Inteligentné zákony pre účtovníkov
Uvádzacia cena

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy 2020

Znenie účinné: od 30.06.2020
Časové verzie:
179/2020 Z. z.
Časová verzia predpisu účinná od 30.06.2020
179
VYHLÁŠKA
Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu
z. 22. júna 2020,
ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu podľa § 31 písm. a) a i) zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon“) ustanovuje:
§1 Základné ustanovenia
(1)
Táto vyhláška ustanovuje
a)
kategórie informačných technológií verejnej správy a podrobnosti o spôsobe zaraďovania do týchto kategórií s použitím klasifikácie informácií a kategorizácie sietí a informačných systémov podľa osobitného predpisu1) podľa § 11 ods. 4 zákona,
b)
podrobnosti o bezpečnosti informačných technológií verejnej správy podľa § 18 až 23 zákona, obsahu bezpečnostných opatrení, obsahu a štruktúre bezpečnostného projektu a rozsahu bezpečnostných opatrení v závislosti od klasifikácie informácií a od kategorizácie sietí a informačných systémov.
(2)
Aktíva informačných technológií verejnej správy sa identifikujú a udržiavajú podľa prílohy č. 1 so zreteľom na ich nedostupnosť alebo zníženú kvalitu, ktoré môžu mať zásadný vplyv na poskytovanie služieb verejnej správy, služieb vo verejnom záujme alebo verejných služieb.
(3)
Vo vzťahu k informačným technológiám verejnej správy sú realizované bezpečnostné opatrenia aspoň na úrovni minimálnych bezpečnostných opatrení danej kategórie.
(4)
Na splnenie požiadaviek zákona a tejto vyhlášky sa poskytne správcovi súbor materiálov, ktorý obsahuje šablóny a vzory dokumentácie bezpečnosti informačných technológií verejnej správy, návody, školiace materiály a ukážky.
§2 Bezpečnostné opatrenia
(1)
Bezpečnostné opatrenia informačných technológií verejnej správy tvoria minimálne bezpečnostné opatrenia troch kategórií pre jednotlivé oblasti podľa prílohy č. 2.
(2)
Pri duplicite alebo nekompatibilite minimálnych bezpečnostných opatrení rôznych kategórií, ktoré môžu byť aplikované na konkrétne informačné technológie verejnej správy, majú prednosť ustanovenia upravujúce opatrenia vyššej kategórie.
(3)
Ak sa aplikuje bezpečnostné opatrenie aj podľa osobitného predpisu,2) aplikuje sa bezpečnostné opatrenie podľa zákona, ak jeho cieľom je dosiahnuť vyššiu úroveň bezpečnosti sietí a informačných systémov ako podľa osobitného predpisu.2)
(4)
Bezpečnostný projekt informačných systémov verejnej správy sa vypracuje a implementuje podľa prílohy č. 3.
§3 Minimálne bezpečnostné opatrenia
(1)
Minimálne bezpečnostné opatrenia upravuje príloha č. 2 a sú rozdelené do Kategórie I, Kategórie II a Kategórie III v rámci jednotlivých oblastí kybernetickej bezpečnosti a informačnej bezpečnosti.
(2)
Minimálne bezpečnostné opatrenia Kategórie I jednotlivých oblastí kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu k informačným technológiám verejnej správy sa vzťahujú na
a)
obec do 6000 obyvateľov,
b)
obec so štatútom mesta do 6000 obyvateľov,
c)
právnickú osobu v zriaďovateľskej pôsobnosti alebo zakladateľskej pôsobnosti orgánu riadenia podľa § 5 ods. 2 písm. a) až d) zákona, ktorá nie je uvedená v odsekoch 3 a 4,
e)
(3)
Minimálne bezpečnostné opatrenia Kategórie I a Kategórie II jednotlivých oblastí kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu k informačným technológiám verejnej správy sa vzťahujú na
a)
obec nad 6000 obyvateľov,
b)
obec so štatútom mesta nad 6000 obyvateľov okrem krajských miest,3)
c)
mestskú časť s právnou subjektivitou,4)
d)
Kanceláriu verejného ochrancu práv,
e)
Úrad komisára pre deti,
f)
Úrad komisára pre osoby so zdravotným postihnutím,
g)
Radu pre vysielanie a retransmisiu,
h)
prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete a informačné systémy sú zaradené do Kategórie I alebo Kategórie II podľa osobitného predpisu1) neuvedeného v odseku 4.
(4)
Minimálne bezpečnostné opatrenia Kategórie I, Kategórie II a Kategórie III jednotlivých oblastí kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu k informačným technológiám verejnej správy sa vzťahujú na
a)
obec, ktorá je aj krajským mestom,3)
b)
samosprávny kraj,
c)
ministerstvo a ostatný ústredný orgán štátnej správy,5)
d)
Úrad pre reguláciu sieťových odvetví,
e)
Úrad pre reguláciu elektronických komunikácií a poštových služieb,
f)
Najvyšší kontrolný úrad Slovenskej republiky,
g)
Úrad pre dohľad nad zdravotnou starostlivosťou,
h)
Úrad na ochranu osobných údajov Slovenskej republiky,
i)
Generálnu prokuratúru Slovenskej republiky,
j)
Dopravný úrad,
k)
Ústav pamäti národa,
l)
Tlačovú agentúru Slovenskej republiky,
m)
Rozhlas a televíziu Slovenska,
n)
Kanceláriu Súdnej rady Slovenskej republiky,
o)
Kanceláriu Najvyššieho súdu Slovenskej republiky,
p)
Kanceláriu Ústavného súdu Slovenskej republiky,
q)
Kanceláriu prezidenta Slovenskej republiky,
r)
Kanceláriu Národnej rady Slovenskej republiky,
s)
Finančné riaditeľstvo Slovenskej republiky,
t)
Národnú agentúru pre sieťové a elektronické služby,
u)
Zbor väzenskej a justičnej stráže,
v)
DataCentrum Ministerstva financií Slovenskej republiky,
w)
DataCentrum elektronizácie územnej samosprávy Slovenska,
x)
Sociálnu poisťovňu,
y)
zdravotnú poisťovňu,
z)
Národné centrum zdravotníckych informácií,
aa)
prevádzkovateľa základných služieb podľa osobitného predpisu,2) ktorého siete a informačné systémy sú zaradené do Kategórie III podľa osobitného predpisu.1)
(5)
Minimálne bezpečnostné opatrenia konkrétnej kategórie vo vzťahu k informačným technológiám verejnej správy podľa odsekov 2 až 4 sa môžu určiť aj pre iný štátny orgán.
§4 Spoločné ustanovenia
(1)
Za bezpečnosť informačných technológií verejnej správy je zodpovedný jeho správca. Ak je na bezpečnosť informačných technológií verejnej správy vhodné prijať iný súbor opatrení, ako sú opatrenia uvedené v tejto vyhláške, zmeny v rozsahu opatrení správca zadokumentuje, odôvodní a tieto zmeny schválené štatutárnym orgánom zašle orgánu vedenia.
(2)
Ak sa v tejto vyhláške ustanovuje použitie postupu podľa technickej normy, slovenskej technickej normy, európskeho normalizačného produktu alebo európskej normy, je možné postupovať aj podľa ich ekvivalentu, ak sa takýmto postupom dosiahne rovnaký výsledok a dodržia sa požiadavky podľa tejto vyhlášky. Pri pochybnostiach o vhodnosti použitia ekvivalentnej normy alebo špecifikácie podľa prvej vety je rozhodujúce vyjadrenie orgánu vedenia k možnosti ich použitia.
§5 Prechodné ustanovenia
(1)
V organizácii správcu, ktorý je zriadený alebo založený pred dňom účinnosti tejto vyhlášky, sa táto vyhláška vykoná do dvoch rokov odo dňa nadobudnutia účinnosti tejto vyhlášky.
(2)
V organizácii správcu, ktorý je zriadený alebo založený po nadobudnutí účinnosti tejto vyhlášky, sa táto vyhláška vykoná do 12 mesiacov odo dňa zriadenia alebo založenia organizácie.
(3)
V organizácii správcu podľa § 3 ods. 2 sa prijmú vnútorné riadiace akty vo forme dokumentov schválených vedením podľa prílohy č. 2 do jedného roka odo dňa podľa § 1 ods. 4; tým nie je dotknutá lehota podľa odseku 1.
§6 Zrušovacie ustanovenie
Zrušuje sa výnos Ministerstva financií Slovenskej republiky č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy v znení výnosu č. 276/2014 Z. z., výnosu č. 137/2015 Z. z., opatrenia č. 1521/2018/oLG-5 (oznámenie č. 78/2018 Z. z.), opatrenia č. 311/2018 Z. z., opatrenia č. 56/2019 Z. z. a opatrenia č. 78/2020 Z. z.
§7 Účinnosť
Táto vyhláška nadobúda účinnosť dňom vyhlásenia.
Roman Krpelan v. r.
Príloha č. 1
k vyhláške č. 179/2020 Z. z.
ZOZNAM AKTÍV
Zoznam aktív obsahuje označenie operačného systému alebo firemného softvéru a jeho aktuálne používanej verzie všetkých týchto komponentov informačných technológií verejnej správy:
a)
pracovná stanica – stolová,
b)
pracovná stanica – prenosná,
c)
aplikačný softvér,
1.
kancelársky softvér,
2.
internetový prehliadač,
3.
antivírusový softvér,
4.
komunikačný softvér,
5.
ďalší využívaný komerčný softvér,
d)
všetky druhy serverov,
e)
virtualizačné prostredie,
f)
databázové prostredie,
g)
komerčný podnikový softvér,
h)
sieťový firewall,
i)
sieťový router,
j)
sieťový prepínač,
k)
komunikačné prostredie,
l)
zálohovacie prostredie,
m)
mobilné zariadenia,
n)
dátové úložiská,
o)
ostatné zariadenia alebo sieťové prvky schopné komunikovať so zvyškom ekosystému informačných technológií verejnej správy,
p)
prenosné zariadenia.
Príloha č. 2
k vyhláške č. 179/2020 Z. z.
MINIMÁLNE BEZPEČNOSTNÉ OPATRENIA
A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
Kategória I
a)
Určenie pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.
b)
Vypracovanie a implementácia interného riadiaceho aktu, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1.
určenie povinnosti, zodpovednosti a právomoci pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti, ktoré organizácia správcu má zavedené a riadi sa nimi.
Kategória II
a)
Vypracovanie a implementácia interného riadiaceho aktu Politika kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1.
určenie povinnosti, zodpovednosti a právomoci manažéra kybernetickej bezpečnosti a informačnej bezpečnosti a všetkých zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
základné zásady a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných touto vyhláškou.
b)
Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu zodpovedného za koordináciu a plnenie týchto úloh:
1.
vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej bezpečnosti a ďalšie interné riadiace akty podľa písmena c),
2.
riadiť a zaisťovať kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov,
3.
metodicky viesť správcov informačných technológií verejnej správy, gestorov informačných technológií verejnej správy, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
4.
v súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať bezpečnostné hrozby a riziká organizácie,
5.
navrhovať opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitorovať plnenie a efektivitu týchto opatrení a viesť evidenciu bezpečnostných incidentov,
6.
koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie správcu,
7.
predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú bezpečnosť organizácie správcu,
8.
zabezpečiť pravidelné – najmenej raz za dva roky – preskúmanie stavu informačnej bezpečnosti a spolupracovať pri realizácii auditov vykonávaných internými a externými subjektmi,
9.
zabezpečovať školenia zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
10.
spolupracovať s inými orgánmi verejnej moci.
c)
Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu a detaile zodpovedajúcom veľkosti a štruktúre organizácie správcu, významu informačných technológií verejnej správy v jeho správe a štruktúre existujúcich interných riadiacich aktov s detailným opisom jednotlivých opatrení a postupov pre tieto oblasti:
1.
organizácia kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
3.
personálna bezpečnosť,
4.
riadenie prístupov,
5.
riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s tretími stranami,
6.
bezpečnosť pri prevádzke informačných systémov a sietí,
7.
hodnotenie zraniteľnosti a bezpečnostné aktualizácie,
8.
ochrana proti škodlivému kódu,
9.
sieťová a komunikačná bezpečnosť,
10.
akvizícia, vývoj a údržba informačných technológií verejnej správy,
11.
zaznamenávanie udalostí a monitorovanie,
12.
riadenie kontinuity procesov. fyzická bezpečnosť a bezpečnosť prostredia,
13.
riešenie kybernetických bezpečnostných incidentov,
14.
kryptografické opatrenia,
15.
kontinuita prevádzky informačných technológií verejnej správy,
16.
audit a kontrolné činnosti.
d)
Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu.6)
e)
Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti a informačnej bezpečnosti a efektivity jednotlivých opatrení a postupov.
f)
Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.
Kategória III
a)
Vytvorenie bezpečnostného výboru s rozsahom povinností a právomocí určených štatútom.
b)
Bezpečnostný výbor pri výkone svojej činnosti najmä
1.
riadi stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
riadi bezpečnostné riziká v rozsahu celej organizácie, akceptuje bezpečnostné riziká, ktoré sa týkajú viac ako jednej organizačnej jednotky organizácie správcu,
3.
schvaľuje a rozhoduje o implementácii významných bezpečnostných opatrení a postupov,
4.
schvaľuje odporúčania, návrhy strategických a koncepčných materiálov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, predkladaných manažérom kybernetickej bezpečnosti a informačnej bezpečnosti,
5.
predkladá štatutárnemu orgánu na schválenie návrh zodpovednosti za implementáciu a uplatňovanie jednotlivých opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii.
c)
Bezpečnostný výbor sa skladá najmenej z
1.
štatutára správcu, jeho zástupcu alebo ním poverenej osoby,
2.
manažéra kybernetickej bezpečnosti a informačnej bezpečnosti,
3.
vedúceho zamestnanca organizačného útvaru zodpovedného za správu informačno-komunikačnej infraštruktúry,
4.
vedúceho zamestnanca organizačného útvaru zodpovedného za právne a legislatívne služby,
5.
zodpovednej osoby za ochranu osobných údajov.
Minimálne zloženie bezpečnostného výboru možno doplniť o ďalšie osoby.
d)
Vytvorenie pozície manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu mimo organizačného útvaru zodpovedného za správu a prevádzku informačných technológií verejnej správy.
e)
Manažér kybernetickej bezpečnosti a informačnej bezpečnosti pri výkone svojej činnosti najmä
1.
navrhuje stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
informuje bezpečnostný výbor alebo štatutárny orgán správcu o stave informačnej bezpečnosti v organizácii správcu najmenej raz za rok,
3.
bezodkladne informuje bezpečnostný výbor alebo štatutárny orgánu správcu o závažných bezpečnostných rizikách, kybernetických bezpečnostných incidentoch a významných bezpečnostných udalostiach,
4.
zabezpečuje nezávislé preskúmanie stavu informačnej bezpečnosti a spoluprácu pri realizácii auditov vykonávaných internými a externými subjektmi.
f)
Zabezpečenie kontinuálneho vzdelávania manažéra kybernetickej bezpečnosti a informačnej bezpečnosti.
g)
Uplatňovanie princípu oddelenia právomocí a zodpovedností v celej organizačnej štruktúre organizácie správcu tak, že rovnaká osoba nie je zodpovedná za vykonávanie a zároveň aj schvaľovanie alebo kontrolu bezpečnostne relevantných aktivít a činností.
h)
Zabezpečenie preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia projektov v organizácii správcu a určenie adekvátnych opatrení na zníženie každého identifikovaného rizika na prijateľnú úroveň. Definovanie osoby zodpovednej za kybernetickú a informačnú bezpečnosť v projektovom tíme.
i)
Zabezpečenie vypracovania bezpečnostného projektu informačného systému verejnej správy.


