroly súborov prijímaných zo siete internet a odosielaných do siete internet na
prítomnosť škodlivého softvéru,
4. detekcie prítomnosti škodlivého kódu na všetkých
webových sídlach organizácie správcu.
b) Zavedenie ochrany pred nevyžiadanou elektronickou poštou.
Kategória III
a) Implementácia centralizovaného systému riešenia ochrany
pred škodlivým kódom s pravidelným monitorovaním jeho hlásení v organizácii správcu.
b) Detekcia inštalácie nelegálneho, alebo škodlivého softvéru sa vykonáva prostredníctvom
automatizovaných nástrojov.
c) Vypracovanie postupov obnovy a odstránenia infiltrácie škodlivým kódom na efektívne
zvládanie infiltrácie škodlivým kódom.
I. Sieťová a komunikačná bezpečnosť
Kategória I
a) Všetky koncové stanice sú chránené prostredníctvom softvérového
personálneho firewallu.
b) Na sieťových zariadeniach sa implementujú najmenej tieto bezpečnostné opatrenia:
1. pravidelná aktualizácia firmvéru,
2. zmena továrensky nastavených autentifikačných
údajov,
3. pri bezdrôtových sieťach musí byť nastavené využívanie bezpečného šifrovania
a zabezpečenia,
4. vypnutie možnosti správy zariadenia na diaľku alebo prijatie iných
opatrení zabraňujúcich zneužitiu vzdialeného prístupu.
c) Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu.
Kategória II
a) Prenos informácií akýmkoľvek spôsobom je riadený. Na jednotlivé
druhy komunikácie sa určia bezpečnostné opatrenia adekvátne identifikovaným bezpečnostným
rizikám.
b) Zabezpečenie ochrany prenášaných informácií najmä pred odpočúvaním, kopírovaním,
zmenou, presmerovaním alebo zničením.
c) Správa počítačových sietí je riadená a kontrolovaná.
d) Pri prenose údajov prostredníctvom verejnej siete alebo bezdrôtovej siete sa implementujú
opatrenia na zaistenie dôvernosti a integrity informácií, ako aj všeobecné opatrenia
na zaistenie požadovanej dostupnosti sieťových služieb.
e) Na všetky sieťové služby sa identifikujú a zadokumentujú bezpečnostné mechanizmy,
úroveň služieb a požiadavky na manažment.
f) Sieťové služby, používatelia a jednotlivé prvky informačných technológií verejnej
správy musia byť v počítačových sieťach oddelené do skupín (segmenty) podľa požiadaviek
na dôvernosť, dostupnosť a integritu a taktiež podľa charakteru poskytovaných služieb.
Jednotlivé skupiny (segmenty) musia byť v počítačovej sieti adekvátne oddelené na
logickej, kde je to potrebné, tak aj na fyzickej úrovni.
g) Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu
s filtrovaním prichádzajúcej a odchádzajúcej sieťovej prevádzky na princípe najnižšieho
privilégia.
h) Bezdrôtové siete sa chránia a umiestňujú tak, že je zamedzený priamy prístup k
citlivým údajom správcu.
i) Vytvorenie a pravidelné aktualizovanie dokumentácie počítačovej siete obsahujúcej
najmä evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami,
topológiu siete a využitie IP rozsahov.
j) Na prenos informácií k tretím stranám sa uzatvára zmluva o prenose informácií
s definovaným rozsahom, technickými štandardmi prenosu, bezpečnostnými opatreniami,
ako aj právomocami a zodpovednosťami.
k) Všetky formy výmeny elektronických správ sú riadené a pri ich používaní implementované
adekvátne bezpečnostné opatrenia zamerané na zaistenie ochrany prenášaných správ,
a to najmä proti neautorizovaného prístupu, porušeniu dôvernosti, modifikácii alebo
zneužitiu.
l) Pri prenose citlivých informácií v zmysle požiadaviek na dôvernosť sa s treťou
stranou uzavrie zmluva o mlčanlivosti alebo o utajení ešte pred ich poskytnutím.
Toto sa nevzťahuje na všeobecne známe alebo verejne dostupné informácie o organizácii.
m) Vzdialený prístup do vnútornej siete organizácie správcu musí podliehať autentifikácii
a autorizácii.
