Minimálne bezpečnostné opatrenia

Mgr. Ladislav Šnapko

Vydáno:

URČENIE MKB/MKIB 

Pred vydaním nových vyhlášok alebo samotného zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, je vhodné priblížiť si určité opatrenia a povinnosti, ktoré je potrebné čo najskôr aplikovať v rámci organizácie. Tieto opatrenia vychádzajú z výsledkov kontrol vykonaných MIRRI. Nadväzujeme na predošlý článok a Minimálne bezpečnostné opatrenia, kde je kľúčovým aspektom určenie MKB/MKIB.

Z doposiaľ vykonaných kontrol realizovaných MIRRI je možné vyhodnotiť aj najčastejšie kontrolné zistenia, ktorými sú predovšetkým nedostatočné vzdelávanie zamestnancov v oblasti bezpečnosti informačných technológií verejnej správy, neodstraňovanie zraniteľností v informačných technológiách verejnej správy, neuvedenie kontaktného miesta na nahlasovanie incidentov kybernetickej bezpečnosti, neexistencia postupov na riešenie kybernetických bezpečnostných incidentov, a neustanovenie pracovníka zodpovedného za koordináciu kybernetickej a informačnej bezpečnosti, teda manažéra kybernetickej a informačnej bezpečnosti alebo bezpečnostného výboru.

Je potrebné si uvedomiť, že konečnú zodpovednosť za bezpečnosť a ochranu kybernetickej bezpečnosti v organizácii nesie vždy a len štatutár. Centrálny portál kybernetickej bezpečnosti (CPKB) ponúka politiky pre kybernetickú bezpečnosť a ich popis. Prinášame výsledok z vygenerovaného dokumentu „Politika kybernetickej bezpečnosti a informačnej bezpečnosti pre kategóriu I. podľa vyhlášky č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.“

Aké sú povinnosti manažéra kybernetickej bezpečnosti/manažéra kybernetickej a informačnej bezpečnosti MKB/MKIB?

Určiť pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti a určenie jeho povinnosti, zodpovednosti a právomoci

Tento pracovník je zodpovedný za predchádzanie kybernetickým bezpečnostným incidentom a minimalizáciu ich vplyvu na kontinuitu prevádzkovania služieb organizácie. Musí spĺňať znalostné štandardy pre túto funkciu a byť nezávislý od riadenia prevádzky a vývoja IT služieb.

Pracovník zodpovedný za koordináciu KB a IB najmä:

  • Spolupracuje pri príprave východiskového strategického dokumentu, ktorý určuje prístup k zabezpečovaniu kybernetickej a informačnej bezpečnosti, t. j. dokumentu „Stratégia kybernetickej bezpečnosti“, a zodpovedá za jeho pravidelnú revíziu a aktualizáciu.
  • Spolupracuje na vyhodnocovaní bezpečnostných cieľov v súlade s periodicitou definovanou dokumentom „Stratégia kybernetickej bezpečnosti“.
  • Tvorí návrhy politík, smerníc a pravidiel pre oblasť KB a IB.
  • Spolupracuje na príprave rozpočtu pre KB a IB.
  • Zúčastňuje sa na analýze rizík a zabezpečuje jej aktualizáciu (riziká týkajúce sa KB/IB).
  • V rámci procesu klasifikácie a evidencie informácií posudzuje odôvodnenia spracovateľov informácií a odsúhlasuje zverejnenie informácií v súlade so zákonom č. 211/2000 Z. z. o slobodnom prístupe k ­informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
  • Predkladá návrhy a oznamuje informácie v oblasti KB/IB priamo vedeniu organizácie.
  • Spolupracuje pri implementácii nových technických riešení (IT architektúra, riadenie zmien, riadenie projektov a pod.) z pohľadu vplyvu na oblasť kybernetickej a informačnej bezpečnosti.
  • Dohliada na prijímanie, dodržiavanie a preverovanie účinnosti prijatých opatrení v oblasti KB a IB.
  • Spolupracuje pri uzatváraní zmlúv o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností s externým dodávateľom, ktorý poskytuje služby týkajúce sa vývoja, implementácie a prevádzky informačných systémov v správe organizácie.
  • Zaisťuje, že ak dôjde ku kybernetickým bezpečnostným incidentom alebo k narušeniu dôvernosti, integrity alebo dostupnosti informačných aktív, tieto incidenty budú pohotovo a účinne vyriešené a budú ohlásené v súlade s platnou legislatívou.
  • Zaisťuje, že budú prijaté opatrenia minimalizujúce možnosť opakovania kybernetických bezpečnostných incidentov.

Pracovník zodpovedný za koordináciu KB a IB spolupracuje s inými oddeleniami v mnohých oblastiach. Medzi tieto oblasti patrí vyšetrovanie a forenzné analýzy. Zaoberá sa sociálnymi a personálnymi aspektmi, napr. tzv. „background checks“. Zohráva úlohu aj pri IT architektúre, najmä z pohľadu KB/IB. Odpovedá za bezpečnostné nástroje a kontroly plnenia bezpečnostných opatrení. Riadi prístupové práva, spravuje zmeny a projekty a zodpovedá za konfiguračný manažment. Zaoberá sa riadením

Související dokumenty

Súvisiace články

Informačná a kybernetická bezpečnosť (1.)
Nedostatky pri plnení zákonných povinností v BOZP
Novela zákona o kybernetickej bezpečnosti
Minimálne bezpečnostné opatrenia
Aktíva a informačné aktíva
Manažér kybernetickej bezpečnosti
Kybernetické bezpečnostné incidenty
Umelá inteligencia – jej výzvy a regulácie
Kybernetická bezpečnosť a bezpečnostné povedomie
Ochrana osobných údajov v školách
Správa a prevádzka informačných systémov
Rodinný plán kybernetickej bezpečnosti
Aktívna sociálna interakcia v online výučbe
Riziká, sociálne hrozby a informačno-komunikačné technológie (1.)
Riziká, sociálne hrozby a informačno-komunikačné technológie
Informačná gramotnosť ako kľúčová kompetencia
Nariadenie o ochrane osobných údajov (GDPR)
Ochrana osobných údajov (1.)
Ochrana osobných údajov (2.)