B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti
Kategória I
Kontinuálne riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti:
1.
Vypracovanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti.
2.
Návrh a prijatie bezpečnostných opatrení.
3.
Periodické preskúmavanie rizík.
Kategória II
a)
Identifikácia všetkých významných informačných aktív v organizácii správcu a určenie ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu.
b)
Zaradenie informačných aktív podľa definovaných požiadaviek na ich dôvernosť, dostupnosť a integritu do určených klasifikačných stupňov, pre ktoré sú určené bezpečnostné opatrenia najmenej na ich označovanie, ukladanie, prenos, zverejňovanie a likvidáciu.
c)
Klasifikačné stupne pre informačné aktíva ustanovuje osobitný predpis.1)
d)
Vypracovanie a implementácia interného riadiaceho aktu na riadenie bezpečnostných rizík, ktorý obsahuje najmenej
1.
zodpovednosť za vykonanie analýzy rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
proces vykonávania analýzy rizík,
3.
maticu určenia závažnosti rizika,
4.
periodicitu vykonávania analýzy rizík,
5.
spôsob dokumentácie bezpečnostných rizík a prijatých opatrení a postupov na ich zníženie na prijateľnú úroveň v podľa matice určenia závažnosti rizika.
e)
Vykonávanie analýzy rizík najmenej raz za dva roky.
Kategória III
a)
Vytvorenie a udržiavanie zoznamu informačných aktív každého organizačného útvaru organizácie správcu, ktorý je zároveň ich vlastníkom a ktorý určí požiadavky na dôvernosť, dostupnosť a integritu každého informačného aktíva v jeho vlastníctve.
b)
Vykonávanie analýzy rizík a vyhodnocovanie súladu implementovaných opatrení s touto vyhláškou najmenej raz ročne.