Kategória III
a) V organizácii správcu sa implementuje technológia detekcie
a prevencie prieniku IPS najmenej na perimetri siete umiestnenej pred chránenú časť
siete.
b) Na všetkých serveroch podporujúcich základné služby informačných technológií verejnej
správy2) správcu sa implementujú sondy detekcie a prevencie prieniku technológia
HIPS.
c) Všetky verejne dostupné a kritické webové aplikácie sa chránia webovým aplikačným
firewallom.
J. Akvizícia, vývoj a údržba informačných technológií verejnej správy
Kategória I
Obstarávanie alebo vytváranie nových alebo úprava existujúcich informačných
technológií verejnej správy sa zadokumentuje a realizuje v súčinnosti s pracovníkom
zodpovedným za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.
Kategória II a Kategória III
Pri vytváraní nových alebo úprave existujúcich informačných technológií
verejnej správy sa identifikujú a špecifikujú požiadavky na kybernetickú a informačnú
bezpečnosť.
a) Pri identifikácii požiadaviek sa prihliada najmä na požiadavky na
dôvernosť, dostupnosť a integritu informačných aktív, všetky známe bezpečnostné hrozby,
kybernetické bezpečnostné incidenty, zraniteľnosti, aktuálne politiky a štandardy
organizácie správcu, ako aj požiadavky všeobecne záväzných právnych predpisov.
b) Informácie prenášané prostredníctvom verejných sietí sa šifrujú alebo iným adekvátnym
opatrením chránia najmä pred neoprávneným prístupom, modifikáciou alebo nedostupnosťou.
c) Informácie v transakciách informačných technológií verejnej správy alebo medzi
informačnými technológiami verejnej správy sú chránené tak, že sa zabráni nekompletným
prenosom, nesprávnemu smerovaniu, neautorizovaným úpravám správ, neautorizovanému
prístupu prezradeniu, neautorizovanému duplikovaniu správ alebo neautorizovaným odpovediam,
a to najmä použitím elektronického podpisu, elektronickej pečate na kvalifikovanej
úrovni bezpečnosti,9) certifikátov, šifrovaním komunikačných kanálov a zabezpečením
komunikačných protokolov.
d) Všetky zmeny v informačných technológiách verejnej správy a aplikáciách počas
ich vývoja sa riadia prostredníctvom formálnych postupov riadenia zmien.
e) Vykonávanie bezpečnostného testovania v pravidelných intervaloch podľa možnosti
pri všetkých vydaniach alebo verziách počas vývojového cyklu kritických informačných
technológií verejnej správy tak, že je možné už v počiatočných fázach identifikovať
a odstrániť bezpečnostné nedostatky alebo prípadné chyby v dizajne.
f) Súčasťou akceptačného testovania informačných technológií verejnej správy je aj
testovanie implementovaných bezpečnostných opatrení najmä bezpečnostne dôležitých
prvkov aplikácií, alebo systémov, ako sú autentizačné, autorizačné mechanizmy, prístupové
roly a ďalšie opatrenia zaisťujúce požadovanú dôvernosť, dostupnosť a integritu.
g) Dáta slúžiace na testovanie sa vyberajú s ohľadom na ich citlivosť pre organizáciu
správcu, ako aj na požiadavky regulácie. Ak je to možné, sú citlivé údaje organizácie
správcu pred testovaním adekvátne pozmenené tak, že zostanú zachované logické súvislosti,
ale ich spätné obnovenie nie je možné. Osobné údaje je možné použiť pri testovaní
len vo výnimočných prípadoch po schválení osobou zodpovednou za ochranu osobných
údajov.
K. Zaznamenávanie udalostí a monitorovanie
Kategória I
Zaznamenávanie úspešných a neúspešných autentifikačných udalostí.
Kategória II
a) Zaznamenávanie, uchovávanie a pravidelné kontrolovanie
všetkých významných udalostí informačných technológií verejnej správy.
b) Pre každý prvok informačných technológií verejnej správy sa vyšpecifikujú a zadokumentujú
udalosti, ktoré musia byť zaznamenávané, a jednotlivé prvky informačných technológií
verejnej správy musia byť podľa tejto špecifikácie nakonfigurované.
