Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy 179/2020 účinný od 30.06.2020

Platnosť od: 30.06.2020
Účinnosť od: 30.06.2020
Autor: Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu
Oblasť: Bankovníctvo a peňažníctvo, Informácie a informačný systém, Vysoké a vyššie školstvo, Občianske a politické práva

Informácie ku všetkým historickým zneniam predpisu
HIST1JUDDSEUPPČL0

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy 179/2020 účinný od 30.06.2020
Informácie ku konkrétnemu zneniu predpisu
Vyhláška 179/2020 s účinnosťou od 30.06.2020
Zobraziť iba vybrané paragrafy:
Zobraziť

UPOZORNENIE: Znenia §-ov sú skrátené. Na zobrazenie celého znenia musíte byť zaregistrovaní. ZAREGISTRUJTE SA NA 14 DNÍ BEZPLATNE! 

Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu

ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej ...

Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu podľa § 31 písm. a) a i) ...

§ 1
Základné ustanovenia
(1)

Táto vyhláška ustanovuje

a)
kategórie informačných technológií verejnej správy a podrobnosti o spôsobe zaraďovania do týchto kategórií ...
b)
podrobnosti o bezpečnosti informačných technológií verejnej správy podľa § 18 až 23 zákona, obsahu bezpečnostných ...
(2)

Aktíva informačných technológií verejnej správy sa identifikujú a udržiavajú podľa prílohy č. 1 so zreteľom ...

(3)

Vo vzťahu k informačným technológiám verejnej správy sú realizované bezpečnostné opatrenia aspoň na ...

(4)

Na splnenie požiadaviek zákona a tejto vyhlášky sa poskytne správcovi súbor materiálov, ktorý obsahuje ...

§ 2
Bezpečnostné opatrenia
(1)

Bezpečnostné opatrenia informačných technológií verejnej správy tvoria minimálne bezpečnostné opatrenia ...

(2)

Pri duplicite alebo nekompatibilite minimálnych bezpečnostných opatrení rôznych kategórií, ktoré môžu ...

(3)

Ak sa aplikuje bezpečnostné opatrenie aj podľa osobitného predpisu,2) aplikuje sa bezpečnostné opatrenie ...

(4)

Bezpečnostný projekt informačných systémov verejnej správy sa vypracuje a implementuje podľa prílohy ...

§ 3
Minimálne bezpečnostné opatrenia
(1)

Minimálne bezpečnostné opatrenia upravuje príloha č. 2 a sú rozdelené do Kategórie I, Kategórie II a ...

(2)

Minimálne bezpečnostné opatrenia Kategórie I jednotlivých oblastí kybernetickej bezpečnosti a informačnej ...

a)
obec do 6000 obyvateľov,
b)
obec so štatútom mesta do 6000 obyvateľov,
c)
právnickú osobu v zriaďovateľskej pôsobnosti alebo zakladateľskej pôsobnosti orgánu riadenia podľa § ...
d)
osobu podľa § 5 ods. 2 písm. g) zákona,
e)
komoru podľa § 5 ods. 2 písm. f) zákona.
(3)

Minimálne bezpečnostné opatrenia Kategórie I a Kategórie II jednotlivých oblastí kybernetickej bezpečnosti ...

a)
obec nad 6000 obyvateľov,
b)
obec so štatútom mesta nad 6000 obyvateľov okrem krajských miest,3)
c)
mestskú časť s právnou subjektivitou,4)
d)
Kanceláriu verejného ochrancu práv,
e)
Úrad komisára pre deti,
f)
Úrad komisára pre osoby so zdravotným postihnutím,
g)
Radu pre vysielanie a retransmisiu,
h)
prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete a informačné systémy sú ...
(4)

Minimálne bezpečnostné opatrenia Kategórie I, Kategórie II a Kategórie III jednotlivých oblastí kybernetickej ...

a)
obec, ktorá je aj krajským mestom,3)
b)
samosprávny kraj,
c)
ministerstvo a ostatný ústredný orgán štátnej správy,5)
d)
Úrad pre reguláciu sieťových odvetví,
e)
Úrad pre reguláciu elektronických komunikácií a poštových služieb,
f)
Najvyšší kontrolný úrad Slovenskej republiky,
g)
Úrad pre dohľad nad zdravotnou starostlivosťou,
h)
Úrad na ochranu osobných údajov Slovenskej republiky,
i)
Generálnu prokuratúru Slovenskej republiky,
j)
Dopravný úrad,
k)
Ústav pamäti národa,
l)
Tlačovú agentúru Slovenskej republiky,
m)
Rozhlas a televíziu Slovenska,
n)
Kanceláriu Súdnej rady Slovenskej republiky,
o)
Kanceláriu Najvyššieho súdu Slovenskej republiky,
p)
Kanceláriu Ústavného súdu Slovenskej republiky,
q)
Kanceláriu prezidenta Slovenskej republiky,
r)
Kanceláriu Národnej rady Slovenskej republiky,
s)
Finančné riaditeľstvo Slovenskej republiky,
t)
Národnú agentúru pre sieťové a elektronické služby,
u)
Zbor väzenskej a justičnej stráže,
v)
DataCentrum Ministerstva financií Slovenskej republiky,
w)
DataCentrum elektronizácie územnej samosprávy Slovenska,
x)
Sociálnu poisťovňu,
y)
zdravotnú poisťovňu,
z)
Národné centrum zdravotníckych informácií,
aa)
prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete a informačné systémy sú ...
(5)

Minimálne bezpečnostné opatrenia konkrétnej kategórie vo vzťahu k informačným technológiám verejnej ...

§ 4
Spoločné ustanovenia
(1)

Za bezpečnosť informačných technológií verejnej správy je zodpovedný jeho správca. Ak je na bezpečnosť ...

(2)

Ak sa v tejto vyhláške ustanovuje použitie postupu podľa technickej normy, slovenskej technickej normy, ...

§ 5
Prechodné ustanovenia
(1)

V organizácii správcu, ktorý je zriadený alebo založený pred dňom účinnosti tejto vyhlášky, sa táto ...

(2)

V organizácii správcu, ktorý je zriadený alebo založený po nadobudnutí účinnosti tejto vyhlášky, sa ...

(3)

V organizácii správcu podľa § 3 ods. 2 sa prijmú vnútorné riadiace akty vo forme dokumentov schválených ...

§ 6
Zrušovacie ustanovenie

Zrušuje sa výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre informačné ...

