GDPR - General Data Protection Regulation

GDPR - KYBER

Povinnosti orgánov verejnej moci a poskytovateľom základnej služby v oblasti kybernetickej bezpečnosti

Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a a o zmene a doplnení niektorých zákonov


Starostovia väčších obcí dostali od Národného bezpečnostného úradu FORMULÁRE pre vyplnenie ISVS v zmysle zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti (ďalej len „zákon“). Účelom je získať podklady o spravovaných informačných systémoch verejnej správy. Zaradenie do zoznamu základných služieb je v zmysle § 18 zákona. Zároveň zaradenie prevádzkovateľa (teda obec alebo mesto) do registra prevádzkovateľov základných služieb je v zmysle § 17 ods. 6 zákona. A to formou oznámenia, ktoré je doručené súčasne s formulármi.

Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti vstúpil do platnosti 1.1.2019. Dôvodom bolo, že sa obrovské množstvo dát presunulo do online internetového priestoru a zažali sa množiť kybernetické útoky. Preto tento zákon určuje aké opatrenia je potrebné prijať, aby prípadne kybernetické útoky spôsobili čo najmenšie škody. Hlavným cieľom je ochrana informačných systémov, sietí a svojich dát ako aj dát samotných klientov. Zákon prináša povinností pre prevádzkovateľov základných služieb ( ako napr. štátna správa, bankovníctvo, zdravotnícky priemysel, ako aj poskytovateľov digitálnych služieb.) Pokuty za nesplnenie si povinnosti, sa môžu pohybovať až do 300.000 EUR.

Celú verziu zákona si môžete pozrieť TU: ÚPLNE ZNENIE ZÁKONA č.69/2018 Z.z
Pokiaľ Vám prišiel takýto list z NBÚ, ste tu správne: LIST NBÚ 2020
Čo musí obsahovať zmluva mezdi Vami a treťou stranou, si môžete skontrolovať tu : ZMLUVA TRETIA STRANA



KOMPLETNÝ ZÁKON    LIST z NBÚ 2020    ZMLUVA TRETIA STRANA

Najdôležitejšie zmeny, ktoré súvisia priamo s KYBERNETICKOU BEZPEČNOSŤOU :


•   Prevádzkovateľ základnej služby je povinný došiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia,ak sú prijaté,
•   Prevádzkovateľ základnej služby je povinný pri uzatvorení zmluvy s dodávateľom na výkon činností, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby (ďalej len „tretia strana“) uzatvoriť zmluvu o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností podľa tohto zákona počas celej doby platnosti zmluvy,
•   Prevádzkovateľ základnej služby je povinný informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente za predpokladu, že by sa plnenie zmluvy podľa odseku 2 stalo nemožným, ak úrad nerozhodne inak. Povinnosť zachovávať mlčanlivosť tým nie je dotknutá. ,
•   Ak prevádzkovateľ základnej služby túto službu poskytuje aj v inom členskom štáte Európskej únie, úrad v súčinnosti s príslušným orgánom tohto členského štátu rozhodne o tom, podľa kritérií ktorého členského štátu bude prevádzkovateľ základnej služby identifikovaný tak, aby bol jednoznačne identifikovaný ako prevádzkovateľ základnej služby aspoň v jednom z týchto členských štátov.,
•   Prevádzkovateľ základnej služby je ďalej povinný riešiť kybernetický bezpečnostný incident, bezodkladne hlásiť závažný kybernetický bezpečnostný incident, spolupracovať s úradom a ústredným orgánom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel im poskytnúť potrebnú súčinnosť, ako aj informácie získané z vlastnej činnosti dôležité pre riešenie kybernetického bezpečnostného incidentu, v čase kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný prostriedok tak, aby mohol byť použitý v trestnom konaní, oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka, ak sa o ňom hodnoverným spôsobom dozvie. ,
•   Bezpečnostné opatrenia sa prijímajú najmä pre oblasť organizácie informačnej bezpečnosti, riadenia aktív, hrozieb a rizík, personálnej bezpečnosti, riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov, technických zraniteľností systémov a zariadení, riadenia bezpečnosti sietí a informačných systémov, riadenia prevádzky, riadenia prístupov, kryptografických opatrení, riešenia kybernetických bezpečnostných incidentov, monitorovania, testovania bezpečnosti a bezpečnostných auditov, fyzickej bezpečnosti a bezpečnosti prostredia, riadenia kontinuity procesov.


Kategorizácia služieb:


   ZÁKLAD ( analýza rizík, návrh riešena - firewally, bezpečnostná smernica, archivácia, IT podpora )
   ŠTANDARD ( ZÁKLAD + zaškolenie personálu, inštalácia dátového poľa )
   PROFI ( ŠTANDARD + dohľadové centrum, zásah do 24 hod )

všetky ponúkane služby spĺňajú štandardy podľa zákona č. 69/2018 Z.z. a zabezpečia splnenie si povinnosti.

Čo dostanete od nás v cene každej služby:


   AUDIT štruktúry počítačovej siete a informačných systémov
   AUDIT zabezpečenia a ochrany zariadení v sieti s citlivými dátami
   NÁVRH bezpečnostných opatrení a zabezpečenia kompletnej počítačovej siete a informačných systémov
   NÁVRH zálohy a obnovy citlivých dát
   ZABEZPEČNIE ( na základe auditu ) počítačovej siete a informačných systémov
   RUČENIE za odporúčené bezpečnostné návrhy a priebežna kontrola a vyhodnotenie opatrení



 

Zákony a vyhlášky ktoré súvisia s kyber bezpečnosťou :


   Vyhláška NBÚ č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov
   Vyhláška NBÚ č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
   Vyhláška NBÚ č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)
   Vyhláška NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
   Vyhláška NBÚ č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

NIEKTORÉ REFERENCIE ZO ŠTÁTNEJ SPRÁV V OBLASTI NBÚ :

Vo všetkých inštitúciach boli uvedené dokumentácie vypracované našim pracovníkom, ktorý ma previerku na OBOZNAMOVANIE SA S UTAJOVANÝMI SKUTOČNOSŤAMI STUPŇA UTAJENIA DÔVERNÉ a TAJNÉ.


  Ústavný súd Slovenskej republiky - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Okresný súd Banská Bystrica - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Okresný súd Žilina - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Okresný súd Bratislava III - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Ministerstvo zdravotníctva - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Ministerstvo pôdohospodárstva - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Úrad vlády - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku, posudky a zabezpečenie rokovacej miestnosti
  Správa štátnych hmotných rezerv - bezpečnostné dokumentácie strategických objektov
  Dopravný podnik mesta Bratislava - bezpečnostný projekt na ochranu osobných údajov
  Slovenský rozhlas Bratislava - audit a bezpečnostná dokumentácia
  Slovnaft - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Úrad jadrového dozoru - audit, poradenstvo, výskum
  Letisko M.R. Štefánika - audit, poradenstvo
  Špecializovaný súd Pezinok - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku - počítačovej siete
  Ministerstvo spravodlivosti - bezpečnostná dokumentácia OUS, certifikácia technického prostriedku
  Ministerstvo sociálnych vecí a rodiny – poradenstvo


( je dobré spoľahnúť sa na silného partnera )