c) Podľa typu systému alebo zariadenia sa zaznamenávajú do log súborov najmenej tieto
udalosti:
1. úspešné a neúspešné autorizačné udalosti,
2. úspešné a neúspešné privilegované
operácie (vykonávané pod privilegovanými účtami),
3. úspešné a neúspešné prístupy
k log súborom,
4. úspešné a neúspešné prístupy k systémovým zdrojom,
5. vytváranie,
úprava a mazanie používateľských účtov, skupinových účtov a objektov vrátane súborov,
adresárov a používateľských účtov,
6. zmeny v prístupových oprávneniach,
7. aktivácia
a deaktivácia bezpečnostných mechanizmov,
8. spustenie a zastavenie procesov,
9. konfiguračné
zmeny systému špecificky zmeny bezpečnostných nastavení a politík,
10. spustenie,
vypnutie, reštartovanie systému alebo aplikácie, chyby a výnimky,
11. významné aktivity
v sieťovej komunikácii,
12. požiadavka na autentizačné služby vrátane označenia požadujúcej
entity,
13. IP adresy pridelené prostredníctvom služby DHCP.
d) Jednotlivé záznamy v log súboroch obsahujú najmenej tieto informácie o každej
zaznamenanej udalosti, ak sú k dispozícii:
1. čas a dátum udalosti,
2. identifikácia
používateľa,
3. identifikácia zariadenia,
4. informácia týkajúca sa udalosti,
5. indikácia
úspešnosti, alebo zlyhania operácie,
6. pri sieťových službách zdrojová IP adresa,
cieľová IP adresa, protokol, zdrojový port, cieľový port.
e) Záznamy udalostí sa uchovávajú najmenej šesť mesiacov a adekvátne sa chránia pred
zničením alebo modifikáciou.
f) Kontrolu zaznamenaných udalostí, ako aj výstrahy generované ostatnými bezpečnostnými
technológiami sú povinní vykonávať správcovia jednotlivých prvkov informačných technológií
verejnej správy, ak to nie je možné, použitím automatizovaných nástrojov najmenej
na dennej báze.
g) Bezpečnostne relevantné udalosti sa analyzujú bezodkladne s cieľom určiť, či ide
o kybernetický bezpečnostný incident.
h) Na zachovanie správnosti, presnosti a možnosti spätného dohľadania je čas na všetkých
relevantných prvkoch informačných technológií verejnej správy synchronizovaný prostredníctvom
presného časového zdroja.
Kategória III
a) Správca vypracuje a zavedie do praxe interný riadiaci
akt na zaznamenávanie udalostí a monitorovanie bezpečnosti informačných technológií
verejnej správy.
b) Záznamy udalostí sa uchovávajú aj mimo konkrétneho prvku informačných technológií
verejnej správy, ktoré ich vytvára tak, že sa vylúči ich odstránenie alebo modifikácia.
c) Kontrola a vyhodnocovanie zaznamenaných udalostí sa vykonáva automatizovaným spôsobom
prostredníctvom nástrojov, ktoré umožňujú generovať okamžité výstrahy a oznámenia
pri bezpečnostne významných udalostiach.
d) Výstrahy z monitorovacích nástrojov, ako aj výstrahy generované ostatnými bezpečnostnými
technológiami sa preverujú bezodkladne, kritické výstrahy okamžite po ich doručení.
e) Bezpečnostný dohľad podľa písmen c) a d) sa vykonáva v režime 24 hodín denne sedem
dní v týždni.
f) Systémy určené na vytváranie záznamov o udalostiach, ako aj samotné tieto súbory
sa zabezpečujú pred neoprávnenými zásahmi a neautorizovaným prístupom, najmä pred
zmenami a zničením.
g) Kapacita systémov uchovávajúcich záznamy musí byť adekvátna tak, že nedochádza
k nežiaducemu prepisovaniu týchto záznamov alebo znefunkčneniu systému logovania.
L. Fyzická bezpečnosť a bezpečnosť prostredia
Kategória I
Informačné technológie verejnej správy sa umiestňujú a prevádzkujú takým
spôsobom, že sú chránené pred fyzickým prístupom nepovolaných osôb a nepriaznivými
prírodnými vplyvmi a vplyvmi prostredia.