§ 7
Účinnosť

Táto vyhláška nadobúda účinnosť dňom vyhlásenia.

Roman Krpelan v. r.

Prílohy

    Príloha č. 1 k vyhláške č. 179/2020 Z. z.

    ZOZNAM AKTÍV

    Zoznam aktív obsahuje označenie operačného systému alebo firemného softvéru a jeho aktuálne používanej ...

    a)

    pracovná stanica – stolová,

    b)

    pracovná stanica – prenosná,

    c)

    aplikačný softvér,

    1.

    kancelársky softvér,

    2.

    internetový prehliadač,

    3.

    antivírusový softvér,

    4.

    komunikačný softvér,

    5.

    ďalší využívaný komerčný softvér,

    d)

    všetky druhy serverov,

    e)

    virtualizačné prostredie,

    f)

    databázové prostredie,

    g)

    komerčný podnikový softvér,

    h)

    sieťový firewall,

    i)

    sieťový router,

    j)

    sieťový prepínač,

    k)

    komunikačné prostredie,

    l)

    zálohovacie prostredie,

    m)

    mobilné zariadenia,

    n)

    dátové úložiská,

    o)

    ostatné zariadenia alebo sieťové prvky schopné komunikovať so zvyškom ekosystému informačných technológií ...

    p)

    prenosné zariadenia.

    Príloha č. 2 k vyhláške č. 179/2020 Z. z.

    MINIMÁLNE BEZPEČNOSTNÉ OPATRENIA

    A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti

    Kategória I

    a)

    Určenie pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti. ...

    b)

    Vypracovanie a implementácia interného riadiaceho aktu, ktorý je pre organizáciu správcu záväzný a obsahuje ...

    1.

    určenie povinnosti, zodpovednosti a právomoci pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti ...

    2.

    základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti, ktoré organizácia správcu ...

    Kategória II

    a)

    Vypracovanie a implementácia interného riadiaceho aktu Politika kybernetickej bezpečnosti a informačnej ...

    1.

    určenie povinnosti, zodpovednosti a právomoci manažéra kybernetickej bezpečnosti a informačnej bezpečnosti ...

    2.

    základné zásady a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných ...

    b)

    Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej bezpečnosti ...

    1.

    vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej bezpečnosti a ...

    2.

    riadiť a zaisťovať kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov ...

    3.

    metodicky viesť správcov informačných technológií verejnej správy, gestorov informačných technológií ...

    4.

    v súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať bezpečnostné hrozby ...

    5.

    navrhovať opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, ...

    6.

    koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie správcu,

    7.

    predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie ...

    8.

    zabezpečiť pravidelné – najmenej raz za dva roky – preskúmanie stavu informačnej bezpečnosti a spolupracovať ...

    9.

    zabezpečovať školenia zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, ...

    10.

    spolupracovať s inými orgánmi verejnej moci.

    c)

    Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej ...

    1.

    organizácia kybernetickej bezpečnosti a informačnej bezpečnosti,

    2.

    riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

    3.

    personálna bezpečnosť,

    4.

    riadenie prístupov,

    5.

    riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s tretími stranami,

    6.

    bezpečnosť pri prevádzke informačných systémov a sietí,

    7.

    hodnotenie zraniteľnosti a bezpečnostné aktualizácie,

    8.

    ochrana proti škodlivému kódu,

    9.

    sieťová a komunikačná bezpečnosť,

    10.

    akvizícia, vývoj a údržba informačných technológií verejnej správy,

    11.

    zaznamenávanie udalostí a monitorovanie,

    12.

    riadenie kontinuity procesov. fyzická bezpečnosť a bezpečnosť prostredia,

    13.

    riešenie kybernetických bezpečnostných incidentov,

    14.

    kryptografické opatrenia,

    15.

    kontinuita prevádzky informačných technológií verejnej správy,

    16.

    audit a kontrolné činnosti.

    d)

    Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného ...

    e)

    Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti a informačnej bezpečnosti ...

    f)

    Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.

    Kategória III

    a)

    Vytvorenie bezpečnostného výboru s rozsahom povinností a právomocí určených štatútom.

    b)

    Bezpečnostný výbor pri výkone svojej činnosti najmä

    1.

    riadi stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,

    2.

    riadi bezpečnostné riziká v rozsahu celej organizácie, akceptuje bezpečnostné riziká, ktoré sa týkajú ...

    3.

    schvaľuje a rozhoduje o implementácii významných bezpečnostných opatrení a postupov,

    4.

    schvaľuje odporúčania, návrhy strategických a koncepčných materiálov v oblasti kybernetickej bezpečnosti ...

    5.

    predkladá štatutárnemu orgánu na schválenie návrh zodpovednosti za implementáciu a uplatňovanie jednotlivých ...

    c)

    Bezpečnostný výbor sa skladá najmenej z

    1.

    štatutára správcu, jeho zástupcu alebo ním poverenej osoby,

    2.

    manažéra kybernetickej bezpečnosti a informačnej bezpečnosti,

    3.

    vedúceho zamestnanca organizačného útvaru zodpovedného za správu informačno-komunikačnej infraštruktúry, ...

    4.

    vedúceho zamestnanca organizačného útvaru zodpovedného za právne a legislatívne služby,

    5.

    zodpovednej osoby za ochranu osobných údajov.

    Minimálne zloženie bezpečnostného výboru možno doplniť o ďalšie osoby.

    d)

    Vytvorenie pozície manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu ...

    e)

    Manažér kybernetickej bezpečnosti a informačnej bezpečnosti pri výkone svojej činnosti najmä

    1.

    navrhuje stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,

    2.

    informuje bezpečnostný výbor alebo štatutárny orgán správcu o stave informačnej bezpečnosti v organizácii ...

    3.

    bezodkladne informuje bezpečnostný výbor alebo štatutárny orgánu správcu o závažných bezpečnostných ...

    4.

    zabezpečuje nezávislé preskúmanie stavu informačnej bezpečnosti a spoluprácu pri realizácii auditov ...

    f)

    Zabezpečenie kontinuálneho vzdelávania manažéra kybernetickej bezpečnosti a informačnej bezpečnosti. ...

    g)

    Uplatňovanie princípu oddelenia právomocí a zodpovedností v celej organizačnej štruktúre organizácie ...

    h)

    Zabezpečenie preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia ...

    i)

    Zabezpečenie vypracovania bezpečnostného projektu informačného systému verejnej správy.

    B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti

    Kategória I

    Kontinuálne riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti:

    1.

    Vypracovanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti.

    2.

    Návrh a prijatie bezpečnostných opatrení.

    3.

    Periodické preskúmavanie rizík.

    Kategória II

    a)

    Identifikácia všetkých významných informačných aktív v organizácii správcu a určenie ich vlastníka, ...

    b)

    Zaradenie informačných aktív podľa definovaných požiadaviek na ich dôvernosť, dostupnosť a integritu ...

    c)

    Klasifikačné stupne pre informačné aktíva ustanovuje osobitný predpis.1)

    d)

    Vypracovanie a implementácia interného riadiaceho aktu na riadenie bezpečnostných rizík, ktorý obsahuje ...

    1.

    zodpovednosť za vykonanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

    2.

    proces vykonávania analýzy rizík,

    3.

    maticu určenia závažnosti rizika,

    4.

    periodicitu vykonávania analýzy rizík,

    5.

    spôsob dokumentácie bezpečnostných rizík a prijatých opatrení a postupov na ich zníženie na prijateľnú ...

    e)

    Vykonávanie analýzy rizík najmenej raz za dva roky.

    Kategória III

    a)

    Vytvorenie a udržiavanie zoznamu informačných aktív každého organizačného útvaru organizácie správcu, ...

    b)

    Vykonávanie analýzy rizík a vyhodnocovanie súladu implementovaných opatrení s touto vyhláškou najmenej ...

    C. Personálna bezpečnosť

    Kategória I

    a)

    Ustanoviť plán rozvoja bezpečnostného povedomia, ktorý obsahuje formu, obsah a rozsah potrebných školení ...

    b)

    Zabezpečenie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, vykonávaných školení a ďalších ...

    c)

    Zamestnávateľ povinnej osoby a tretia strana zabezpečí, že každý zamestnanec a tretia strana sú poučení ...

    d)

    Zabezpečenie oznamovania bezpečnostných incidentov pracovníkovi, ktorý je zodpovedný za koordináciu ...

    e)

    Určenie postupu pri ukončení pracovného pomeru alebo iného obdobného vzťahu zamestnanca a pri ukončení ...

    1.

    vrátenie pridelených zariadení, ktorými sú najmä počítače, pamäťové médiá, čipové karty a navrátenie ...

    2.

    zablokovanie prístupu v zariadeniach pridelených zamestnancovi, ktorými sú najmä počítače, notebooky, ...

    3.

    zrušenie prístupových práv v informačných systémoch verejnej správy,

    4.

    odovzdanie výsledkov práce v súvislosti s informačnými systémami verejnej správy, ktorými sú najmä programy ...

    f)

    Zabezpečenie zmeny prístupových oprávnení pri zmene postavenia používateľov, administrátorov alebo osôb ...

    g)

    Sankcionovanie porušenia interných riadiacich aktov v oblasti kybernetickej bezpečnosti a informačnej ...

    Kategória II

    a)

    Vypracovanie a pravidelné aktualizovanie dokumentu Bezpečnostné zásady pre koncových používateľov, ktorý ...

    1.

    prideľovanie prístupových práv,

    2.

    zásady tvorby a používania hesiel,

    3.

    zásady ochrany pred infiltráciou škodlivým kódom,

    4.

    zásady bezpečného používania elektronickej pošty,

    5.

    zásady bezpečného používania internetu,

    6.

    zásady bezpečného používania komunikačných nástrojov a sociálnych sietí,

    7.

    zásady používania prenosných zariadení a médií,

    8.

    zálohovanie údajov,

    9.

    riešenie kybernetických bezpečnostných incidentov,

    10.

    ochranu fyzického majetku,

    11.

    pohyb v priestoroch organizácie správcu.

    b)

    Zavedenie procesu preukázateľného poučenia a oboznámenia nových zamestnancov bezprostredne po nástupe ...

    c)

    Zavedenie procesu preukázateľného oboznámenia správcov informačných technológií verejnej správy s internými ...

    d)

    Zavedenie procesu zvyšovania bezpečnostného povedomia zamestnancov s cieľom ich oboznamovania s aktuálnymi ...

    e)

    Na prístup k informačným technológiám verejnej správy sa vyžaduje

    1.

    oboznámenie so spôsobom používania informačných technológií verejnej správy a bezpečnostných mechanizmov ...

    2.

    poučenie na rozoznanie kybernetického bezpečnostného incidentu od bežnej prevádzky a zvládnutie postupu ...

    3.

    oboznámenie so zamestnancom, na ktorého je možné sa obracať s otázkami a nejasnosťami pri používaní ...

    Kategória III

    a)

    Vytvorenie evidencie informačných technológií verejnej správy s priradením konkrétnych správcov, ktorí ...

    b)

    Systematické zvyšovanie bezpečnostného povedomia tak, že pokrýva všetky oblasti ustanovené touto vyhláškou, ...

    D. Riadenie prístupov

    Kategória I

    a)

    Zavedenie pravidiel zakazujúcich zdieľanie používateľských hesiel do informačných technológií verejnej ...

    b)

    Zavedenie identifikácie používateľa a autentifikácie pri vstupe do informačných technológií verejnej ...

    c)

    Zavedenie pravidiel na zmenu používateľských hesiel s frekvenciou najmenej jeden rok.

    Kategória II

    a)

    Vypracovanie a implementácia interného predpisu upravujúceho riadenie prístupu k údajom a funkciám informačných ...

    b)

    Určenie postupu a zodpovednosti v súvislosti s prideľovaním prístupových práv používateľom a ich schvaľovania ...

    c)

    Zaznamenávanie zmien v pridelenom prístupe a ich archivácia.

    d)

    Používanie bezpečných postupov identifikácie a autentifikácie jednotlivých používateľov s cieľom minimalizovať ...

    e)

    Vytvorenie a presadzovanie politiky a systému správy hesiel, ktorá umožní používateľom najmä

    1.

    zabezpečiť absolútnu kontrolu nad heslom svojho používateľského účtu,

    2.

    presadzovať určenú štruktúru hesla,

    3.

    vyžadovať pravidelnú zmenu hesla,

    4.

    uchovávať a prenášať používateľské heslá bezpečným spôsobom.

    f)

    Zabezpečenie formálneho riadenia a autorizácie prideľovania privilegovaných prístupov do informačných ...

    g)

    Preskúmavanie privilegovaných prístupových práv v pravidelných intervaloch najmenej raz za rok. ...

    h)

    Určenie bezpečnostných zásad na mobilné pripojenie do informačných technológií verejnej správy a na ...

    i)

    Automatické zaznamenávanie každého prístupu administrátora do informačných technológií verejnej správy ...

    j)

    Vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov informačných technológií ...