C. Personálna bezpečnosť
Kategória I
a)
Ustanoviť plán rozvoja bezpečnostného povedomia, ktorý obsahuje formu, obsah a rozsah potrebných školení a vykonať bezpečnostné vzdelávanie na zvýšenie bezpečnostného povedomia najmenej každé tri roky.
b)
Zabezpečenie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, vykonávaných školení a ďalších činností spojených s prehlbovaním bezpečnostného povedomia.
c)
Zamestnávateľ povinnej osoby a tretia strana zabezpečí, že každý zamestnanec a tretia strana sú poučení o povinnosti zachovávať mlčanlivosť o všetkých skutočnostiach, informáciách a osobných údajoch, a to predtým, ako získajú prístup k informačným technológiám verejnej správy. Mlčanlivosť je generálna a trvalá a vzťahuje sa tak na čas výkonu činnosti, ako aj po skončení výkonu činnosti.
d)
Zabezpečenie oznamovania bezpečnostných incidentov pracovníkovi, ktorý je zodpovedný za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.
e)
Určenie postupu pri ukončení pracovného pomeru alebo iného obdobného vzťahu zamestnanca a pri ukončení spolupráce s externým pracovníkom alebo treťou stranou, ktorým sa zabezpečí
1.
vrátenie pridelených zariadení, ktorými sú najmä počítače, pamäťové médiá, čipové karty a navrátenie informačných aktív, ktorými sú najmä programy, dokumenty a údaje,
2.
zablokovanie prístupu v zariadeniach pridelených zamestnancovi, ktorými sú najmä počítače, notebooky, pamäťové médiá a ďalšie mobilné elektronické zariadenia,
3.
zrušenie prístupových práv v informačných systémoch verejnej správy,
4.
odovzdanie výsledkov práce v súvislosti s informačnými systémami verejnej správy, ktorými sú najmä programy vrátane dokumentácie a vlastné elektronické dokumenty.
f)
Zabezpečenie zmeny prístupových oprávnení pri zmene postavenia používateľov, administrátorov alebo osôb zastávajúcich bezpečnostné roly.
g)
Sankcionovanie porušenia interných riadiacich aktov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti prostredníctvom disciplinárneho procesu organizácie správcu.

Kategória II
a)
Vypracovanie a pravidelné aktualizovanie dokumentu Bezpečnostné zásady pre koncových používateľov, ktorý obsahuje súhrn povinností a oprávnení v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti pre koncových používateľov, najmä
1.
prideľovanie prístupových práv,
2.
zásady tvorby a používania hesiel,
3.
zásady ochrany pred infiltráciou škodlivým kódom,
4.
zásady bezpečného používania elektronickej pošty,
5.
zásady bezpečného používania internetu,
6.
zásady bezpečného používania komunikačných nástrojov a sociálnych sietí,
7.
zásady používania prenosných zariadení a médií,
8.
zálohovanie údajov,
9.
riešenie kybernetických bezpečnostných incidentov,
10.
ochranu fyzického majetku,
11.
pohyb v priestoroch organizácie správcu.
b)
Zavedenie procesu preukázateľného poučenia a oboznámenia nových zamestnancov bezprostredne po nástupe s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti a informačnej bezpečnosti.
c)
Zavedenie procesu preukázateľného oboznámenia správcov informačných technológií verejnej správy s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti a informačnej bezpečnosti.
d)
Zavedenie procesu zvyšovania bezpečnostného povedomia zamestnancov s cieľom ich oboznamovania s aktuálnymi bezpečnostnými hrozbami v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, ako aj opatreniami a postupmi zavedenými v organizácii správcu na ich elimináciu najmenej raz za dva roky.
e)
Na prístup k informačným technológiám verejnej správy sa vyžaduje
1.
oboznámenie so spôsobom používania informačných technológií verejnej správy a bezpečnostných mechanizmov informačných technológií verejnej správy v rozsahu svojej pracovnej náplne,
2.
poučenie na rozoznanie kybernetického bezpečnostného incidentu od bežnej prevádzky a zvládnutie postupu pri kybernetickom bezpečnostnom incidente,
3.
oboznámenie so zamestnancom, na ktorého je možné sa obracať s otázkami a nejasnosťami pri používaní informačných technológií verejnej správy a bezpečnostných mechanizmov informačných technológií verejnej správy.
Kategória III
a)
Vytvorenie evidencie informačných technológií verejnej správy s priradením konkrétnych správcov, ktorí sú zodpovední za implementáciu a prevádzku bezpečnostných opatrení a postupov.
b)
Systematické zvyšovanie bezpečnostného povedomia tak, že pokrýva všetky oblasti ustanovené touto vyhláškou, zákonom a osobitnými predpismi7) a najnovšími poznatkami v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu pracovného zaradenia najmenej raz ročne.



D. Riadenie prístupov
Kategória I
a)
Zavedenie pravidiel zakazujúcich zdieľanie používateľských hesiel do informačných technológií verejnej správy.
b)
Zavedenie identifikácie používateľa a autentifikácie pri vstupe do informačných technológií verejnej správy.
c)
Zavedenie pravidiel na zmenu používateľských hesiel s frekvenciou najmenej jeden rok.
Kategória II
a)
Vypracovanie a implementácia interného predpisu upravujúceho riadenie prístupu k údajom a funkciám informačných technológií verejnej správy založenom na zásade, že používateľ má prístup len k tým údajom a funkciám, ktoré potrebuje na vykonávanie svojich úloh.
b)
Určenie postupu a zodpovednosti v súvislosti s prideľovaním prístupových práv používateľom a ich schvaľovania vlastníkom informačných aktív.
c)
Zaznamenávanie zmien v pridelenom prístupe a ich archivácia.
d)
Používanie bezpečných postupov identifikácie a autentifikácie jednotlivých používateľov s cieľom minimalizovať možnosť neautorizovaného prístupu.
e)
Vytvorenie a presadzovanie politiky a systému správy hesiel, ktorá umožní používateľom najmä
1.
zabezpečiť absolútnu kontrolu nad heslom svojho používateľského účtu,
2.
presadzovať určenú štruktúru hesla,
3.
vyžadovať pravidelnú zmenu hesla,
4.
uchovávať a prenášať používateľské heslá bezpečným spôsobom.
f)
Zabezpečenie formálneho riadenia a autorizácie prideľovania privilegovaných prístupov do informačných technológií verejnej správy a ich obmedzenie len na nevyhnutné prípady.
g)
Preskúmavanie privilegovaných prístupových práv v pravidelných intervaloch najmenej raz za rok.
h)
Určenie bezpečnostných zásad na mobilné pripojenie do informačných technológií verejnej správy a na prácu na diaľku.
i)
Automatické zaznamenávanie každého prístupu administrátora do informačných technológií verejnej správy a automatické zaznamenávanie prístupu používateľa.
j)
Vedenie formalizovanej dokumentácie prístupových práv všetkých používateľov informačných technológií verejnej správy.
Kategória III
a)
Implementácia centrálnej správy identít (IDM).
b)
Preskúmanie prístupových opatrení v spolupráci s vlastníkom najmenej raz za rok.
c)
Vypracovanie a pravidelná aktualizácia zoznamu privilegovaných prístupových oprávnení a ich preskúmavanie každých šesť mesiacov.
d)
Implementácia, vynucovanie prístupových rolí v informačných technológiách verejnej správy.
e)
Zamedzenie možnosti zmeny log záznamov prístupu každého používateľa vrátane administrátora do informačných technológií verejnej správy, zamedzenie možnosti vymazania týchto záznamov a uchovávanie týchto záznamov šesť mesiacov.
f)
Používanie silných autentizačných metód na overenie identity používateľov, ako je viacfaktorová autentizácia pri informačných technológiách verejnej správy, ktoré obsahujú prísne chránené informačné aktíva v zmysle klasifikácie informačných aktív.


E. Riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami
Kategória I
V zmluve s dodávateľmi musí byť určená požiadavka na dodržiavanie všetkých interných riadiacich dokumentov a všeobecne záväzných predpisov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti. Môže byť uvedený odkaz na zákon, túto vyhlášku alebo na osobitný predpis.8)
Kategória II
a)
Požiadavky v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti sa určujú, odsúhlasujú a formálne zadokumentujú formou zmluvy pre každý dodávateľský vzťah, ktorý si vyžaduje prístup alebo akékoľvek používanie informačných technológií verejnej správy.
b)
Zmluvné požiadavky na kybernetickú bezpečnosť a informačnú bezpečnosť obsahujú najmenej záväzok
1.
plnenia určených požiadaviek a kritérií pre oblasť kybernetickej bezpečnosti a informačnej bezpečnosti pri dodávke predmetu zmluvy,
2.
ochrany informácií, ku ktorým je poskytnutý prístup,
3.
oboznámenia sa a dodržiavania všetkých interných riadiacich aktov týkajúcich sa kybernetickej bezpečnosti a informačnej bezpečnosti a ďalších opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti špecifických na plnenie predmetu zmluvy,
4.
riadenia a monitorovania prístupov do informačných technológií verejnej správy vrátane spôsobu a mechanizmu,
5.
možnosti vykonávania kontrolných činností a auditu vrátane rozsahu a spôsobu,
6.
oznámenia všetkých bezpečnostných rizík, nedostatkov alebo zraniteľností informačných technológií verejnej správy zistených v rámci plnenia predmetu zmluvy, ako aj povinnosť a proces ich ošetrenia,
7.
spolupráce pri riešení kybernetických bezpečnostných incidentov, najmä zachovania a poskytovania všetkých relevantných informácií, dôkazov a podkladov,
8.
zachovania úrovne kybernetickej bezpečnosti a informačnej bezpečnosti pri významných zmenách vrátane spôsobu a formy prechodu k inému dodávateľovi.
c)
Pri využívaní dodávateľských reťazcov sa pred začatím využívania služieb identifikujú možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti a posúdia sa najmä
1.
kritické komponenty a prvky služby,
2.
možnosti presadzovania a monitorovania bezpečnostných požiadaviek naprieč celým dodávateľským reťazcom,
3.
možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch medzi dodávateľmi a subdodávateľmi,
4.
ďalšie možné riziká kybernetickej bezpečnosti a informačnej bezpečnosti vyplývajúce zo životného cyklu dodávanej služby a z možnosti ukončenia dodávky služieb alebo prechodu k inému dodávateľovi.
d)
Pri zmenách služieb poskytovaných treťou stranou sa posudzuje ich vplyv na kybernetickú a informačnú bezpečnosť, a ak je to potrebné, sú navrhnuté a implementované ďalšie opatrenia a postupy kybernetickej bezpečnosti a informačnej bezpečnosti.
e)
Do zmluvného vzťahu s tretími stranami sa zavedie proces implementácie zmien v oblasti riadenia kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu.
f)
Pri vývoji aplikácií a systémov realizovaných treťou stranou sa v zmluve určia jasné podmienky týkajúce sa najmä autorských práv, práv duševného vlastníctva, bezpečnostných parametrov, bezpečnostného a funkčného testovania, legislatívnych a regulačných požiadaviek.
Kategória III
a)
Pre informačné technológie verejnej správy, ktoré spracúvajú kritické informačné aktíva v zmysle požiadaviek na ich dôvernosť, dostupnosť a integritu, sa implementuje technológia pre riadenie privilegovaných prístupov a zaznamenávanie aktivít správcov.
b)
Interný predpis ustanovujúci zásady kybernetickej bezpečnosti a informačnej bezpečnosti pre dodávateľov a tretie strany obsahuje najmenej bezpečnostné požiadavky
1.
pri riadení vzťahov s dodávateľmi,
2.
pri ošetrení kybernetickej bezpečnosti a informačnej bezpečnosti v zmluvách s dodávateľmi,
3.
dodávateľských reťazcov informačných technológií verejnej správy,
4.
monitorovania a preskúmavania dodávateľských služieb,
5.
riadenia zmien v službách dodávateľa,
6.
na prístupové práva a účty,
7.
na fyzickú bezpečnosť,
8.
na ochranu a zálohovanie dát,
9.
na mobilné prostriedky a vzdialený prístup.
c)
Vytvorenie a využívanie procesu pravidelného monitorovania a preskúmavania kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s dodávateľmi.


F. Bezpečnosť pri prevádzke informačných systémov a sietí
Kategória I
a)
Na účinnú prevenciu pred stratou dát v organizácii správcu sa zavedie proces na vytváranie záložných kópií dôležitých informácií a softvéru.
b)
V organizácii správcu sa vypracuje a dodržiava politika zálohovania, ktorá definuje požiadavky organizácie správcu na zálohovanie vrátane doby uchovávania, testovania záloh, ako aj opatrenia na ochranu záložných médií.
c)
Prevádzkové zálohy, kópia archivačnej zálohy a kópie inštalačných médií sú uložené do uzamykateľného priestoru.
Kategória II a Kategória III
a)
Vyhotovenie archivačnej zálohy najmenej v dvoch kópiách.
b)
Zabezpečenie vykonania testu funkcionality dátového nosiča archivačnej zálohy a prevádzkovej zálohy a pri nefunkčnosti, najmä pri nečitateľnosti alebo chybách pri čítaní, opätovné vytvorenie zálohy na inom dátovom nosiči.
c)
Zabezpečenie vykonania testu obnovy informačných technológií verejnej správy a údajov z prevádzkovej zálohy najmenej raz za rok.
d)
Fyzické ukladanie druhej kópie archivačnej zálohy v inom objekte, ako sa nachádzajú technické prostriedky informačných technológií verejnej správy, ktorej údaje sú archivované tak, že je minimalizované riziko poškodenia alebo zničenia dátových nosičov archivačnej zálohy v dôsledku požiaru, záplavy alebo inej živelnej pohromy.
e)
Prevádzkové postupy informačných technológií verejnej správy sa zadokumentujú, udržiavajú a sú dostupné všetkým používateľom, ktorí ich potrebujú. Za aktuálnosť prevádzkovej dokumentácie zodpovedajú správcovia jednotlivých informačných technológií verejnej správy.
f)
Všetky zmeny v prevádzkovaných informačných technológiách verejnej správy, ako aj procesoch alebo fyzických objektoch organizácie, ktoré môžu mať vplyv na bezpečnosť informačných aktív, sa zadokumentujú a schvália v procese riadenia zmien.
g)
Vypracovanie interného riadiaceho aktu riadenia zmien, ktorý obsahuje posúdenie zmien s cieľom identifikácie možných bezpečnostné rizík a návrh adekvátnych opatrení na ich zníženie na akceptovateľnú úroveň.
h)
Zmeny, pri ktorých ich iniciátor nedokáže jednoznačne určiť alebo vylúčiť možný vplyv na bezpečnosť posudzuje manažér kybernetickej bezpečnosti a informačnej bezpečnosti.
i)
V rámci formálneho procesu riadenia zmien sa určí aj postup kontrolovanej a autorizovanej implementácie urgentných zmien.
j)
Na jednotlivých prvkoch informačných technológií verejnej správy sa implementujú implementované bezpečnostné nastavenia podľa odporúčania výrobcov alebo podľa interného riadiaceho aktu. Bezpečnostné nastavenia sa implementujú najmä na týchto prvkoch informačných technológií verejnej správy:
1.
operačné systémy,
2.
virtualizačné prostredia,
3.
aplikačný softvér,
4.
pracovné stanice,
5.
sieťové zariadenia, vrátane bezpečnostných zariadení,
6.
databázové prostredia.
k)
Monitorovanie informačných technológií verejnej správy na identifikáciu ich kapacitných požiadaviek a ich trendov tak, že nedôjde ku kritickému výpadku, spomaleniu alebo inej neočakávanej poruche funkčnosti.
l)
Vzájomné oddelenie vývojového, testovacieho a prevádzkového prostredia na prevenciu neautorizovaného prístupu alebo zmien v prevádzkovom prostredí, ak je to možné.


G. Hodnotenie zraniteľností a bezpečnostné aktualizácie
Kategória I
Nastavenie automatickej aktualizácie operačného systému a aplikácií.
Kategória II
a)
V organizácii správcu zaviesť pravidelné zisťovanie a riešenie efektívnych procesov pravidelného zisťovania a riešenia technických zraniteľností systémov a aplikácií pomocou automatizovaných nástrojov.
b)
Všetky zistené kritické zraniteľnosti sa odstraňujú v čo najkratšom čase, a to najmä implementáciou opravných softvérových balíkov a aktualizácií riadne vydaných dodávateľom systému alebo aplikácie. Uvedené platí aj na systémy dodávané treťou stranou.
c)
Vykonávanie hodnotenie zraniteľností najmenej raz ročne.
d)
Vypracovanie a zavedenie procesu riadenia implementácie bezpečnostných aktualizácií a záplat jednotlivých prvkov informačných technológií verejnej správy v organizácii správcu.
e)
Vytvorenie a udržiavanie inventárneho zoznamu hardvéru a softvéru jednotlivých prvkov informačných technológií verejnej správy vrátane prvkov v správe tretích strán na identifikáciu relevantných zraniteľností a aktualizácií.
f)
Jednotlivé prvky informačných technológií verejnej správy monitorujú zdroje, ktoré poskytujú včasné informácie o nových zraniteľnostiach a bezpečnostných aktualizáciách, ktoré sa vzťahujú na prvky informačných technológií verejnej správy.
g)
Primárnymi zdrojmi na identifikáciu nových zraniteľností a bezpečnostných aktualizácií sú
1.
informácie zo systémov a automatizovaných technológií pre aktualizáciu,
2.
informačný servis výrobcov technológií,
3.
výstupy z bezpečnostných technológií,
4.
výsledky penetračných testov,
5.
oznámenia a varovania orgánov štátnej správy a autorít v oblasti kybernetickej bezpečnosti,
6.
webové stránky a portály spoločností zameraných na publikovanie zraniteľnosti.
h)
Výnimky z implementácie bezpečnostných aktualizácií sa schvaľujú a evidujú manažérom kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý určuje bezpečnostné opatrenia na ochranu pred zneužitím zraniteľnosti, na elimináciu ktorej je bezpečnostná aktualizácia vydaná.
i)
Súbory s bezpečnostnými aktualizáciami sa získavajú výhradne z dôveryhodného zdroja, primárne priamo od výrobcu. Pri nejasnostiach alebo inom zdroji je potrebné porovnanie kontrolných súčtov jednotlivých súborov bezpečnostných aktualizácií s kontrolnými súčtami súborov výrobcu tak, že nedôjde k poskytnutiu škodlivých aktualizácií.
j)
Pred implementáciou aktualizácií sú vykonané opatrenia na možnosť obnovenia pôvodného stavu prvku informačných technológií verejnej správy pred aktualizáciou pri neočakávaných stavoch, chybách alebo odchýlkach od požadovanej funkcionality spôsobených aktualizáciou.
k)
Po implementácii aktualizácie sa aktualizuje prvok informačných technológií verejnej správy verifikovaný, najmä jeho správna funkcionalita.
Kategória III
a)
Preskúmavanie a odstraňovanie zraniteľností sa vykoná najmenej každých šesť mesiacov.
b)
Bezpečnostné a ostatné aktualizácie sa implementuje najmä prostredníctvom automatizovaného nástroja.