Kategória II
a) Umiestnenie informačných technológií verejnej správy v
zabezpečenom priestore tak, že ich najdôležitejšie komponenty sú chránené pred nepriaznivými
prírodnými vplyvmi a vplyvmi prostredia, možnými dôsledkami havárií technickej infraštruktúry
a fyzickým prístupom nepovolaných osôb. Zabezpečeným priestorom je najmä serverovňa.
b) Oddelenie zabezpečených priestorov od ostatných priestorov fyzickými prostriedkami
stenami a zábranami.
c) Prístup do zabezpečeného priestoru môže byť povolený len osobám, ktoré tento prístup
nevyhnutne potrebujú na výkon svojich pracovných činností. Prístup k serverovým a
sieťovým komponentom je umožnený len oprávneným osobám.
d) Vypracovanie a implementovanie interného riadiaceho aktu, ktorý upravuje prácu
v zabezpečených priestoroch, ako aj pravidlá
1. údržby, uchovávania a evidencie technických
komponentov informačných technológií verejnej správy a zariadení informačných technológií
verejnej správy,
2. používania zariadení informačných technológií verejnej správy
na iné účely, než na aké sú pôvodne určené,
3. používania zariadení informačných technológií
verejnej správy mimo určených priestorov,
4. vymazávania, vyraďovania a likvidovania
zariadení informačných technológií verejnej správy a všetkých typov relevantných
záloh,
5. prenosu technických komponentov informačných technológií verejnej správy
alebo zariadení informačných technológií verejnej správy mimo priestorov orgánu riadenia,
6.
narábania s elektronickými dokumentmi, dokumentáciou systému, pamäťovými médiami,
vstupnými a výstupnými údajmi informačných technológií verejnej správy tak, že sa
zabráni ich neoprávnenému zverejneniu, odstráneniu, poškodeniu alebo modifikácii.
e) Prvky informačných technológií verejnej správy s požiadavkou na vysokú dostupnosť
sa zabezpečujú opatreniami na ochranu pred výpadkom zdroja elektrickej energie.
Kategória III
a) Podporná infraštruktúra informačných technológií verejnej
správy s požiadavkou na vysokú dostupnosť sa zabezpečuje ochranou pred výpadkom zdroja
elektrickej energie pomocou záložného generátora.
b) Pre informačné technológie verejnej správy s požiadavkou na vysokú dostupnosť
sa zabezpečujú záložné kapacity zabezpečujúce funkčnosť alebo náhradu týchto informačných
technológií verejnej správy, ktoré sú umiestnené v sekundárnom zabezpečenom priestore,
dostatočne vzdialenom od zabezpečeného priestoru.
c) Ďalšie opatrenia fyzickej bezpečnosti a bezpečnosti prostredia sa prijímajú podľa
osobitného predpisu.1)
M. Riešenie kybernetických bezpečnostných incidentov
Kategória I
V organizácii správcu sa určí kontaktné miesto a spôsob hlásenia kybernetických
bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona.
Kategória II
a) Interný riadiaci akt určí spôsob hlásenia kybernetických
bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona, bezpečnostne
relevantné udalosti, zistené zraniteľnosti, alebo bezpečnostné slabé miesta informačných
technológií verejnej správy, ktoré sú zistené pri ich používaní alebo správe.
b) V organizácii správcu je na včasné prijatie preventívnych a nápravných opatrení
vypracovaný a presadzovaný interný riadiaci akt na riešenie kybernetických bezpečnostných
incidentov, ktorý obsahuje povinnosť, postup pri hlásení, spôsob riešenia a evidencie
kybernetických bezpečnostných incidentov.
c) Interný riadiaci akt podľa písmena b) obsahuje aktuálne kontaktné údaje správcov
jednotlivých komponentov informačných technológií verejnej správy, zamestnancov tretích
strán zodpovedných za správu alebo podporu informačných technológií verejnej správy
potrebných pri riešení kybernetických bezpečnostných incidentov, ako aj kontaktné
údaje na príslušnú jednotku CSIRT/CERT.
d) S interným riadiacim aktom podľa písmena b), najmä povinnosťou ohlasovať kybernetické
bezpečnostné incidenty, sa primeraným a preukázateľným spôsobom oboznámia všetci
používatelia informačných technológií verejnej správy vrátane správcov jednotlivých
komponentov, ako aj zamestnanci tretích strán, ktorí vykonávajú správu alebo podporu
informačných technológií verejnej správy.
e) Na ohlasovanie kybernetických bezpečnostných incidentov a odhalených zraniteľností
v prevádzkovaných informačných technológiách verejnej správy sa vytvára kontaktné
miesto.
f) Každá nahlásená bezpečnostne relevantná udalosť, zistená zraniteľnosť alebo bezpečnostná
slabina informačných technológií verejnej správy sa odborne posudzuje na určenie,
či ide o kybernetický bezpečnostný incident, bez zbytočného odkladu.
