Zaradenie do registra kybernetickej bezpečnosti
6. apr 2020
V priebehu mesiaca marec dostali mnohé mestá oznámenie z Najvyššieho bezpečnostného úradu o zaradení medzi prevádzkovateľov základnej služby. Udialo sa to na základe §17 zákona
č. 69/2018 Z. z. o kybernetickej bezpečnosti, podľa ktorého je prevádzkovateľ informačného systému verejnej správy na základe odporúčania Úradu podpredsedu vlády pre investície a informatizáciu automaticky zaradený do jednotného informačného systému kybernetickej bezpečnosti.
Aké povinnosti vám z toho vyplývajú? Podľa §19 zákona je prevádzkovateľ základnej služby povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20, na základe ktorého sa bezpečnostné opatrenia prijímajú najmä pre oblasť:
a) organizácie informačnej bezpečnosti,b) riadenia aktív, hrozieb a rizík,
c) personálnej bezpečnosti,
d) riadenia dodávateľských služieb, akvizícií, vývoja a údržby informačných systémov,
e) technických zraniteľností systémov a zariadení,
f) riadenia bezpečnosti sietí a informačných systémov,
g) riadenia prevádzky,
h) riadenia prístupov,
i) kryptografických opatrení,
j) riešenia kybernetických bezpečnostných incidentov,
k) monitorovania, testovania bezpečnosti a bezpečnostných auditov,
l) fyzickej bezpečnosti a bezpečnosti prostredia,
m) riadenia kontinuity procesov.
Podrobný popis opatrení, ktoré je potrebné prijať nájdete vo vyhláške Národného bezpečnostného úradu číslo 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
Ďalšou povinnosťou je preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb. Viac o audite sa dozviete v našom blogu.
Tiež je potrebné zabezpečiť si dohľad nad kybernetickou bezpečnosťou formou manažéra kybernetickej bezpečnosti. O jeho povinnostiach sa tiež dozviete viac na našom blogu.
Naša spoločnosť vám vie byť nápomocná pri plnení týchto povinností. Ponúkame vám analýzu, spracovanie a zavedenie bezpečnostnej politiky v rozsahu, ktorý korešponduje s požiadavkami bezpečnostných opatrení zákona č. 69/2018 Z. z., a tak vás plnohodnotne pripravíme na audit kybernetickej bezpečnosti, a taktiež vám pomôžeme splniť technické požiadavky vyplývajúce z tohto zákona.
RNDr. Daniel Schikor
Vedúci auditor informačnej bezpečnosti