H. Ochrana proti škodlivému kódu
Kategória I
a)
Prijatie adekvátnych opatrení na prevenciu, detekciu škodlivého kódu, ako aj na efektívnu reakciu pri infiltrácie škodlivým kódom.
b)
V organizácii správcu je zakázané sťahovanie, inštalácia a používanie nelegálneho alebo škodlivého softvéru.
c)
Prevencia a detekcia škodlivého kódu je pravidelná a zameraná hlavne na
1.
používanie prenosných médií, napríklad USB kľúče, flash disky, CD, DVD,
2.
škodlivé emailové prílohy a odkazy,
3.
podozrivé a škodlivé webové stránky a odkazy,
4.
externú a internú sieťovú komunikáciu v organizácii správcu vrátane webových sídiel,
5.
prenos súborov z externých sietí.
d)
Vytvorenie procesu alebo postupu na prenos súborov z externých sietí, ktorý zabezpečí kontrolu prenášaných súborov s cieľom detekcie škodlivého kódu.
Kategória II
a)
Zavedenie ochrany informačných technológií verejnej správy pred škodlivým kódom najmenej v rozsahu
1.
kontroly prichádzajúcej elektronickej pošty na prítomnosť škodlivého kódu a nepovolených typov príloh,
2.
detekcie prítomnosti škodlivého kódu na všetkých používaných informačných technológiách verejnej správy,
3.
kontroly súborov prijímaných zo siete internet a odosielaných do siete internet na prítomnosť škodlivého softvéru,
4.
detekcie prítomnosti škodlivého kódu na všetkých webových sídlach organizácie správcu.
b)
Zavedenie ochrany pred nevyžiadanou elektronickou poštou.
Kategória III
a)
Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním jeho hlásení v organizácii správcu.
b)
Detekcia inštalácie nelegálneho, alebo škodlivého softvéru sa vykonáva prostredníctvom automatizovaných nástrojov.
c)
Vypracovanie postupov obnovy a odstránenia infiltrácie škodlivým kódom na efektívne zvládanie infiltrácie škodlivým kódom.


I. Sieťová a komunikačná bezpečnosť
Kategória I
a)
Všetky koncové stanice sú chránené prostredníctvom softvérového personálneho firewallu.
b)
Na sieťových zariadeniach sa implementujú najmenej tieto bezpečnostné opatrenia:
1.
pravidelná aktualizácia firmvéru,
2.
zmena továrensky nastavených autentifikačných údajov,
3.
pri bezdrôtových sieťach musí byť nastavené využívanie bezpečného šifrovania a zabezpečenia,
4.
vypnutie možnosti správy zariadenia na diaľku alebo prijatie iných opatrení zabraňujúcich zneužitiu vzdialeného prístupu.
c)
Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu.
Kategória II
a)
Prenos informácií akýmkoľvek spôsobom je riadený. Na jednotlivé druhy komunikácie sa určia bezpečnostné opatrenia adekvátne identifikovaným bezpečnostným rizikám.
b)
Zabezpečenie ochrany prenášaných informácií najmä pred odpočúvaním, kopírovaním, zmenou, presmerovaním alebo zničením.
c)
Správa počítačových sietí je riadená a kontrolovaná.
d)
Pri prenose údajov prostredníctvom verejnej siete alebo bezdrôtovej siete sa implementujú opatrenia na zaistenie dôvernosti a integrity informácií, ako aj všeobecné opatrenia na zaistenie požadovanej dostupnosti sieťových služieb.
e)
Na všetky sieťové služby sa identifikujú a zadokumentujú bezpečnostné mechanizmy, úroveň služieb a požiadavky na manažment.
f)
Sieťové služby, používatelia a jednotlivé prvky informačných technológií verejnej správy musia byť v počítačových sieťach oddelené do skupín (segmenty) podľa požiadaviek na dôvernosť, dostupnosť a integritu a taktiež podľa charakteru poskytovaných služieb. Jednotlivé skupiny (segmenty) musia byť v počítačovej sieti adekvátne oddelené na logickej, kde je to potrebné, tak aj na fyzickej úrovni.
g)
Ochrana vonkajšieho a interného prostredia sa realizuje prostredníctvom firewallu s filtrovaním prichádzajúcej a odchádzajúcej sieťovej prevádzky na princípe najnižšieho privilégia.
h)
Bezdrôtové siete sa chránia a umiestňujú tak, že je zamedzený priamy prístup k citlivým údajom správcu.
i)
Vytvorenie a pravidelné aktualizovanie dokumentácie počítačovej siete obsahujúcej najmä evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov.
j)
Na prenos informácií k tretím stranám sa uzatvára zmluva o prenose informácií s definovaným rozsahom, technickými štandardmi prenosu, bezpečnostnými opatreniami, ako aj právomocami a zodpovednosťami.
k)
Všetky formy výmeny elektronických správ sú riadené a pri ich používaní implementované adekvátne bezpečnostné opatrenia zamerané na zaistenie ochrany prenášaných správ, a to najmä proti neautorizovaného prístupu, porušeniu dôvernosti, modifikácii alebo zneužitiu.
l)
Pri prenose citlivých informácií v zmysle požiadaviek na dôvernosť sa s treťou stranou uzavrie zmluva o mlčanlivosti alebo o utajení ešte pred ich poskytnutím. Toto sa nevzťahuje na všeobecne známe alebo verejne dostupné informácie o organizácii.
m)
Vzdialený prístup do vnútornej siete organizácie správcu musí podliehať autentifikácii a autorizácii.
Kategória III
a)
V organizácii správcu sa implementuje technológia detekcie a prevencie prieniku IPS najmenej na perimetri siete umiestnenej pred chránenú časť siete.
b)
Na všetkých serveroch podporujúcich základné služby informačných technológií verejnej správy2) správcu sa implementujú sondy detekcie a prevencie prieniku technológia HIPS.
c)
Všetky verejne dostupné a kritické webové aplikácie sa chránia webovým aplikačným firewallom.


J. Akvizícia, vývoj a údržba informačných technológií verejnej správy
Kategória I
Obstarávanie alebo vytváranie nových alebo úprava existujúcich informačných technológií verejnej správy sa zadokumentuje a realizuje v súčinnosti s pracovníkom zodpovedným za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.
Kategória II a Kategória III
Pri vytváraní nových alebo úprave existujúcich informačných technológií verejnej správy sa identifikujú a špecifikujú požiadavky na kybernetickú a informačnú bezpečnosť.
a)
Pri identifikácii požiadaviek sa prihliada najmä na požiadavky na dôvernosť, dostupnosť a integritu informačných aktív, všetky známe bezpečnostné hrozby, kybernetické bezpečnostné incidenty, zraniteľnosti, aktuálne politiky a štandardy organizácie správcu, ako aj požiadavky všeobecne záväzných právnych predpisov.
b)
Informácie prenášané prostredníctvom verejných sietí sa šifrujú alebo iným adekvátnym opatrením chránia najmä pred neoprávneným prístupom, modifikáciou alebo nedostupnosťou.
c)
Informácie v transakciách informačných technológií verejnej správy alebo medzi informačnými technológiami verejnej správy sú chránené tak, že sa zabráni nekompletným prenosom, nesprávnemu smerovaniu, neautorizovaným úpravám správ, neautorizovanému prístupu prezradeniu, neautorizovanému duplikovaniu správ alebo neautorizovaným odpovediam, a to najmä použitím elektronického podpisu, elektronickej pečate na kvalifikovanej úrovni bezpečnosti,9) certifikátov, šifrovaním komunikačných kanálov a zabezpečením komunikačných protokolov.
d)
Všetky zmeny v informačných technológiách verejnej správy a aplikáciách počas ich vývoja sa riadia prostredníctvom formálnych postupov riadenia zmien.
e)
Vykonávanie bezpečnostného testovania v pravidelných intervaloch podľa možnosti pri všetkých vydaniach alebo verziách počas vývojového cyklu kritických informačných technológií verejnej správy tak, že je možné už v počiatočných fázach identifikovať a odstrániť bezpečnostné nedostatky alebo prípadné chyby v dizajne.
f)
Súčasťou akceptačného testovania informačných technológií verejnej správy je aj testovanie implementovaných bezpečnostných opatrení najmä bezpečnostne dôležitých prvkov aplikácií, alebo systémov, ako sú autentizačné, autorizačné mechanizmy, prístupové roly a ďalšie opatrenia zaisťujúce požadovanú dôvernosť, dostupnosť a integritu.
g)
Dáta slúžiace na testovanie sa vyberajú s ohľadom na ich citlivosť pre organizáciu správcu, ako aj na požiadavky regulácie. Ak je to možné, sú citlivé údaje organizácie správcu pred testovaním adekvátne pozmenené tak, že zostanú zachované logické súvislosti, ale ich spätné obnovenie nie je možné. Osobné údaje je možné použiť pri testovaní len vo výnimočných prípadoch po schválení osobou zodpovednou za ochranu osobných údajov.