g) Proces odborného posúdenia a analýzy oznámení podľa písmena f) realizuje Manažér
kybernetickej bezpečnosti a informačnej bezpečnosti v spolupráci so správcami jednotlivých
komponentov a s vlastníkom/gestorom informačných technológií verejnej správy alebo
príslušnou jednotkou CSIRT/CERT.
h) Jednotlivé aktivity pri riešení bezpečnostných incidentov sa dokumentujú v evidencii
kybernetických bezpečnostných incidentov.
i) Na identifikáciu, zber, získavanie a uchovávanie dôkazov pri riešení bezpečnostných
incidentov sú určené postupy a princípy, ktoré zaručia možnosť použitia dôkazu v
sporových konaniach podľa platnej legislatívy.
j) Poznatky získané z procesu riešenia bezpečnostného incidentu, najmä z analýzy
a spôsobu vyriešenia, sa premietajú do zlepšenia prevencie najmä na zníženie pravdepodobnosti
a následkov budúcich incidentov, ako aj na zlepšenie detekcie alebo spôsobu riešenia
obdobných bezpečnostných incidentov.
Kategória III
a) Interný riadiaci akt na riešenie kybernetických bezpečnostných
incidentov okrem uvedených náležitostí podľa Kategórie II obsahuje povinnosti a zodpovednosti
najmä v oblastiach
1. plánovania a prípravy na riadené zvládnutie kybernetických
bezpečnostných incidentov,
2. monitorovania, detekcie, posúdenia a ohlasovania bezpečnostne
relevantných udalostí a kybernetických bezpečnostných incidentov,
3. hodnotenia a
rozhodovania o bezpečnostných udalostiach, zraniteľnostiach a kybernetických bezpečnostných
incidentoch,
4. klasifikačnej schémy kybernetických bezpečnostných incidentov,
5. evidencie
kybernetických bezpečnostných incidentov,
6. nakladania s forenznými dôkazmi,
7. externej
a internej komunikácie,
8. eskalácie a kontrolovanej obnovy,
9. plánovania a implementácie
opatrení na zlepšenie prevencie, detekcie, alebo reakcie na kybernetický bezpečnostný
incident.
b) Zamestnanci poverení riešením kybernetických bezpečnostných incidentov10) sú odborne
spôsobilí, pravidelne školení a zastupiteľní.
c) V organizácii správcu sú vytvorené plány na riešenie kybernetických bezpečnostných
incidentov.
N. Kryptografické opatrenia
Kategória I
Webové sídlo správcu musí byť prístupné prostredníctvom zabezpečeného protokolu
HTTPS s využitím bezpečnej verzie protokolu TLS
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=181
Kategória II a Kategória III
a) Pri informačných technológiách verejnej
správy s vysokou požiadavkou na integritu sa zabezpečuje autenticita a integrita
súborov s použitím kryptografických prostriedkov, ktorým je najmä elektronický podpis.
b) Pri informačných technológiách verejnej správy s vysokou požiadavkou na dôvernosť
musí byť na zabezpečenie dôvernosti použité šifrovanie, a to najmä
1. elektronických
dokumentov,
2. dát na prenosných zariadeniach, ktoré sú vynášané mimo priestory organizácie
správcu,
3. emailovej komunikácie prostredníctvom PGP alebo S/MIME,
4. komunikačných
kanálov na výmenu nešifrovaných dát,
5. centrálnych úložísk,
6. záloh.
c) Na zabezpečenie správneho a efektívneho používania kryptografických prostriedkov
a šifrovania sa vytvára a implementuje interný riadiaci akt, ktorý obsahuje najmä
1. princípy ochrany informačných aktív s využitím kryptografických prostriedkov,
2.
definovanie požadovanej úrovne ochrany a štandardy šifrovania,
3. roly a zodpovednosti
jednotlivých subjektov pri používaní šifrovania,
4. riadenie šifrovacích kľúčov.
d) Každé použitie kryptografického prostriedku v informačných technológiách verejnej
správy sa zadokumentuje v dokumentácii k informačným technológiám verejnej správy,
najmenej na úrovni využívaného algoritmu a verzie.
e) Správca pravidelne prehodnocuje využívané kryptografické prostriedky a overuje,
či nedošlo k zverejneniu zraniteľností s nimi súvisiacich.
O. Kontinuita prevádzky informačných technológií verejnej správy
Kategória I
Nevzťahujú sa žiadne bezpečnostné opatrenia.
