Kybernetická bezpečnosť

Zákon o kybernetickej bezpečnosti je povinný pre prevádzkovateľov základnej a digitálnej služby, ako sú online trhovisko, internetový vyhľadávač alebo služba v oblasti cloud computingu.
NBÚ vytvoril zoznam prevádzkovateľov základnej služby. Za základnú službu sa považuje služba, ktorá je zaradená v zozname základných služieb, závisí od sietí, informačných systémov a je prvkom kritickej infraštruktúry. Poskytovateľ digitálnych služieb je právnická alebo fyzická osoba (podnikateľ), ktorá poskytuje digitálnu službu a spĺňa ďalšie kritériá (viac na www.nbu.gov.sk).

Podľa § 19 ZoKB musia povinné orgány ako prevádzkovatelia základnej služby informačných systémov verejnej správy splniť zákonom uvedené povinnosti a to v stanovených lehotách.

Prehľad ponúkaných služieb

Vstupný audit

Analýza súladu obstarávateľa s požiadavkami ZoKB a ZoITVS (identifikácia aktív, stav súčasných bezpečnostných opatrení, riziková analýza).

Implementácia

Klasifikácia informácií, kategorizácia sietí a informačných systémov, identifikácia dodávateľov a príprava zmlúv, príprava opatrení – smerníc a politík podľa § 20 ZoKB.

Dokumentácia a nastavenie procesov budú spracované konzultantom spoločnosti Avris Consulting v spolupráci s kontaktnou osobu.

Zákonné povinnosti

1. Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti sa do slovenského právneho poriadku transponuje smernica Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (ďalej aj len „Smernica“). Cieľom Smernice, rovnako ako aj zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, je zaistiť ochranu informačných systémov a sietí pred narušením buď samotných technických zariadení, alebo údajov, ktoré sa v nich spracovávajú, alebo služieb, ktoré sa pomocou nich poskytujú.
2. Podľa zadanie klient patrí podľa §17 Zákona č. 69/2018 Z. z. medzi prevádzkovateľov základnej služby, a preto je povinná do 24 mesiacov odo dňa oznámenia o zaradení do registra prevádzkovateľov základných služieb prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté.
3. Klient je prevádzkovateľom základnej služby podľa § 3 písm. k) prvý bod zákona 69/2018 o kybernetickej bezpečnosti v sektore Zdravotníctvo, podsektor Zdravotnícke zariadenia v pôsobnosti ústredného orgánu – Ministerstva zdravotníctva SR.

Časové povinnosti povinných orgánov

Podľa § 19 ZoKB majú povinné orgány ako prevádzkovatelia základnej služby informačných systémov verejnej správy okrem iného nasledovné povinnosti:

Ihneď t.j. zaradenie do registra prevádzkovateľov základných služieb:

Informovať podnik na poskytovanie elektronických komunikačných služieb alebo sietí ku ktorému je sieť alebo informačný systém základnej služby pripojená (t.j. poskytovateľa hostingu web stránky, e-mailových služieb, internetového pripojenia a pod.).
Ohlasovať NBÚ kybernetické bezpečnostné incidenty a poskytnúť súčinnosť pri ich riešení.

Do 6 mesiacov od zaradenia do registra prevádzkovateľov základných služieb:

Prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20.
Uzatvoriť zmluvy s dodávateľmi na činnosti, ktoré priamo súvisia s prevádzkou sietí a informačných systémov pre prevádzkovateľa základnej služby o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností (t.j. oznamovanie bezpečnostných incidentov).

Do 2 rokov od zaradenia do registra prevádzkovateľov základných služieb:

Vykonať audit kybernetickej bezpečnosti orgánom, ktorý je akreditovaný ako orgán príslušný na posudzovanie zhody v oblasti kybernetickej bezpečnosti.

Predložiť záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie do 30 dní od ukončenia auditu.