K. Zaznamenávanie udalostí a monitorovanie
Kategória I
Zaznamenávanie úspešných a neúspešných autentifikačných udalostí.
Kategória II
a)
Zaznamenávanie, uchovávanie a pravidelné kontrolovanie všetkých významných udalostí informačných technológií verejnej správy.
b)
Pre každý prvok informačných technológií verejnej správy sa vyšpecifikujú a zadokumentujú udalosti, ktoré musia byť zaznamenávané, a jednotlivé prvky informačných technológií verejnej správy musia byť podľa tejto špecifikácie nakonfigurované.
c)
Podľa typu systému alebo zariadenia sa zaznamenávajú do log súborov najmenej tieto udalosti:
1.
úspešné a neúspešné autorizačné udalosti,
2.
úspešné a neúspešné privilegované operácie (vykonávané pod privilegovanými účtami),
3.
úspešné a neúspešné prístupy k log súborom,
4.
úspešné a neúspešné prístupy k systémovým zdrojom,
5.
vytváranie, úprava a mazanie používateľských účtov, skupinových účtov a objektov vrátane súborov, adresárov a používateľských účtov,
6.
zmeny v prístupových oprávneniach,
7.
aktivácia a deaktivácia bezpečnostných mechanizmov,
8.
spustenie a zastavenie procesov,
9.
konfiguračné zmeny systému špecificky zmeny bezpečnostných nastavení a politík,
10.
spustenie, vypnutie, reštartovanie systému alebo aplikácie, chyby a výnimky,
11.
významné aktivity v sieťovej komunikácii,
12.
požiadavka na autentizačné služby vrátane označenia požadujúcej entity,
13.
IP adresy pridelené prostredníctvom služby DHCP.
d)
Jednotlivé záznamy v log súboroch obsahujú najmenej tieto informácie o každej zaznamenanej udalosti, ak sú k dispozícii:
1.
čas a dátum udalosti,
2.
identifikácia používateľa,
3.
identifikácia zariadenia,
4.
informácia týkajúca sa udalosti,
5.
indikácia úspešnosti, alebo zlyhania operácie,
6.
pri sieťových službách zdrojová IP adresa, cieľová IP adresa, protokol, zdrojový port, cieľový port.
e)
Záznamy udalostí sa uchovávajú najmenej šesť mesiacov a adekvátne sa chránia pred zničením alebo modifikáciou.
f)
Kontrolu zaznamenaných udalostí, ako aj výstrahy generované ostatnými bezpečnostnými technológiami sú povinní vykonávať správcovia jednotlivých prvkov informačných technológií verejnej správy, ak to nie je možné, použitím automatizovaných nástrojov najmenej na dennej báze.
g)
Bezpečnostne relevantné udalosti sa analyzujú bezodkladne s cieľom určiť, či ide o kybernetický bezpečnostný incident.
h)
Na zachovanie správnosti, presnosti a možnosti spätného dohľadania je čas na všetkých relevantných prvkoch informačných technológií verejnej správy synchronizovaný prostredníctvom presného časového zdroja.
Kategória III
a)
Správca vypracuje a zavedie do praxe interný riadiaci akt na zaznamenávanie udalostí a monitorovanie bezpečnosti informačných technológií verejnej správy.
b)
Záznamy udalostí sa uchovávajú aj mimo konkrétneho prvku informačných technológií verejnej správy, ktoré ich vytvára tak, že sa vylúči ich odstránenie alebo modifikácia.
c)
Kontrola a vyhodnocovanie zaznamenaných udalostí sa vykonáva automatizovaným spôsobom prostredníctvom nástrojov, ktoré umožňujú generovať okamžité výstrahy a oznámenia pri bezpečnostne významných udalostiach.
d)
Výstrahy z monitorovacích nástrojov, ako aj výstrahy generované ostatnými bezpečnostnými technológiami sa preverujú bezodkladne, kritické výstrahy okamžite po ich doručení.
e)
Bezpečnostný dohľad podľa písmen c) a d) sa vykonáva v režime 24 hodín denne sedem dní v týždni.
f)
Systémy určené na vytváranie záznamov o udalostiach, ako aj samotné tieto súbory sa zabezpečujú pred neoprávnenými zásahmi a neautorizovaným prístupom, najmä pred zmenami a zničením.
g)
Kapacita systémov uchovávajúcich záznamy musí byť adekvátna tak, že nedochádza k nežiaducemu prepisovaniu týchto záznamov alebo znefunkčneniu systému logovania.


L. Fyzická bezpečnosť a bezpečnosť prostredia
Kategória I
Informačné technológie verejnej správy sa umiestňujú a prevádzkujú takým spôsobom, že sú chránené pred fyzickým prístupom nepovolaných osôb a nepriaznivými prírodnými vplyvmi a vplyvmi prostredia.
Kategória II
a)
Umiestnenie informačných technológií verejnej správy v zabezpečenom priestore tak, že ich najdôležitejšie komponenty sú chránené pred nepriaznivými prírodnými vplyvmi a vplyvmi prostredia, možnými dôsledkami havárií technickej infraštruktúry a fyzickým prístupom nepovolaných osôb. Zabezpečeným priestorom je najmä serverovňa.
b)
Oddelenie zabezpečených priestorov od ostatných priestorov fyzickými prostriedkami stenami a zábranami.
c)
Prístup do zabezpečeného priestoru môže byť povolený len osobám, ktoré tento prístup nevyhnutne potrebujú na výkon svojich pracovných činností. Prístup k serverovým a sieťovým komponentom je umožnený len oprávneným osobám.
d)
Vypracovanie a implementovanie interného riadiaceho aktu, ktorý upravuje prácu v zabezpečených priestoroch, ako aj pravidlá
1.
údržby, uchovávania a evidencie technických komponentov informačných technológií verejnej správy a zariadení informačných technológií verejnej správy,
2.
používania zariadení informačných technológií verejnej správy na iné účely, než na aké sú pôvodne určené,
3.
používania zariadení informačných technológií verejnej správy mimo určených priestorov,
4.
vymazávania, vyraďovania a likvidovania zariadení informačných technológií verejnej správy a všetkých typov relevantných záloh,
5.
prenosu technických komponentov informačných technológií verejnej správy alebo zariadení informačných technológií verejnej správy mimo priestorov orgánu riadenia,
6.
narábania s elektronickými dokumentmi, dokumentáciou systému, pamäťovými médiami, vstupnými a výstupnými údajmi informačných technológií verejnej správy tak, že sa zabráni ich neoprávnenému zverejneniu, odstráneniu, poškodeniu alebo modifikácii.
e)
Prvky informačných technológií verejnej správy s požiadavkou na vysokú dostupnosť sa zabezpečujú opatreniami na ochranu pred výpadkom zdroja elektrickej energie.
Kategória III
a)
Podporná infraštruktúra informačných technológií verejnej správy s požiadavkou na vysokú dostupnosť sa zabezpečuje ochranou pred výpadkom zdroja elektrickej energie pomocou záložného generátora.
b)
Pre informačné technológie verejnej správy s požiadavkou na vysokú dostupnosť sa zabezpečujú záložné kapacity zabezpečujúce funkčnosť alebo náhradu týchto informačných technológií verejnej správy, ktoré sú umiestnené v sekundárnom zabezpečenom priestore, dostatočne vzdialenom od zabezpečeného priestoru.
c)
Ďalšie opatrenia fyzickej bezpečnosti a bezpečnosti prostredia sa prijímajú podľa osobitného predpisu.1)