Kategória II a Kategória III
a) Na zachovanie kontinuity prevádzky vykonáva
analýza rizík a posúdenie vplyvov na dostupnosť jednotlivých informačných technológií
verejnej správy a služieb, ktoré zabezpečujú.
b) Na informačné technológie verejnej správy s vysokou požiadavkou na dostupnosť
sa vypracuje plán kontinuity prevádzky, ktorý zabezpečí včasnú a adekvátnu reakciu
pri mimoriadnej udalosti alebo núdzovej situácie s cieľom minimalizácie rizika prerušenia
prevádzky informačných technológií verejnej správy a čo najrýchlejšej obnovy, ak
dôjde k prerušeniu prevádzky informačných technológií verejnej správy.
c) Plán kontinuity prevádzky obsahuje najmä
1. roly a zodpovednosti v procese zabezpečenia
kontinuity prevádzky,
2. možné vplyvy na prevádzku informačných technológií verejnej
správy,
3. časový rámec obnovy,
4. identifikáciu zdrojov potrebných na obnovu prevádzky,
5.
identifikáciu zamestnancov potrebných na obnovu prevádzky,
6. identifikáciu dát a
systémov potrebných na obnovu prevádzky (potrebné procesy zálohovania a obnovy, potrebný
personál a vybavenie),
7. identifikáciu priestorov potrebných na obnovu prevádzky,
8.
stanovenie spôsobu komunikácie a náhradnej komunikácie (spôsob kontaktovania personálu,
dodávateľov, používateľov),
9. identifikáciu vybavenia potrebného na obnovu prevádzky
(procesy obnovy alebo výmeny kľúčových zariadení, alternatívne zdroje, vzájomná pomoc),
10.
spotrebný materiál potrebný na obnovu prevádzky (procesy výmeny zásob a kľúčových
dodávok, zabezpečenie núdzových súčastí),
11. konkrétne havarijné procedúry slúžiace
na obnovu prevádzky.
d) Funkčnosť a aktuálnosť plánu kontinuity sa overuje raz ročne.
P. Audit a kontrolné činnosti
Kategória I
Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej
bezpečnosti podľa osobitného predpisu.6)
Kategória II a Kategória III
a) Vypracovanie programu posúdenia bezpečnosti
na definované informačné technológie verejnej správy, hodnotenie zraniteľností a
penetračné testy.
b) Na výkon posúdenia sa vypracuje plán, ktorý obsahuje ciele posúdenia, referenčné
dokumenty, dátumy a miesta vykonania posúdenia, organizačné útvary, ktoré sú predmetom
posúdenia, roly a zodpovednosti.
c) Dodržiavanie politík, štandardov, postupov a ostatných opatrení určených v oblasti
kybernetickej bezpečnosti a informačnej bezpečnosti sa preveruje a identifikuje sa
ich možný nesúlad.
d) Ak je identifikovaný nesúlad s opatreniami kybernetickej bezpečnosti a informačnej
bezpečnosti, prijmú sa opatrenia na jeho odstránenie. Ak je zistená nízka efektivita
alebo neúčinnosť opatrení, prehodnotia a upravia sa tieto opatrenia tak, že je bezpečnostné
riziko znížené na prijateľnú úroveň.
PRÍL.3
OBSAH A ŠTRUKTÚRA BEZPEČNOSTNÉHO PROJEKTU INFORMAČNÉHO SYSTÉMU VEREJNEJ SPRÁVY
(1) Pri spracovaní bezpečnostného projektu informačného systému verejnej
správy sa prihliada najmä na zložitosť informačného systému verejnej správy, komplexnosť
agendy pokrytej informačným systémom verejnej správy a stanovenie bezpečnostných
požiadaviek na informačný systém verejnej správy. Zohľadniť sa musí taktiež kategória,
do ktorej je informačný systém verejnej správy zaradený.
(2) Bezpečnostný projekt informačného systému verejnej správy pozostáva z
dvoch hlavných výstupov: bezpečnostného zámeru a analýzy bezpečnosti. Jednotlivé
výstupy vznikajú v určenom poradí a sú priebežne aktualizované počas celého projektu
informačného systému verejnej správy realizovaného v súlade so zákonom.
