Zaradenie do registra kybernetickej bezpečnosti

6. apr 2020

V priebehu mesiaca marec dostali mnohé mestá oznámenie z Najvyššieho bezpečnostného úradu o zaradení medzi prevádzkovateľov základnej služby. Udialo sa to na základe §17 zákona
č. 69/2018 Z. z. o kybernetickej bezpečnosti, podľa ktorého je prevádzkovateľ informačného systému verejnej správy na základe odporúčania Úradu podpredsedu vlády pre investície a informatizáciu automaticky zaradený do jednotného informačného systému kybernetickej bezpečnosti.

Aké povinnosti vám z toho vyplývajú? Podľa §19 zákona je prevádzkovateľ základnej služby  povinný do šiestich mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20, na základe ktorého sa bezpečnostné opatrenia prijímajú najmä pre oblasť:

a) organizácie informačnej bezpečnosti,b) riadenia aktív, hrozieb a rizík,

c) personálnej bezpečnosti,

d) riadenia dodávateľských služieb, akvizícií, vývoja a údržby informačných systémov,

e) technických zraniteľností systémov a zariadení,

f) riadenia bezpečnosti sietí a informačných systémov,

g) riadenia prevádzky,

h) riadenia prístupov,

i) kryptografických opatrení,

j) riešenia kybernetických bezpečnostných incidentov,

k) monitorovania, testovania bezpečnosti a bezpečnostných auditov,

l) fyzickej bezpečnosti a bezpečnosti prostredia,

m) riadenia kontinuity procesov.

Podrobný popis opatrení, ktoré je potrebné prijať nájdete vo vyhláške Národného bezpečnostného úradu číslo 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Ďalšou povinnosťou je preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených týmto zákonom vykonaním auditu kybernetickej bezpečnosti do dvoch rokov odo dňa zaradenia prevádzkovateľa základnej služby do registra prevádzkovateľov základných služieb. Viac o audite sa dozviete v našom blogu.

Tiež je potrebné zabezpečiť si dohľad nad kybernetickou bezpečnosťou formou manažéra kybernetickej bezpečnosti. O jeho povinnostiach sa tiež dozviete viac na našom blogu.

Naša spoločnosť vám vie byť nápomocná pri plnení týchto povinností. Ponúkame vám analýzu, spracovanie a zavedenie bezpečnostnej politiky v rozsahu, ktorý korešponduje s požiadavkami bezpečnostných opatrení zákona č. 69/2018 Z. z., a tak vás plnohodnotne pripravíme na audit kybernetickej bezpečnosti, a taktiež vám pomôžeme splniť technické požiadavky vyplývajúce z tohto zákona.

 

RNDr. Daniel Schikor

Vedúci auditor informačnej bezpečnosti