M. Riešenie kybernetických bezpečnostných incidentov
Kategória I
V organizácii správcu sa určí kontaktné miesto a spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona.
Kategória II
a)
Interný riadiaci akt určí spôsob hlásenia kybernetických bezpečnostných incidentov podľa § 23 ods. 3 písm. a) a ods. 4 zákona, bezpečnostne relevantné udalosti, zistené zraniteľnosti, alebo bezpečnostné slabé miesta informačných technológií verejnej správy, ktoré sú zistené pri ich používaní alebo správe.
b)
V organizácii správcu je na včasné prijatie preventívnych a nápravných opatrení vypracovaný a presadzovaný interný riadiaci akt na riešenie kybernetických bezpečnostných incidentov, ktorý obsahuje povinnosť, postup pri hlásení, spôsob riešenia a evidencie kybernetických bezpečnostných incidentov.
c)
Interný riadiaci akt podľa písmena b) obsahuje aktuálne kontaktné údaje správcov jednotlivých komponentov informačných technológií verejnej správy, zamestnancov tretích strán zodpovedných za správu alebo podporu informačných technológií verejnej správy potrebných pri riešení kybernetických bezpečnostných incidentov, ako aj kontaktné údaje na príslušnú jednotku CSIRT/CERT.
d)
S interným riadiacim aktom podľa písmena b), najmä povinnosťou ohlasovať kybernetické bezpečnostné incidenty, sa primeraným a preukázateľným spôsobom oboznámia všetci používatelia informačných technológií verejnej správy vrátane správcov jednotlivých komponentov, ako aj zamestnanci tretích strán, ktorí vykonávajú správu alebo podporu informačných technológií verejnej správy.
e)
Na ohlasovanie kybernetických bezpečnostných incidentov a odhalených zraniteľností v prevádzkovaných informačných technológiách verejnej správy sa vytvára kontaktné miesto.
f)
Každá nahlásená bezpečnostne relevantná udalosť, zistená zraniteľnosť alebo bezpečnostná slabina informačných technológií verejnej správy sa odborne posudzuje na určenie, či ide o kybernetický bezpečnostný incident, bez zbytočného odkladu.
g)
Proces odborného posúdenia a analýzy oznámení podľa písmena f) realizuje Manažér kybernetickej bezpečnosti a informačnej bezpečnosti v spolupráci so správcami jednotlivých komponentov a s vlastníkom/gestorom informačných technológií verejnej správy alebo príslušnou jednotkou CSIRT/CERT.
h)
Jednotlivé aktivity pri riešení bezpečnostných incidentov sa dokumentujú v evidencii kybernetických bezpečnostných incidentov.
i)
Na identifikáciu, zber, získavanie a uchovávanie dôkazov pri riešení bezpečnostných incidentov sú určené postupy a princípy, ktoré zaručia možnosť použitia dôkazu v sporových konaniach podľa platnej legislatívy.
j)
Poznatky získané z procesu riešenia bezpečnostného incidentu, najmä z analýzy a spôsobu vyriešenia, sa premietajú do zlepšenia prevencie najmä na zníženie pravdepodobnosti a následkov budúcich incidentov, ako aj na zlepšenie detekcie alebo spôsobu riešenia obdobných bezpečnostných incidentov.
Kategória III
a)
Interný riadiaci akt na riešenie kybernetických bezpečnostných incidentov okrem uvedených náležitostí podľa Kategórie II obsahuje povinnosti a zodpovednosti najmä v oblastiach
1.
plánovania a prípravy na riadené zvládnutie kybernetických bezpečnostných incidentov,
2.
monitorovania, detekcie, posúdenia a ohlasovania bezpečnostne relevantných udalostí a kybernetických bezpečnostných incidentov,
3.
hodnotenia a rozhodovania o bezpečnostných udalostiach, zraniteľnostiach a kybernetických bezpečnostných incidentoch,
4.
klasifikačnej schémy kybernetických bezpečnostných incidentov,
5.
evidencie kybernetických bezpečnostných incidentov,
6.
nakladania s forenznými dôkazmi,
7.
externej a internej komunikácie,
8.
eskalácie a kontrolovanej obnovy,
9.
plánovania a implementácie opatrení na zlepšenie prevencie, detekcie, alebo reakcie na kybernetický bezpečnostný incident.
b)
Zamestnanci poverení riešením kybernetických bezpečnostných incidentov10) sú odborne spôsobilí, pravidelne školení a zastupiteľní.
c)
V organizácii správcu sú vytvorené plány na riešenie kybernetických bezpečnostných incidentov.


N. Kryptografické opatrenia
Kategória I
Webové sídlo správcu musí byť prístupné prostredníctvom zabezpečeného protokolu HTTPS s využitím bezpečnej verzie protokolu TLS
https://www.csirt.gov.sk/oznamenia-a-varovania-803.html?id=181
Kategória II a Kategória III
a)
Pri informačných technológiách verejnej správy s vysokou požiadavkou na integritu sa zabezpečuje autenticita a integrita súborov s použitím kryptografických prostriedkov, ktorým je najmä elektronický podpis.
b)
Pri informačných technológiách verejnej správy s vysokou požiadavkou na dôvernosť musí byť na zabezpečenie dôvernosti použité šifrovanie, a to najmä
1.
elektronických dokumentov,
2.
dát na prenosných zariadeniach, ktoré sú vynášané mimo priestory organizácie správcu,
3.
emailovej komunikácie prostredníctvom PGP alebo S/MIME,
4.
komunikačných kanálov na výmenu nešifrovaných dát,
5.
centrálnych úložísk,
6.
záloh.
c)
Na zabezpečenie správneho a efektívneho používania kryptografických prostriedkov a šifrovania sa vytvára a implementuje interný riadiaci akt, ktorý obsahuje najmä
1.
princípy ochrany informačných aktív s využitím kryptografických prostriedkov,
2.
definovanie požadovanej úrovne ochrany a štandardy šifrovania,
3.
roly a zodpovednosti jednotlivých subjektov pri používaní šifrovania,
4.
riadenie šifrovacích kľúčov.
d)
Každé použitie kryptografického prostriedku v informačných technológiách verejnej správy sa zadokumentuje v dokumentácii k informačným technológiám verejnej správy, najmenej na úrovni využívaného algoritmu a verzie.
e)
Správca pravidelne prehodnocuje využívané kryptografické prostriedky a overuje, či nedošlo k zverejneniu zraniteľností s nimi súvisiacich.



O. Kontinuita prevádzky informačných technológií verejnej správy
Kategória I
Nevzťahujú sa žiadne bezpečnostné opatrenia.
Kategória II a Kategória III
a)
Na zachovanie kontinuity prevádzky vykonáva analýza rizík a posúdenie vplyvov na dostupnosť jednotlivých informačných technológií verejnej správy a služieb, ktoré zabezpečujú.
b)
Na informačné technológie verejnej správy s vysokou požiadavkou na dostupnosť sa vypracuje plán kontinuity prevádzky, ktorý zabezpečí včasnú a adekvátnu reakciu pri mimoriadnej udalosti alebo núdzovej situácie s cieľom minimalizácie rizika prerušenia prevádzky informačných technológií verejnej správy a čo najrýchlejšej obnovy, ak dôjde k prerušeniu prevádzky informačných technológií verejnej správy.
c)
Plán kontinuity prevádzky obsahuje najmä
1.
roly a zodpovednosti v procese zabezpečenia kontinuity prevádzky,
2.
možné vplyvy na prevádzku informačných technológií verejnej správy,
3.
časový rámec obnovy,
4.
identifikáciu zdrojov potrebných na obnovu prevádzky,
5.
identifikáciu zamestnancov potrebných na obnovu prevádzky,
6.
identifikáciu dát a systémov potrebných na obnovu prevádzky (potrebné procesy zálohovania a obnovy, potrebný personál a vybavenie),
7.
identifikáciu priestorov potrebných na obnovu prevádzky,
8.
stanovenie spôsobu komunikácie a náhradnej komunikácie (spôsob kontaktovania personálu, dodávateľov, používateľov),
9.
identifikáciu vybavenia potrebného na obnovu prevádzky (procesy obnovy alebo výmeny kľúčových zariadení, alternatívne zdroje, vzájomná pomoc),
10.
spotrebný materiál potrebný na obnovu prevádzky (procesy výmeny zásob a kľúčových dodávok, zabezpečenie núdzových súčastí),
11.
konkrétne havarijné procedúry slúžiace na obnovu prevádzky.
d)
Funkčnosť a aktuálnosť plánu kontinuity sa overuje raz ročne.