    Kategória III

    a)

    Implementácia centrálnej správy identít (IDM).

    b)

    Preskúmanie prístupových opatrení v spolupráci s vlastníkom najmenej raz za rok.

    c)

    Vypracovanie a pravidelná aktualizácia zoznamu privilegovaných prístupových oprávnení a ich preskúmavanie ...

    d)

    Implementácia, vynucovanie prístupových rolí v informačných technológiách verejnej správy.

    e)

    Zamedzenie možnosti zmeny log záznamov prístupu každého používateľa vrátane administrátora do informačných ...

    f)

    Používanie silných autentizačných metód na overenie identity používateľov, ako je viacfaktorová autentizácia ...

    E. Riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami ...

    Kategória I

    V zmluve s dodávateľmi musí byť určená požiadavka na dodržiavanie všetkých interných riadiacich dokumentov ...

    Kategória II

    a)

    Požiadavky v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti sa určujú, odsúhlasujú a formálne ...

    b)

    Zmluvné požiadavky na kybernetickú bezpečnosť a informačnú bezpečnosť obsahujú najmenej záväzok ...

    1.

    plnenia určených požiadaviek a kritérií pre oblasť kybernetickej bezpečnosti a informačnej bezpečnosti ...

    2.

    ochrany informácií, ku ktorým je poskytnutý prístup,

    3.

    oboznámenia sa a dodržiavania všetkých interných riadiacich aktov týkajúcich sa kybernetickej bezpečnosti ...

    4.

    riadenia a monitorovania prístupov do informačných technológií verejnej správy vrátane spôsobu a mechanizmu, ...

    5.

    možnosti vykonávania kontrolných činností a auditu vrátane rozsahu a spôsobu,

    6.

    oznámenia všetkých bezpečnostných rizík, nedostatkov alebo zraniteľností informačných technológií verejnej ...

    7.

    spolupráce pri riešení kybernetických bezpečnostných incidentov, najmä zachovania a poskytovania všetkých ...

    8.

    zachovania úrovne kybernetickej bezpečnosti a informačnej bezpečnosti pri významných zmenách vrátane ...

    c)

    Pri využívaní dodávateľských reťazcov sa pred začatím využívania služieb identifikujú možné riziká kybernetickej ...

    1.

    kritické komponenty a prvky služby,

    2.

    možnosti presadzovania a monitorovania bezpečnostných požiadaviek naprieč celým dodávateľským reťazcom, ...

    3.

    možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch medzi dodávateľmi a subdodávateľmi, ...

    4.

    ďalšie možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vyplývajúce zo životného cyklu ...

    d)

    Pri zmenách služieb poskytovaných treťou stranou sa posudzuje ich vplyv na kybernetickú a informačnú ...

    e)

    Do zmluvného vzťahu s tretími stranami sa zavedie proces implementácie zmien v oblasti riadenia kybernetickej ...

    f)

    Pri vývoji aplikácií a systémov realizovaných treťou stranou sa v zmluve určia jasné podmienky týkajúce ...

    Kategória III

    a)

    Pre informačné technológie verejnej správy, ktoré spracúvajú kritické informačné aktíva v zmysle požiadaviek ...

    b)

    Interný predpis ustanovujúci zásady kybernetickej bezpečnosti a informačnej bezpečnosti pre dodávateľov ...

    1.

    pri riadení vzťahov s dodávateľmi,

    2.

    pri ošetrení kybernetickej bezpečnosti a informačnej bezpečnosti v zmluvách s dodávateľmi,

    3.

    dodávateľských reťazcov informačných technológií verejnej správy,

    4.

    monitorovania a preskúmavania dodávateľských služieb,

    5.

    riadenia zmien v službách dodávateľa,

    6.

    na prístupové práva a účty,

    7.

    na fyzickú bezpečnosť,

    8.

    na ochranu a zálohovanie dát,

    9.

    na mobilné prostriedky a vzdialený prístup.

    c)

    Vytvorenie a využívanie procesu pravidelného monitorovania a preskúmavania kybernetickej bezpečnosti ...

    F. Bezpečnosť pri prevádzke informačných systémov a sietí

    Kategória I

    a)

    Na účinnú prevenciu pred stratou dát v organizácii správcu sa zavedie proces na vytváranie záložných ...

    b)

    V organizácii správcu sa vypracuje a dodržiava politika zálohovania, ktorá definuje požiadavky organizácie ...

    c)

    Prevádzkové zálohy, kópia archivačnej zálohy a kópie inštalačných médií sú uložené do uzamykateľného ...

    Kategória II a Kategória III

    a)

    Vyhotovenie archivačnej zálohy najmenej v dvoch kópiách.

    b)

    Zabezpečenie vykonania testu funkcionality dátového nosiča archivačnej zálohy a prevádzkovej zálohy ...

    c)

    Zabezpečenie vykonania testu obnovy informačných technológií verejnej správy a údajov z prevádzkovej ...

    d)

    Fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú technické prostriedky ...

    e)

    Prevádzkové postupy informačných technológií verejnej správy sa zadokumentujú, udržiavajú a sú dostupné ...

    f)

    Všetky zmeny v prevádzkovaných informačných technológiách verejnej správy, ako aj procesoch alebo fyzických ...

    g)

    Vypracovanie interného riadiaceho aktu riadenia zmien, ktorý obsahuje posúdenie zmien s cieľom identifikácie ...

    h)

    Zmeny, pri ktorých ich iniciátor nedokáže jednoznačne určiť alebo vylúčiť možný vplyv na bezpečnosť ...

    i)

    V rámci formálneho procesu riadenia zmien sa určí aj postup kontrolovanej a autorizovanej implementácie ...

    j)

    Na jednotlivých prvkoch informačných technológií verejnej správy sa implementujú implementované bezpečnostné ...

    1.

    operačné systémy,

    2.

    virtualizačné prostredia,

    3.

    aplikačný softvér,

    4.

    pracovné stanice,

    5.

    sieťové zariadenia, vrátane bezpečnostných zariadení,

    6.

    databázové prostredia.

    k)

    Monitorovanie informačných technológií verejnej správy na identifikáciu ich kapacitných požiadaviek ...

    l)

    Vzájomné oddelenie vývojového, testovacieho a prevádzkového prostredia na prevenciu neautorizovaného ...