Bezpečnostná dokumentácia by mala pozostávať najmä zo:

a) Stratégie kybernetickej bezpečnosti a bezpečnostných politík
b) Klasifikácie informácií a kategorizácie sietí a informačných systémov
c) Opatrení (smerníc) o spôsobe plnenia bezpečnostných opatrení
d) Analýzy rizík kybernetickej bezpečnosti.

Poskytované benefity a záruky

Po začatí spolupráce a uhradení prvej splátky vystavujeme osvedčenie o implementácii systému, ktoré deklaruje vzťah Vašej spoločnosti ku kvalite a procesnému riadeniu, ktorou sa môžete prezentovať pred existujúcimi i potenciálnymi partnermi či verejnosťou už pred samotnou certifikáciou certifikačnou spoločnosťou. Našich existujúcich klientov sme pripravili a zastupovali pri certifikácii so 100%-nou úspešnosťou. Naše referencie hovoria za nás.

Hlavná úloha:

1. Etapa

• Analýza súčasného stavu IT infraštruktúry a bezpečnostnej dokumentácie vo vzťahu k požiadavkám Zákona o kybernetickej bezpečnosti.
• Spracovanie komplexnej správy z rozdielovej GAP analýzy.
• Návrh technických odporúčaní za účelom dosiahnutia súladu s požiadavkami podľa Zákona o kybernetickej bezpečnosti.

2. Etapa

• Klasifikácia informácií a kategorizácie sietí a informačných systémov.
• Vypracovanie súhrnnej inventarizácie informácií.
• Grafické znázornenie finálnej kategorizácie sietí.

3. Etapa

• Vytvorenie bezpečnostnej dokumentácie

Bezpečnostná dokumentácia by mala pozostávať najmä zo:

a) Stratégie kybernetickej bezpečnosti a bezpečnostných politík.
b) Príprava opatrení – smerníc a politík podľa §20 ZoKB na základe kategorizácie sietí.
c) Analýzy rizík kybernetickej bezpečnosti.
d) Identifikáciu dodávateľov a prípravu zmlúv.

Opatrenia a smernice môžu byť odvodené od niektorého z rámcov informačnej bezpečnosti (ISO STN 27001, ISO 27001, ISO 27005) a mali by pokrývať oblasti:

a) organizácie informačnej bezpečnosti – povinnosť ak firma spadá do III. kategórie,
b) riadenia aktív, hrozieb a rizík,
c) personálnej bezpečnosti,
d) riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,
e) technických zraniteľností systémov a zariadení,
f) riadenia bezpečnosti sietí a informačných systémov,
g) riadenia prevádzky,
h) riadenia prístupov,
i) kryptografických opatrení – povinnosť vypracovať ak firma spadá do III. kategórie,
j) riešenia kybernetických bezpečnostných incidentov,
k) monitorovania, testovania bezpečnosti a bezpečnostných auditov,
l) fyzickej bezpečnosti a bezpečnosti prostredia – povinnosť vypracovať ak firma spadá do III. kategórie,
m) riadenia kontinuity procesov.

Pričom tieto bezpečnostné opatrenia (smernice) musia zahŕňať najmenej:

a) detekciu kybernetických bezpečnostných incidentov,
b) evidenciu kybernetických bezpečnostných incidentov,
c) postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
d) určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
e) pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.

Postup:

Pri implementácii kybernetickej bezpečnosti v spoločnosti bude kladený dôraz na funkčnosť systému s ohľadom na časovú nenáročnosť pre spoločnosť (pracovníkov).
Výsledok práce potvrdí certifikačná spoločnosť, ktorú si vyberie klient. Pri výbere audítora vieme participovať a pomôcť. Spolupracujeme s audítormi kybernetickej bezpečnosti certifikovanými v zmysle zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti, podľa certifikačnej schémy NBÚ. Rovnako vieme pomôcť aj so zabezpečením obsadenia externého manažéra kybernetickej bezpečnosti v súlade so zákonom ZoKB.
Po získaní certifikátu je možné zabezpečiť po certifikačnú starostlivosť a tým zabezpečiť kontinuálny súlad s legislatívnymi požiadavkami.