P. Audit a kontrolné činnosti
Kategória I
Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu.6)
Kategória II a Kategória III
a)
Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenie zraniteľností a penetračné testy.
b)
Na výkon posúdenia sa vypracuje plán, ktorý obsahuje ciele posúdenia, referenčné dokumenty, dátumy a miesta vykonania posúdenia, organizačné útvary, ktoré sú predmetom posúdenia, roly a zodpovednosti.
c)
Dodržiavanie politík, štandardov, postupov a ostatných opatrení určených v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti sa preveruje a identifikuje sa ich možný nesúlad.
d)
Ak je identifikovaný nesúlad s opatreniami kybernetickej bezpečnosti a informačnej bezpečnosti, prijmú sa opatrenia na jeho odstránenie. Ak je zistená nízka efektivita alebo neúčinnosť opatrení, prehodnotia a upravia sa tieto opatrenia tak, že je bezpečnostné riziko znížené na prijateľnú úroveň.
Príloha č. 3
k vyhláške č. 179/2020 Z. z.
OBSAH A ŠTRUKTÚRA BEZPEČNOSTNÉHO PROJEKTU INFORMAČNÉHO SYSTÉMU VEREJNEJ SPRÁVY
(1)
Pri spracovaní bezpečnostného projektu informačného systému verejnej správy sa prihliada najmä na zložitosť informačného systému verejnej správy, komplexnosť agendy pokrytej informačným systémom verejnej správy a stanovenie bezpečnostných požiadaviek na informačný systém verejnej správy. Zohľadniť sa musí taktiež kategória, do ktorej je informačný systém verejnej správy zaradený.
(2)
Bezpečnostný projekt informačného systému verejnej správy pozostáva z dvoch hlavných výstupov: bezpečnostného zámeru a analýzy bezpečnosti. Jednotlivé výstupy vznikajú v určenom poradí a sú priebežne aktualizované počas celého projektu informačného systému verejnej správy realizovaného v súlade so zákonom.
(3)
Ako prvý výstup bezpečnostného projektu informačného systému verejnej správy sa vypracuje dokument bezpečnostný zámer. Bezpečnostný zámer určuje najmä kontext a zameranie bezpečnostného projektu, preto obsahuje najmenej
a)
formuláciu základných bezpečnostných cieľov vyplývajúcich z relevantných právnych východísk vrátane interných predpisov orgánu riadenia, technických noriem a štandardov dobrej praxe,
b)
zoznam právnych predpisov aplikovaných v bezpečnostnom projekte, ako aj interných riadiacich aktov,
c)
metodický prístup ku kvalitatívnej analýze rizík, ktorá je v bezpečnostnom projekte vykonaná,
d)
rámcovú špecifikáciu technických opatrení, organizačných opatrení a personálnych opatrení na zabezpečenie ochrany informačného systému verejnej správy, jeho služieb a údajov v ňom spracúvaných s ohľadom na kategóriu, do ktorej je informačný systém verejnej správy zaradený,
e)
vymedzenie okolia informačného systému verejnej správy a jeho vzťah k možnému narušeniu bezpečnosti informačného systému verejnej správy vrátane zoznamu integrácií na informačný systém verejnej správy,
f)
vymedzenie kritérií na akceptáciu rizika a identifikovaných prijateľných úrovní rizika,
g)
ohraničenia bezpečnostného projektu (explicitné vysvetlenie oblastí, ktoré bezpečnostný projekt nezahŕňa alebo kladie požiadavky na ich riešenie mimo projektu informačného systému verejnej správy),
h)
postupy revízie/aktualizácie bezpečnostného zámeru.
(4)
Ako hlavný výstup bezpečnostného projektu informačného systému verejnej správy sa vypracuje dokument analýza bezpečnosti, ktorého súčasťou je kvalitatívna analýza rizík. Rizikom sa v bezpečnostnom projekte chápe miera kybernetického ohrozenia vyjadrená pravdepodobnosťou vzniku nežiaduceho javu a jeho dôsledkami. Analýza rizík je zameraná na získanie aktuálnych a vierohodných poznatkov o pravdepodobných rizikách týkajúcich sa aktív informačného systému verejnej správy a jeho okolia. Analýza rizík sa vykonáva pre informačný systém verejnej správy priebežne počas celého projektu v súlade so zákonom a priamo nadväzuje na dokument bezpečnostný zámer. Analýza rizík pozostáva z výkonu týchto činností:
a)
vytvorenie podkladových katalógov na analyzované riziká určených na identifikáciu aktív, identifikáciu hrozieb a zraniteľností a identifikáciu vplyvov,
b)
identifikácia a opis analyzovaných rizík v štruktúre podľa oblastí ustanovených osobitným predpisom2) alebo podľa technickej normy,11)
c)
priradenie aktív, hrozieb, zraniteľností a vplyvov ku každému z identifikovaných rizík,
d)
identifikácia realizovaných bezpečnostných opatrení,
e)
vyhodnotenie rizík spôsobom kombinácie pravdepodobnosti realizácie scenáru rizika a závažnosti vplyvu,
f)
opis navrhovaných bezpečnostných opatrení.
(5)
Pri každom riziku sa zohľadňuje pravdepodobnosť situácie, pri ktorej hrozby využijú existujúce zraniteľnosti a spôsobia negatívny vplyv na aktíva orgánu riadenia. Pri hodnotení závažnosti výsledného vplyvu sa zohľadňuje celková závažnosť vplyvov, ktoré môžu byť spôsobené pri realizácii rizika. Úroveň vplyvov sa určuje osobitne pre každé analyzované riziko a zahŕňa všetky aktíva dotknuté príslušným rizikom. Analyzované riziko môže mať na aktíva orgánu riadenia viaceré vplyvy, ktoré je potrebné sumárne vyhodnotiť a zdokumentovať. Výsledná miera rizika musí zohľadňovať aj všetky realizované bezpečnostné opatrenia.
(6)
Metodický postup výkonu analýzy rizík musí byť v súlade s technickou normou.12) Výsledné vyhodnotenie rizík podľa použitej metodiky musí byť premietnuté do trojstupňovej stupnice nízke riziko, stredné riziko, vysoké riziko.
(7)
Pri tvorbe navrhovaných bezpečnostných opatrení je potrebné určiť prostriedky a procesy odstraňovania nedostatkov zistených v rámci jednotlivých rizík. Cieľom návrhu bezpečnostných opatrení je vytvorenie takého okruhu bezpečnostných opatrení, že po ich implementácii a následnom prehodnotení rizík sú všetky zvyškové riziká akceptovateľné. Pri niektorých typoch opatrení je prípustné sa odkazovať aj na dokumentáciu k informačnému systému verejnej správy v súlade so zákonom. Opis navrhovaných bezpečnostných opatrení zohľadňuje
a)
opatrenia ustanovené touto vyhláškou alebo osobitným predpisom,1)
b)
požiadavky vyplývajúce z aplikovateľnej legislatívy,
c)
náležitosti implementácie a prevádzky analyzovaného informačného systému verejnej správy a spôsob uplatňovania bezpečnostných opatrení v konkrétnych podmienkach orgánu riadenia,
d)
opatrenia realizovateľné v pôsobnosti analyzovaného informačného systému verejnej správy, ale aj opatrenia vo vzťahu k jeho okoliu,
e)
dostupné možnosti prístupu k riadeniu rizika,
f)
spôsob, formu a periodicitu výkonu kontrolných činností zameraných na dodržiavanie bezpečnostných opatrení.
(8)
Výstupný dokument analýzy bezpečnosti s výsledkami analýzy rizík obsahuje najmä
a)
ciele a priority analýzy rizík,
b)
opis použitej metodiky analýzy rizík,
c)
opis rizík založený na identifikácii aktív, identifikácii hrozieb pre tieto aktíva, identifikácii zraniteľností a na identifikácii vplyvov na aktíva najmä v dôsledku straty dôvernosti, integrity a dostupnosti,
d)
vyhodnotenie rizík podľa použitej metodiky,
e)
opis navrhovaných bezpečnostných opatrení pre identifikované riziká v závislosti od ich závažnosti,
f)
celkové zhrnutie výsledkov analýzy rizík, vrátane zoznamu vysokých a stredných rizík usporiadaných podľa dôležitosti, s opisom navrhovaného postupu ich riadenia a kľúčových navrhovaných bezpečnostných opatrení,
g)
postupy revízie/aktualizácie analýzy bezpečnosti.
(9)
Štruktúra výstupu analýzy bezpečnosti musí zodpovedať oblastiam ustanoveným osobitným predpisom2) alebo technickou normou.11) Finalizácia dokumentácie bezpečnostného projektu informačného systému verejnej správy je realizovaná v etape IMPLEMENTÁCIA A TESTOVANIE v súlade so zákonom.
1)
Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
2)
Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení zákona č. 373/2018 Z. z.
3)
Zákon Národnej rady Slovenskej republiky č. 221/1996 Z. z. o územnom a správnom usporiadaní Slovenskej republiky v znení neskorších predpisov.
4)
Zákon Slovenskej národnej rady č. 369/1990 Zb. o obecnom zriadení v znení neskorších predpisov.
Zákon Slovenskej národnej rady č. 377/1990 Zb. o hlavnom meste Slovenskej republiky Bratislave v znení neskorších predpisov.
Zákon Slovenskej národnej rady č. 401/1990 Zb. o meste Košice v znení neskorších predpisov.
5)
§ 3 a 21 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy v znení neskorších predpisov.
6)
Vyhláška Národného bezpečnostného úradu č. 436/2019 Z. z. o audite kybernetickej bezpečnosti a znalostnom štandarde audítora.
7)
Zákon č. 69/2018 Z. z.
Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. V. EÚ L 119, 4. 5. 2016).
8)
Nariadenie (EÚ) 2016/679.
9)
Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zrušení smernice 1999/93/ES (Ú. v. EÚ L 257, 28. 8. 2014).
Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách) v znení zákona č. 211/2019 Z. z.
10)
Vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
Vyhláška Národného bezpečnostného úradu č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov.
11)
Napríklad STN EN ISO/IEC 27002 Informačné technológie. Bezpečnostné metódy. Pravidlá dobrej praxe riadenia informačnej bezpečnosti (ISO/IEC 27002) (36 9784).
12)
Napríklad STN ISO/IEC 27005 Informačné technológie. Bezpečnostné metódy. Riadenie rizík informačnej bezpečnosti (ISO/IEC 27005) (36 9789).