Povinnosti orgánov verejnej moci a poskytovateľov základnej služby v oblasti kybernetickej bezpečnostiZákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
Starostovia väčších obcí dostali od Národného bezpečnostného úradu FORMULÁRE pre vyplnenie ISVS v zmysle zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti (ďalej len „zákon“). Účelom je získať podklady o spravovaných informačných systémoch verejnej správy. Zaradenie do zoznamu základných služieb je v zmysle § 18 zákona. Zároveň zaradenie prevádzkovateľa (teda obec alebo mesto) do registra prevádzkovateľov základných služieb je v zmysle § 17 ods. 6 zákona. A to formou oznámenia, ktoré je doručené súčasne s formulármi.
Najdôležitejšie zmeny, ktoré súvisia priamo s KYBERNETICKOU BEZPEČNOSŤOU :• Prevádzkovateľ základnej služby je povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia,ak sú prijaté, • Prevádzkovateľ základnej služby je povinný pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby platnosti zmluvy, • Prevádzkovateľ základnej služby je povinný informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente za predpokladu, že by sa plnenie zmluvy podľa odseku 2 stalo nemožným, ak úrad nerozhodne inak. Povinnosť zachovávať mlčanlivosť tým nie je dotknutá , • Ak prevádzkovateľ základnej služby túto službu poskytuje aj v inom členskom štáte Európskej únie, úrad v súčinnosti s príslušným orgánom tohto členského štátu rozhodne o tom, podľa kritérií ktorého členského štátu bude prevádzkovateľ základnej služby identifikovaný tak, aby bol jednoznačne identifikovaný ako prevádzkovateľ základnej služby aspoň v jednom z týchto členských štátov, • Prevádzkovateľ základnej služby je ďalej povinný riešiť kybernetický bezpečnostný incident, bezodkladne hlásiť závažný kybernetický bezpečnostný incident, spolupracovať s úradom a ústredným orgánom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel im poskytnúť potrebnú súčinnosť, ako aj informácie získané z vlastnej činnosti dôležité pre riešenie kybernetického bezpečnostného incidentu, v čase kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný prostriedok tak, aby mohol byť použitý v trestnom konaní, oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, ak sa o ňom hodnoverným spôsobom dozvie , • Bezpečnostné opatrenia sa prijímajú najmä pre oblasť organizácie informačnej bezpečnosti, riadenia aktív, hrozieb a rizík, personálnej bezpečnosti, riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov, technických zraniteľností systémov a zariadení, riadenia bezpečnosti sietí a informačných systémov, riadenia prevádzky, riadenia prístupov, kryptografických opatrení, riešenia kybernetických bezpečnostných incidentov, monitorovania, testovania bezpečnosti a bezpečnostných auditov, fyzickej bezpečnosti a bezpečnosti prostredia, riadenia kontinuity procesov. Zoznam prevádzkovateľov základnej služby: Prevádzkovatelia základnej služby podľa § 3 písm. k) prvý bod zákona o kybernetickej bezpečnosti Prevádzkovatelia základnej služby podľa § 3 písm. k) druhý bod zákona o kybernetickej bezpečnosti Register ústredných orgánovKategorizácia služieb: ZÁKLAD ( analýza rizík, návrh riešena - firewally, bezpečnostná smernica, archivácia, IT podpora ) ŠTANDARD ( ZÁKLAD + zaškolenie personálu, inštalácia dátového poľa ) PROFI ( ŠTANDARD + dohľadové centrum, zásah do 24 hod )všetky ponúkane služby spĺňajú štandardy podľa zákona č. 69/2018 Z.z. a zabezpečia splnenie si povinnosti. Čo dostanete od nás v cene každej služby: AUDIT štruktúry počítačovej siete a informačných systémov AUDIT zabezpečenia a ochrany zariadení v sieti s citlivými dátami NÁVRH bezpečnostných opatrení a zabezpečenia kompletnej počítačovej siete a informačných systémov NÁVRH zálohy a obnovy citlivých dát ZABEZPEČENIE ( na základe auditu ) počítačovej siete a informačných systémov RUČENIE za odporúčené bezpečnostné návrhy a priebežná kontrola a vyhodnotenie opatrení
Zákony a vyhlášky, ktoré súvisia s kyber bezpečnosťou : Vyhláška NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov Vyhláška NBÚ č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov Vyhláška NBÚ č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby) Vyhláška NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení Vyhláška NBÚ č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítoraNIEKTORÉ REFERENCIE ZO ŠTÁTNEJ SPRÁVY V OBLASTI NBÚ :Vo všetkých inštitúciach boli uvedené dokumentácie vypracované našim pracovníkom, ktorý má previerku na OBOZNAMOVANIE SA S UTAJOVANÝMI SKUTOČNOSŤAMI STUPŇA UTAJENIA DÔVERNÉ a TAJNÉ. Ústavný súd Slovenskej republiky - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Okresný súd Banská Bystrica - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Okresný súd Žilina - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Okresný súd Bratislava III - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Ministerstvo zdravotníctva - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Ministerstvo pôdohospodárstva - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Úrad vlády - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku, posudky a zabezpečenie rokovacej miestnosti Správa štátnych hmotných rezerv - bezpečnostné dokumentácie strategických objektov Dopravný podnik mesta Bratislava - bezpečnostný projekt na ochranu osobných údajov Slovenský rozhlas Bratislava - audit a bezpečnostná dokumentácia Slovnaft - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Úrad jadrového dozoru - audit, poradenstvo, výskum Letisko M.R. Štefánika - audit, poradenstvo Špecializovaný súd Pezinok - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku - počítačovej siete Ministerstvo spravodlivosti - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku Ministerstvo sociálnych vecí a rodiny – poradenstvo
|