    G. Hodnotenie zraniteľností a bezpečnostné aktualizácie

    Kategória I

    Nastavenie automatickej aktualizácie operačného systému a aplikácií.

    Kategória II

    a)

    V organizácii správcu zaviesť pravidelné zisťovanie a riešenie efektívnych procesov pravidelného zisťovania ...

    b)

    Všetky zistené kritické zraniteľnosti sa odstraňujú v čo najkratšom čase, a to najmä implementáciou ...

    c)

    Vykonávanie hodnotenie zraniteľností najmenej raz ročne.

    d)

    Vypracovanie a zavedenie procesu riadenia implementácie bezpečnostných aktualizácií a záplat jednotlivých ...

    e)

    Vytvorenie a udržiavanie inventárneho zoznamu hardvéru a softvéru jednotlivých prvkov informačných technológií ...

    f)

    Jednotlivé prvky informačných technológií verejnej správy monitorujú zdroje, ktoré poskytujú včasné ...

    g)

    Primárnymi zdrojmi na identifikáciu nových zraniteľností a bezpečnostných aktualizácií sú

    1.

    informácie zo systémov a automatizovaných technológií pre aktualizáciu,

    2.

    informačný servis výrobcov technológií,

    3.

    výstupy z bezpečnostných technológií,

    4.

    výsledky penetračných testov,

    5.

    oznámenia a varovania orgánov štátnej správy a autorít v oblasti kybernetickej bezpečnosti,

    6.

    webové stránky a portály spoločností zameraných na publikovanie zraniteľnosti.

    h)

    Výnimky z implementácie bezpečnostných aktualizácií sa schvaľujú a evidujú manažérom kybernetickej bezpečnosti ...

    i)

    Súbory s bezpečnostnými aktualizáciami sa získavajú výhradne z dôveryhodného zdroja, primárne priamo ...

    j)

    Pred implementáciou aktualizácií sú vykonané opatrenia na možnosť obnovenia pôvodného stavu prvku informačných ...

    k)

    Po implementácii aktualizácie sa aktualizuje prvok informačných technológií verejnej správy verifikovaný, ...

    Kategória III

    a)

    Preskúmavanie a odstraňovanie zraniteľností sa vykoná najmenej každých šesť mesiacov.

    b)

    Bezpečnostné a ostatné aktualizácie sa implementuje najmä prostredníctvom automatizovaného nástroja. ...

    H. Ochrana proti škodlivému kódu

    Kategória I

    a)

    Prijatie adekvátnych opatrení na prevenciu, detekciu škodlivého kódu, ako aj na efektívnu reakciu pri ...

    b)

    V organizácii správcu je zakázané sťahovanie, inštalácia a používanie nelegálneho alebo škodlivého softvéru. ...

    c)

    Prevencia a detekcia škodlivého kódu je pravidelná a zameraná hlavne na

    1.

    používanie prenosných médií, napríklad USB kľúče, flash disky, CD, DVD,

    2.

    škodlivé emailové prílohy a odkazy,

    3.

    podozrivé a škodlivé webové stránky a odkazy,

    4.

    externú a internú sieťovú komunikáciu v organizácii správcu vrátane webových sídiel,

    5.

    prenos súborov z externých sietí.

    d)

    Vytvorenie procesu alebo postupu na prenos súborov z externých sietí, ktorý zabezpečí kontrolu prenášaných ...

    Kategória II

    a)

    Zavedenie ochrany informačných technológií verejnej správy pred škodlivým kódom najmenej v rozsahu ...

    1.

    kontroly prichádzajúcej elektronickej pošty na prítomnosť škodlivého kódu a nepovolených typov príloh, ...

    2.

    detekcie prítomnosti škodlivého kódu na všetkých používaných informačných technológiách verejnej správy, ...

    3.

    kontroly súborov prijímaných zo siete internet a odosielaných do siete internet na prítomnosť škodlivého ...

    4.

    detekcie prítomnosti škodlivého kódu na všetkých webových sídlach organizácie správcu.

    b)

    Zavedenie ochrany pred nevyžiadanou elektronickou poštou.

    Kategória III

    a)

    Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním ...

    b)

    Detekcia inštalácie nelegálneho, alebo škodlivého softvéru sa vykonáva prostredníctvom automatizovaných ...

    c)

    Vypracovanie postupov obnovy a odstránenia infiltrácie škodlivým kódom na efektívne zvládanie infiltrácie ...

    I. Sieťová a komunikačná bezpečnosť

    Kategória I

    a)

    Všetky koncové stanice sú chránené prostredníctvom softvérového personálneho firewallu.

    b)

    Na sieťových zariadeniach sa implementujú najmenej tieto bezpečnostné opatrenia:

    1.

    pravidelná aktualizácia firmvéru,

    2.

    zmena továrensky nastavených autentifikačných údajov,

    3.

    pri bezdrôtových sieťach musí byť nastavené využívanie bezpečného šifrovania a zabezpečenia,

    4.

    vypnutie možnosti správy zariadenia na diaľku alebo prijatie iných opatrení zabraňujúcich zneužitiu ...

    c)

    Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu.

    Kategória II

    a)

    Prenos informácií akýmkoľvek spôsobom je riadený. Na jednotlivé druhy komunikácie sa určia bezpečnostné ...

    b)

    Zabezpečenie ochrany prenášaných informácií najmä pred odpočúvaním, kopírovaním, zmenou, presmerovaním ...

    c)

    Správa počítačových sietí je riadená a kontrolovaná.

    d)

    Pri prenose údajov prostredníctvom verejnej siete alebo bezdrôtovej siete sa implementujú opatrenia ...

    e)

    Na všetky sieťové služby sa identifikujú a zadokumentujú bezpečnostné mechanizmy, úroveň služieb a požiadavky ...

    f)

    Sieťové služby, používatelia a jednotlivé prvky informačných technológií verejnej správy musia byť v ...

    g)

    Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu s filtrovaním prichádzajúcej ...

    h)

    Bezdrôtové siete sa chránia a umiestňujú tak, že je zamedzený priamy prístup k citlivým údajom správcu. ...

    i)

    Vytvorenie a pravidelné aktualizovanie dokumentácie počítačovej siete obsahujúcej najmä evidenciu všetkých ...

    j)

    Na prenos informácií k tretím stranám sa uzatvára zmluva o prenose informácií s definovaným rozsahom, ...

    k)

    Všetky formy výmeny elektronických správ sú riadené a pri ich používaní implementované adekvátne bezpečnostné ...

    l)

    Pri prenose citlivých informácií v zmysle požiadaviek na dôvernosť sa s treťou stranou uzavrie zmluva ...

    m)

    Vzdialený prístup do vnútornej siete organizácie správcu musí podliehať autentifikácii a autorizácii. ...

