Minimálne bezpečnostné opatrenia

Z doposiaľ vykonaných kontrol realizovaných MIRRI je možné vyhodnotiť aj najčastejšie kontrolné zistenia, ktorými sú predovšetkým nedostatočné vzdelávanie zamestnancov v oblasti bezpečnosti informačných technológií verejnej správy, neodstraňovanie zraniteľností v informačných technológiách verejnej správy, neuvedenie kontaktného miesta na nahlasovanie incidentov kybernetickej bezpečnosti, neexistencia postupov na riešenie kybernetických bezpečnostných incidentov, a neustanovenie pracovníka zodpovedného za koordináciu kybernetickej a informačnej bezpečnosti, teda manažéra kybernetickej a informačnej bezpečnosti alebo bezpečnostného výboru.

Je potrebné si uvedomiť, že konečnú zodpovednosť za bezpečnosť a ochranu kybernetickej bezpečnosti v organizácii nesie vždy a len štatutár. Centrálny portál kybernetickej bezpečnosti (CPKB) ponúka politiky pre kybernetickú bezpečnosť a ich popis. Prinášame výsledok z vygenerovaného dokumentu „Politika kybernetickej bezpečnosti a informačnej bezpečnosti pre kategóriu I. podľa vyhlášky č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.“

Aké sú povinnosti manažéra kybernetickej bezpečnosti/manažéra kybernetickej a informačnej bezpečnosti MKB/MKIB?

Určiť pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti a určenie jeho povinnosti, zodpovednosti a právomoci

Tento pracovník je zodpovedný za predchádzanie kybernetickým bezpečnostným incidentom a minimalizáciu ich vplyvu na kontinuitu prevádzkovania služieb organizácie. Musí spĺňať znalostné štandardy pre túto funkciu a byť nezávislý od riadenia prevádzky a vývoja IT služieb.

Pracovník zodpovedný za koordináciu KB a IB najmä:

• Spolupracuje pri príprave východiskového strategického dokumentu, ktorý určuje prístup k zabezpečovaniu kybernetickej a informačnej bezpečnosti, t. j. dokumentu „Stratégia kybernetickej bezpečnosti“, a zodpovedá za jeho pravidelnú revíziu a aktualizáciu.
• Spolupracuje na vyhodnocovaní bezpečnostných cieľov v súlade s periodicitou definovanou dokumentom „Stratégia kybernetickej bezpečnosti“.
• Tvorí návrhy politík, smerníc a pravidiel pre oblasť KB a IB.
• Spolupracuje na príprave rozpočtu pre KB a IB.
• Zúčastňuje sa na analýze rizík a zabezpečuje jej aktualizáciu (riziká týkajúce sa KB/IB).
• V rámci procesu klasifikácie a evidencie informácií posudzuje odôvodnenia spracovateľov informácií a odsúhlasuje zverejnenie informácií v súlade so zákonom č. 211/2000 Z. z. o slobodnom prístupe k ­informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
• Predkladá návrhy a oznamuje informácie v oblasti KB/IB priamo vedeniu organizácie.
• Spolupracuje pri implementácii nových technických riešení (IT architektúra, riadenie zmien, riadenie projektov a pod.) z pohľadu vplyvu na oblasť kybernetickej a informačnej bezpečnosti.
• Dohliada na prijímanie, dodržiavanie a preverovanie účinnosti prijatých opatrení v oblasti KB a IB.
• Spolupracuje pri uzatváraní zmlúv o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností s externým dodávateľom, ktorý poskytuje služby týkajúce sa vývoja, implementácie a prevádzky informačných systémov v správe organizácie.
• Zaisťuje, že ak dôjde ku kybernetickým bezpečnostným incidentom alebo k narušeniu dôvernosti, integrity alebo dostupnosti informačných aktív, tieto incidenty budú pohotovo a účinne vyriešené a budú ohlásené v súlade s platnou legislatívou.
• Zaisťuje, že budú prijaté opatrenia minimalizujúce možnosť opakovania kybernetických bezpečnostných incidentov.