(3) Ako prvý výstup bezpečnostného projektu informačného systému verejnej
správy sa vypracuje dokument bezpečnostný zámer. Bezpečnostný zámer určuje najmä
kontext a zameranie bezpečnostného projektu, preto obsahuje najmenej
a) formuláciu
základných bezpečnostných cieľov vyplývajúcich z relevantných právnych východísk
vrátane interných predpisov orgánu riadenia, technických noriem a štandardov dobrej
praxe,
b) zoznam právnych predpisov aplikovaných v bezpečnostnom projekte, ako aj interných
riadiacich aktov,
c) metodický prístup ku kvalitatívnej analýze rizík, ktorá je v bezpečnostnom projekte
vykonaná,
d) rámcovú špecifikáciu technických opatrení, organizačných opatrení a personálnych
opatrení na zabezpečenie ochrany informačného systému verejnej správy, jeho služieb
a údajov v ňom spracúvaných s ohľadom na kategóriu, do ktorej je informačný systém
verejnej správy zaradený,
e) vymedzenie okolia informačného systému verejnej správy a jeho vzťah k možnému
narušeniu bezpečnosti informačného systému verejnej správy vrátane zoznamu integrácií
na informačný systém verejnej správy,
f) vymedzenie kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní
rizika,
g) ohraničenia bezpečnostného projektu (explicitné vysvetlenie oblastí, ktoré bezpečnostný
projekt nezahŕňa alebo kladie požiadavky na ich riešenie mimo projektu informačného
systému verejnej správy),
h) postupy revízie/aktualizácie bezpečnostného zámeru.
(4) Ako hlavný výstup bezpečnostného projektu informačného systému verejnej
správy sa vypracuje dokument analýza bezpečnosti, ktorého súčasťou je kvalitatívna
analýza rizík. Rizikom sa v bezpečnostnom projekte chápe miera kybernetického ohrozenia
vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami. Analýza rizík
je zameraná na získanie aktuálnych a vierohodných poznatkov o pravdepodobných rizikách
týkajúcich sa aktív informačného systému verejnej správy a jeho okolia. Analýza rizík
sa vykonáva pre informačný systém verejnej správy priebežne počas celého projektu
v súlade so zákonom a priamo nadväzuje na dokument bezpečnostný zámer. Analýza rizík
pozostáva z výkonu týchto činností:
a) vytvorenie podkladových katalógov na analyzované
riziká určených na identifikáciu aktív, identifikáciu hrozieb a zraniteľností a identifikáciu
vplyvov,
b) identifikácia a opis analyzovaných rizík v štruktúre podľa oblastí ustanovených
osobitným predpisom2) alebo podľa technickej normy,11)
c) priradenie aktív, hrozieb, zraniteľností a vplyvov ku každému z identifikovaných
rizík,
d) identifikácia realizovaných bezpečnostných opatrení,
e) vyhodnotenie rizík spôsobom kombinácie pravdepodobnosti realizácie scenáru rizika
a závažnosti vplyvu,
f) opis navrhovaných bezpečnostných opatrení.
(5) Pri každom riziku sa zohľadňuje pravdepodobnosť situácie, pri ktorej
hrozby využijú existujúce zraniteľnosti a spôsobia negatívny vplyv na aktíva orgánu
riadenia. Pri hodnotení závažnosti výsledného vplyvu sa zohľadňuje celková závažnosť
vplyvov, ktoré môžu byť spôsobené pri realizácii rizika. Úroveň vplyvov sa určuje
osobitne pre každé analyzované riziko a zahŕňa všetky aktíva dotknuté príslušným
rizikom. Analyzované riziko môže mať na aktíva orgánu riadenia viaceré vplyvy, ktoré
je potrebné sumárne vyhodnotiť a zdokumentovať. Výsledná miera rizika musí zohľadňovať
aj všetky realizované bezpečnostné opatrenia.
(6) Metodický postup výkonu analýzy rizík musí byť v súlade s technickou
normou.12) Výsledné vyhodnotenie rizík podľa použitej metodiky musí byť premietnuté
do trojstupňovej stupnice nízke riziko, stredné riziko, vysoké riziko.
(7) Pri tvorbe navrhovaných bezpečnostných opatrení je potrebné určiť prostriedky
a procesy odstraňovania nedostatkov zistených v rámci jednotlivých rizík. Cieľom
návrhu bezpečnostných opatrení je vytvorenie takého okruhu bezpečnostných opatrení,
že po ich implementácii a následnom prehodnotení rizík sú všetky zvyškové riziká
akceptovateľné. Pri niektorých typoch opatrení je prípustné sa odkazovať aj na dokumentáciu
k informačnému systému verejnej správy v súlade so zákonom. Opis navrhovaných bezpečnostných
opatrení zohľadňuje
a) opatrenia ustanovené touto vyhláškou alebo osobitným predpisom,1)
b) požiadavky vyplývajúce z aplikovateľnej legislatívy,
c) náležitosti implementácie a prevádzky analyzovaného informačného systému verejnej
správy a spôsob uplatňovania bezpečnostných opatrení v konkrétnych podmienkach orgánu
riadenia,
d) opatrenia realizovateľné v pôsobnosti analyzovaného informačného systému verejnej
správy, ale aj opatrenia vo vzťahu k jeho okoliu,
e) dostupné možnosti prístupu k riadeniu rizika,
f) spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie
bezpečnostných opatrení.
(8) Výstupný dokument analýzy bezpečnosti s výsledkami analýzy rizík obsahuje
najmä
a) ciele a priority analýzy rizík,
b) opis použitej metodiky analýzy rizík,
c) opis rizík založený na identifikácii aktív, identifikácii hrozieb pre tieto aktíva,
identifikácii zraniteľností a na identifikácii vplyvov na aktíva najmä v dôsledku
straty dôvernosti, integrity a dostupnosti,
d) vyhodnotenie rizík podľa použitej metodiky,
e) opis navrhovaných bezpečnostných opatrení pre identifikované riziká v závislosti
od ich závažnosti,
f) celkové zhrnutie výsledkov analýzy rizík, vrátane zoznamu vysokých a stredných
rizík usporiadaných podľa dôležitosti, s opisom navrhovaného postupu ich riadenia
a kľúčových navrhovaných bezpečnostných opatrení,
g) postupy revízie/aktualizácie analýzy bezpečnosti.
(9) Štruktúra výstupu analýzy bezpečnosti musí zodpovedať oblastiam ustanoveným
osobitným predpisom2) alebo technickou normou.11) Finalizácia dokumentácie bezpečnostného
projektu informačného systému verejnej správy je realizovaná v etape IMPLEMENTÁCIA
A TESTOVANIE v súlade so zákonom.
1) Vyhláška Národného bezpečnostného úradu č. 362/2018 Z.z., ktorou sa ustanovuje
obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah
všeobecných bezpečnostných opatrení.
2) Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých
zákonov v znení zákona č. 373/2018 Z.z.
3) Zákon Národnej rady Slovenskej republiky č. 221/1996 Z.z. o územnom a správnom
usporiadaní Slovenskej republiky v znení neskorších predpisov.
4) Zákon Slovenskej národnej rady č. 369/1990 Zb. o obecnom zriadení v znení
neskorších predpisov. Zákon Slovenskej národnej rady č. 377/1990 Zb. o hlavnom meste
Slovenskej republiky Bratislave v znení neskorších predpisov.
Zákon Slovenskej národnej
rady č. 401/1990 Zb. o meste Košice v znení neskorších predpisov.
5) § 3 a 21 zákona č. 575/2001 Z.z. o organizácii činnosti vlády a organizácii
ústrednej štátnej správy v znení neskorších predpisov.
6) Vyhláška Národného bezpečnostného úradu č. 436/2019 Z.z. o audite kybernetickej
bezpečnosti a znalostnom štandarde audítora.
7) Zákon č. 69/2018 Z.z.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679
z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom
pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie
o ochrane údajov) (Ú. V. EÚ L 119, 4.5.2016).
8) Nariadenie (EÚ) 2016/679.
9) Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii
a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení
smernice 1999/93/ES (Ú.v. EÚ L 257, 28.8.2014).
Zákon č. 272/2016 Z.z. o dôveryhodných
službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých
zákonov (zákon o dôveryhodných službách) v znení zákona č. 211/2019 Z.z.
10) Vyhláška Národného bezpečnostného úradu č. 165/2018 Z.z., ktorou sa určujú
identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných
incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov Vyhláška
Národného bezpečnostného úradu č. 166/2018 Z.z. o podrobnostiach o technickom, technologickom
a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov.
11) Napríklad STN EN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy.
Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002) (36 9784).
12) Napríklad STN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy.
Riadenie rizík informačnej bezpečnosti (ISO/IEC 27005) (36 9789).