    Kategória III

    a)

    V organizácii správcu sa implementuje technológia detekcie a prevencie prieniku IPS najmenej na perimetri ...

    b)

    Na všetkých serveroch podporujúcich základné služby informačných technológií verejnej správy2) správcu ...

    c)

    Všetky verejne dostupné a kritické webové aplikácie sa chránia webovým aplikačným firewallom.

    J. Akvizícia, vývoj a údržba informačných technológií verejnej správy

    Kategória I

    Obstarávanie alebo vytváranie nových alebo úprava existujúcich informačných technológií verejnej správy ...

    Kategória II a Kategória III

    Pri vytváraní nových alebo úprave existujúcich informačných technológií verejnej správy sa identifikujú ...

    a)

    Pri identifikácii požiadaviek sa prihliada najmä na požiadavky na dôvernosť, dostupnosť a integritu ...

    b)

    Informácie prenášané prostredníctvom verejných sietí sa šifrujú alebo iným adekvátnym opatrením chránia ...

    c)

    Informácie v transakciách informačných technológií verejnej správy alebo medzi informačnými technológiami ...

    d)

    Všetky zmeny v informačných technológiách verejnej správy a aplikáciách počas ich vývoja sa riadia prostredníctvom ...

    e)

    Vykonávanie bezpečnostného testovania v pravidelných intervaloch podľa možnosti pri všetkých vydaniach ...

    f)

    Súčasťou akceptačného testovania informačných technológií verejnej správy je aj testovanie implementovaných ...

    g)

    Dáta slúžiace na testovanie sa vyberajú s ohľadom na ich citlivosť pre organizáciu správcu, ako aj na ...

    K. Zaznamenávanie udalostí a monitorovanie

    Kategória I

    Zaznamenávanie úspešných a neúspešných autentifikačných udalostí.

    Kategória II

    a)

    Zaznamenávanie, uchovávanie a pravidelné kontrolovanie všetkých významných udalostí informačných technológií ...

    b)

    Pre každý prvok informačných technológií verejnej správy sa vyšpecifikujú a zadokumentujú udalosti, ...

    c)

    Podľa typu systému alebo zariadenia sa zaznamenávajú do log súborov najmenej tieto udalosti:

    1.

    úspešné a neúspešné autorizačné udalosti,

    2.

    úspešné a neúspešné privilegované operácie (vykonávané pod privilegovanými účtami),

    3.

    úspešné a neúspešné prístupy k log súborom,

    4.

    úspešné a neúspešné prístupy k systémovým zdrojom,

    5.

    vytváranie, úprava a mazanie používateľských účtov, skupinových účtov a objektov vrátane súborov, adresárov ...

    6.

    zmeny v prístupových oprávneniach,

    7.

    aktivácia a deaktivácia bezpečnostných mechanizmov,

    8.

    spustenie a zastavenie procesov,

    9.

    konfiguračné zmeny systému špecificky zmeny bezpečnostných nastavení a politík,

    10.

    spustenie, vypnutie, reštartovanie systému alebo aplikácie, chyby a výnimky,

    11.

    významné aktivity v sieťovej komunikácii,

    12.

    požiadavka na autentizačné služby vrátane označenia požadujúcej entity,

    13.

    IP adresy pridelené prostredníctvom služby DHCP.

    d)

    Jednotlivé záznamy v log súboroch obsahujú najmenej tieto informácie o každej zaznamenanej udalosti, ...

    1.

    čas a dátum udalosti,

    2.

    identifikácia používateľa,

    3.

    identifikácia zariadenia,

    4.

    informácia týkajúca sa udalosti,

    5.

    indikácia úspešnosti, alebo zlyhania operácie,

    6.

    pri sieťových službách zdrojová IP adresa, cieľová IP adresa, protokol, zdrojový port, cieľový port. ...

    e)

    Záznamy udalostí sa uchovávajú najmenej šesť mesiacov a adekvátne sa chránia pred zničením alebo modifikáciou. ...

    f)

    Kontrolu zaznamenaných udalostí, ako aj výstrahy generované ostatnými bezpečnostnými technológiami sú ...

    g)

    Bezpečnostne relevantné udalosti sa analyzujú bezodkladne s cieľom určiť, či ide o kybernetický bezpečnostný ...

    h)

    Na zachovanie správnosti, presnosti a možnosti spätného dohľadania je čas na všetkých relevantných prvkoch ...

    Kategória III

    a)

    Správca vypracuje a zavedie do praxe interný riadiaci akt na zaznamenávanie udalostí a monitorovanie ...

    b)

    Záznamy udalostí sa uchovávajú aj mimo konkrétneho prvku informačných technológií verejnej správy, ktoré ...

    c)

    Kontrola a vyhodnocovanie zaznamenaných udalostí sa vykonáva automatizovaným spôsobom prostredníctvom ...

    d)

    Výstrahy z monitorovacích nástrojov, ako aj výstrahy generované ostatnými bezpečnostnými technológiami ...

    e)

    Bezpečnostný dohľad podľa písmen c) a d) sa vykonáva v režime 24 hodín denne sedem dní v týždni. ...

    f)

    Systémy určené na vytváranie záznamov o udalostiach, ako aj samotné tieto súbory sa zabezpečujú pred ...

    g)

    Kapacita systémov uchovávajúcich záznamy musí byť adekvátna tak, že nedochádza k nežiaducemu prepisovaniu ...

    L. Fyzická bezpečnosť a bezpečnosť prostredia

    Kategória I

    Informačné technológie verejnej správy sa umiestňujú a prevádzkujú takým spôsobom, že sú chránené pred ...

    Kategória II

    a)

    Umiestnenie informačných technológií verejnej správy v zabezpečenom priestore tak, že ich najdôležitejšie ...

    b)

    Oddelenie zabezpečených priestorov od ostatných priestorov fyzickými prostriedkami stenami a zábranami. ...

    c)

    Prístup do zabezpečeného priestoru môže byť povolený len osobám, ktoré tento prístup nevyhnutne potrebujú ...

    d)

    Vypracovanie a implementovanie interného riadiaceho aktu, ktorý upravuje prácu v zabezpečených priestoroch, ...

    1.

    údržby, uchovávania a evidencie technických komponentov informačných technológií verejnej správy a zariadení ...

    2.

    používania zariadení informačných technológií verejnej správy na iné účely, než na aké sú pôvodne určené, ...

    3.

    používania zariadení informačných technológií verejnej správy mimo určených priestorov,

    4.

    vymazávania, vyraďovania a likvidovania zariadení informačných technológií verejnej správy a všetkých ...

    5.

    prenosu technických komponentov informačných technológií verejnej správy alebo zariadení informačných ...

    6.

    narábania s elektronickými dokumentmi, dokumentáciou systému, pamäťovými médiami, vstupnými a výstupnými ...

    e)

    Prvky informačných technológií verejnej správy s požiadavkou na vysokú dostupnosť sa zabezpečujú opatreniami ...

    Kategória III

    a)

    Podporná infraštruktúra informačných technológií verejnej správy s požiadavkou na vysokú dostupnosť ...

    b)

    Pre informačné technológie verejnej správy s požiadavkou na vysokú dostupnosť sa zabezpečujú záložné ...

    c)

    Ďalšie opatrenia fyzickej bezpečnosti a bezpečnosti prostredia sa prijímajú podľa osobitného predpisu.1) ...

    M. Riešenie kybernetických bezpečnostných incidentov

    Kategória I

    V organizácii správcu sa určí kontaktné miesto a spôsob hlásenia kybernetických bezpečnostných incidentov ...

    Kategória II

    a)

    Interný riadiaci akt určí spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 ...

    b)

    V organizácii správcu je na včasné prijatie preventívnych a nápravných opatrení vypracovaný a presadzovaný ...

    c)

    Interný riadiaci akt podľa písmena b) obsahuje aktuálne kontaktné údaje správcov jednotlivých komponentov ...

    d)

    S interným riadiacim aktom podľa písmena b), najmä povinnosťou ohlasovať kybernetické bezpečnostné incidenty, ...

    e)

    Na ohlasovanie kybernetických bezpečnostných incidentov a odhalených zraniteľností v prevádzkovaných ...

    f)

    Každá nahlásená bezpečnostne relevantná udalosť, zistená zraniteľnosť alebo bezpečnostná slabina informačných ...

    g)

    Proces odborného posúdenia a analýzy oznámení podľa písmena f) realizuje Manažér kybernetickej bezpečnosti ...

    h)

    Jednotlivé aktivity pri riešení bezpečnostných incidentov sa dokumentujú v evidencii kybernetických ...

    i)

    Na identifikáciu, zber, získavanie a uchovávanie dôkazov pri riešení bezpečnostných incidentov sú určené ...

    j)

    Poznatky získané z procesu riešenia bezpečnostného incidentu, najmä z analýzy a spôsobu vyriešenia, ...

    Kategória III

    a)

    Interný riadiaci akt na riešenie kybernetických bezpečnostných incidentov okrem uvedených náležitostí ...

    1.

    plánovania a prípravy na riadené zvládnutie kybernetických bezpečnostných incidentov,

    2.

    monitorovania, detekcie, posúdenia a ohlasovania bezpečnostne relevantných udalostí a kybernetických ...

    3.

    hodnotenia a rozhodovania o bezpečnostných udalostiach, zraniteľnostiach a kybernetických bezpečnostných ...

    4.

    klasifikačnej schémy kybernetických bezpečnostných incidentov,

    5.

    evidencie kybernetických bezpečnostných incidentov,

    6.

    nakladania s forenznými dôkazmi,

    7.

    externej a internej komunikácie,

    8.

    eskalácie a kontrolovanej obnovy,

    9.

    plánovania a implementácie opatrení na zlepšenie prevencie, detekcie, alebo reakcie na kybernetický ...

    b)

    Zamestnanci poverení riešením kybernetických bezpečnostných incidentov10) sú odborne spôsobilí, pravidelne ...

    c)

    V organizácii správcu sú vytvorené plány na riešenie kybernetických bezpečnostných incidentov.

    N. Kryptografické opatrenia

    Kategória I

    Webové sídlo správcu musí byť prístupné prostredníctvom zabezpečeného protokolu HTTPS s využitím bezpečnej ...

    Kategória II a Kategória III

    a)

    Pri informačných technológiách verejnej správy s vysokou požiadavkou na integritu sa zabezpečuje autenticita ...

    b)

    Pri informačných technológiách verejnej správy s vysokou požiadavkou na dôvernosť musí byť na zabezpečenie ...

    1.

    elektronických dokumentov,

    2.

    dát na prenosných zariadeniach, ktoré sú vynášané mimo priestory organizácie správcu,

    3.

    emailovej komunikácie prostredníctvom PGP alebo S/MIME,

    4.

    komunikačných kanálov na výmenu nešifrovaných dát,

    5.

    centrálnych úložísk,

    6.

    záloh.

    c)

    Na zabezpečenie správneho a efektívneho používania kryptografických prostriedkov a šifrovania sa vytvára ...

    1.

    princípy ochrany informačných aktív s využitím kryptografických prostriedkov,

    2.

    definovanie požadovanej úrovne ochrany a štandardy šifrovania,

    3.

    roly a zodpovednosti jednotlivých subjektov pri používaní šifrovania,

    4.

    riadenie šifrovacích kľúčov.

    d)

    Každé použitie kryptografického prostriedku v informačných technológiách verejnej správy sa zadokumentuje ...

    e)

    Správca pravidelne prehodnocuje využívané kryptografické prostriedky a overuje, či nedošlo k zverejneniu ...

    O. Kontinuita prevádzky informačných technológií verejnej správy

    Kategória I

    Nevzťahujú sa žiadne bezpečnostné opatrenia.

    Kategória II a Kategória III

    a)

    Na zachovanie kontinuity prevádzky vykonáva analýza rizík a posúdenie vplyvov na dostupnosť jednotlivých ...

    b)

    Na informačné technológie verejnej správy s vysokou požiadavkou na dostupnosť sa vypracuje plán kontinuity ...

    c)

    Plán kontinuity prevádzky obsahuje najmä

    1.

    roly a zodpovednosti v procese zabezpečenia kontinuity prevádzky,

    2.

    možné vplyvy na prevádzku informačných technológií verejnej správy,

    3.

    časový rámec obnovy,

    4.

    identifikáciu zdrojov potrebných na obnovu prevádzky,

    5.

    identifikáciu zamestnancov potrebných na obnovu prevádzky,

    6.

    identifikáciu dát a systémov potrebných na obnovu prevádzky (potrebné procesy zálohovania a obnovy, ...

    7.

    identifikáciu priestorov potrebných na obnovu prevádzky,

    8.

    stanovenie spôsobu komunikácie a náhradnej komunikácie (spôsob kontaktovania personálu, dodávateľov, ...

    9.

    identifikáciu vybavenia potrebného na obnovu prevádzky (procesy obnovy alebo výmeny kľúčových zariadení, ...

    10.

    spotrebný materiál potrebný na obnovu prevádzky (procesy výmeny zásob a kľúčových dodávok, zabezpečenie ...

    11.

    konkrétne havarijné procedúry slúžiace na obnovu prevádzky.

    d)

    Funkčnosť a aktuálnosť plánu kontinuity sa overuje raz ročne.

    P. Audit a kontrolné činnosti

    Kategória I

    Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného ...

    Kategória II a Kategória III

    a)

    Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenie ...

    b)

    Na výkon posúdenia sa vypracuje plán, ktorý obsahuje ciele posúdenia, referenčné dokumenty, dátumy a ...

    c)

    Dodržiavanie politík, štandardov, postupov a ostatných opatrení určených v oblasti kybernetickej bezpečnosti ...

    d)

    Ak je identifikovaný nesúlad s opatreniami kybernetickej bezpečnosti a informačnej bezpečnosti, prijmú ...

    Príloha č. 3 k vyhláške č. 179/2020 Z. z.

    OBSAH A ŠTRUKTÚRA BEZPEČNOSTNÉHO PROJEKTU INFORMAČNÉHO SYSTÉMU VEREJNEJ SPRÁVY

    (1)

    Pri spracovaní bezpečnostného projektu informačného systému verejnej správy sa prihliada najmä na zložitosť ...

    (2)

    Bezpečnostný projekt informačného systému verejnej správy pozostáva z dvoch hlavných výstupov: bezpečnostného ...

    (3)

    Ako prvý výstup bezpečnostného projektu informačného systému verejnej správy sa vypracuje dokument bezpečnostný ...

    a)

    formuláciu základných bezpečnostných cieľov vyplývajúcich z relevantných právnych východísk vrátane ...

    b)

    zoznam právnych predpisov aplikovaných v bezpečnostnom projekte, ako aj interných riadiacich aktov, ...

    c)

    metodický prístup ku kvalitatívnej analýze rizík, ktorá je v bezpečnostnom projekte vykonaná,

    d)

    rámcovú špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ...

    e)

    vymedzenie okolia informačného systému verejnej správy a jeho vzťah k možnému narušeniu bezpečnosti ...

    f)

    vymedzenie kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní rizika,

    g)

    ohraničenia bezpečnostného projektu (explicitné vysvetlenie oblastí, ktoré bezpečnostný projekt nezahŕňa ...

    h)

    postupy revízie/aktualizácie bezpečnostného zámeru.

    (4)

    Ako hlavný výstup bezpečnostného projektu informačného systému verejnej správy sa vypracuje dokument ...

    a)

    vytvorenie podkladových katalógov na analyzované riziká určených na identifikáciu aktív, identifikáciu ...

    b)

    identifikácia a opis analyzovaných rizík v štruktúre podľa oblastí ustanovených osobitným predpisom2) ...

    c)

    priradenie aktív, hrozieb, zraniteľností a vplyvov ku každému z identifikovaných rizík,

    d)

    identifikácia realizovaných bezpečnostných opatrení,

    e)

    vyhodnotenie rizík spôsobom kombinácie pravdepodobnosti realizácie scenáru rizika a závažnosti vplyvu, ...

    f)

    opis navrhovaných bezpečnostných opatrení.

    (5)

    Pri každom riziku sa zohľadňuje pravdepodobnosť situácie, pri ktorej hrozby využijú existujúce zraniteľnosti ...

    (6)

    Metodický postup výkonu analýzy rizík musí byť v súlade s technickou normou.12) Výsledné vyhodnotenie ...

    (7)

    Pri tvorbe navrhovaných bezpečnostných opatrení je potrebné určiť prostriedky a procesy odstraňovania ...

    a)

    opatrenia ustanovené touto vyhláškou alebo osobitným predpisom,1)

    b)

    požiadavky vyplývajúce z aplikovateľnej legislatívy,

    c)

    náležitosti implementácie a prevádzky analyzovaného informačného systému verejnej správy a spôsob uplatňovania ...

    d)

    opatrenia realizovateľné v pôsobnosti analyzovaného informačného systému verejnej správy, ale aj opatrenia ...

    e)

    dostupné možnosti prístupu k riadeniu rizika,

    f)

    spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení. ...

    (8)

    Výstupný dokument analýzy bezpečnosti s výsledkami analýzy rizík obsahuje najmä

    a)

    ciele a priority analýzy rizík,

    b)

    opis použitej metodiky analýzy rizík,

    c)

    opis rizík založený na identifikácii aktív, identifikácii hrozieb pre tieto aktíva, identifikácii zraniteľností ...

    d)

    vyhodnotenie rizík podľa použitej metodiky,

    e)

    opis navrhovaných bezpečnostných opatrení pre identifikované riziká v závislosti od ich závažnosti, ...

    f)

    celkové zhrnutie výsledkov analýzy rizík, vrátane zoznamu vysokých a stredných rizík usporiadaných podľa ...

    g)

    postupy revízie/aktualizácie analýzy bezpečnosti.

    (9)

    Štruktúra výstupu analýzy bezpečnosti musí zodpovedať oblastiam ustanoveným osobitným predpisom2) alebo ...

Poznámky

  • 1)  Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných ...
  • 2)  Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona ...
  • 3)  Zákon Národnej rady Slovenskej republiky č. 221/1996 Z. z. o územnom a správnom usporiadaní Slovenskej ...
  • 4)  Zákon Slovenskej národnej rady č. 369/1990 Zb. o obecnom zriadení v znení neskorších predpisov.Zákon ...
  • 5)  § 3 a 21 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy ...
  • 6)  Vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom ...
  • 7)  Zákon č. 69/2018 Z. z. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane ...
  • 8)  Nariadenie (EÚ) 2016/679.
  • 9)  Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných ...
  • 10)  Vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre ...
  • 11)  Napríklad STN EN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia ...
  • 12)  Napríklad STN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej ...
Načítavam znenie...
MENU
Hore