Pracovník zodpovedný za koordináciu KB a IB spolupracuje s inými oddeleniami v mnohých oblastiach. Medzi tieto oblasti patrí vyšetrovanie a forenzné analýzy. Zaoberá sa sociálnymi a personálnymi aspektmi, napr. tzv. „background checks“. Zohráva úlohu aj pri IT architektúre, najmä z pohľadu KB/IB. Odpovedá za bezpečnostné nástroje a kontroly plnenia bezpečnostných opatrení. Riadi prístupové práva, spravuje zmeny a projekty a zodpovedá za konfiguračný manažment. Zaoberá sa riadením rizík v oblasti KB/IB. Identifikuje možné dopady relevantných hrozieb a pravdepodobnosť ich uplatnenia. Vykonáva analýzy funkčného dopadu. Riadi vzťahy s dodávateľmi, pričom dbá na dodržiavanie pravidiel KB/IB. Stanovuje a kontroluje dodržiavanie týchto pravidiel zo strany zamestnancov a dodávateľov. Zvyšuje povedomie o KB/IB a zaškoľuje či preškoľuje všetkých zamestnancov a dodávateľov. Venuje sa tiež inováciám v oblasti KB, IB a podobným činnostiam.

Pracovník zodpovedný za koordináciu KB/IB je ďalej povinný:

• pravidelne reportovať stav a výkonnosť KB/IB vedeniu organizácie,
• riadiť riešenie kybernetických bezpečnostných incidentov,
• bezodkladne hlásiť závažný kybernetický bezpečnostný incident prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti,
• spolupracovať s Národným bezpečnostným úradom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel poskytnúť potrebnú súčinnosť, ako aj vlastné informácie dôležité pre riešenie kybernetického bezpečnostného incidentu,
• v čase kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný prostriedok tak, aby mohol byť použitý v trestnom konaní,
• oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru SR skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka,
• oznámiť a preukázať Národnému bezpečnostnému úradu vykonanie reaktívneho opatrenia a jeho výsledok v prípade, ak bolo prijaté reaktívne opatrenie,
• informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente, za predpokladu, že by sa plnenie zmluvy s treťou stranou stalo nemožným.

Tento pracovník má právo od iných organizačných útvarov organizácie žiadať doplňujúce informácie, logy, akúkoľvek súvisiacu podpornú dokumentáciu, umožnenie kontroly dodržiavania prijatých bezpečnostných opatrení kybernetickej bezpečnosti a informačnej bezpečnosti.

Základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti

Na účely organizácie kybernetickej bezpečnosti a informačnej bezpečnosti sa uplatňuje zásada: určenia pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti

• najnižších privilégií, podľa ktorej sú každému používateľovi obmedzené privilégiá v maximálnom rozsahu potrebnom na splnenie pridelených úloh,
• oddeľovania zodpovedností, podľa ktorej žiaden používateľ nemá oprávnenie pristupovať, upravovať alebo používať informačné aktíva prevádzkovateľa základnej služby bez autorizácie alebo overenia identity,
• dodržiavania a vykonávania nezávislého hodnotenia, merania a preskúmavania efektivity a účinnosti prijatých opatrení na ošetrenie rizík,
• jasného vymedzenia právomoci, povinnosti a zodpovednosti, ktoré sú súčasťou pracovnej náplne alebo obdobného opisu pracovných činností.

V oblasti organizačných zásad KB/IB je primerane aplikovaný princíp oddeľovania výkonných a kontrolných funkcií, s cieľom minimalizovať riziko zneužitia privilégií.

Základnými opatreniami sú:

• dodržiavanie všetkých pravidiel informačnej bezpečnosti definovaných Politikou kybernetickej bezpečnosti a informačnej bezpečnosti a prípadne aj inými súvisiacimi predpismi,
• nakladať s osobnými údajmi v zmysle platných právnych predpisov,
• zachovávať mlčanlivosť o všetkých chránených skutočnostiach,
• bezpečne nakladať s IKT a ochraňovať informácie vo svojej pôsobnosti,
• zodpovedne používať pridelené prístupy v súlade s touto Politikou kybernetickej bezpečnosti a informačnej bezpečnosti a inými súvisiacimi predpismi,
• povinnosť zachovávať všetky heslá a prihlasovacie kódy v tajnosti,
• zákaz zdieľania pridelených používateľských hesiel,
• neinštalovať akýkoľvek software na hociktorý prostriedok IKT bez schválenia príslušného vedúceho zamestnanca alebo pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezp