362/2018 Z. z.
Vyhlásené znenie
Obsah zobrazeného právneho predpisu má informatívny charakter, právne záväzný obsah sa nachádza v pdf verzii právneho predpisu.
| História |
|
|
|---|---|---|
| Dátum účinnosti | Novela | |
| 1. | Vyhlásené znenie | |
| 2. | 01.01.2019 - 31.08.2023 | |
| 3. | 01.09.2023 - | 264/2023 Z. z. |
 |
 |
 |
 |
 |
Otvoriť všetky
| Číslo predpisu: | 362/2018 Z. z. |
| Názov: | Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení |
| Typ: | Vyhláška |
| Dátum schválenia: | 11.12.2018 |
| Dátum vyhlásenia: | 20.12.2018 |
| Autor: | Národný bezpečnostný úrad |
| Právna oblasť: |
|
| 69/2018 Z. z. | Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov |
| 264/2023 Z. z. | Vyhláška Národného bezpečnostného úradu, ktorou sa mení a dopĺňa vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení |
362
VYHLÁŠKA
Národného bezpečnostného úradu
z 11. decembra 2018,
ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej
dokumentácie a rozsah všeobecných bezpečnostných opatrení
Národný bezpečnostný úrad podľa § 32 ods. 1 písm. c) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon“)
ustanovuje:
§ 1
Základné ustanovenia
(1)
Táto vyhláška upravuje obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej
dokumentácie a rozsah všeobecných bezpečnostných opatrení, ktoré prijíma prevádzkovateľ
základnej služby podľa § 3 písm. l) zákona pre informačné systémy a siete, prostredníctvom ktorých zabezpečuje základnú službu
podľa § 3 písm. k) zákona a pre informačné systémy a siete, ktorých výpadok alebo poškodenie môže spôsobiť
poškodenie alebo znemožnenie poskytovania základnej služby.
(2)
Bezpečnostné opatrenia sa prijímajú na základe odporúčaní medzinárodne akceptovaných
štandardov kybernetickej bezpečnosti alebo iných vecne obdobných postupov a metód
so zreteľom na najnovšie poznatky a pri súčasnom identifikovaní rizík, zraniteľností
a požiadaviek regulácie v rámci sektora prevádzkovateľa základnej služby podľa prílohy č. 1 zákona.
(3)
Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii
pre všetky oblasti podľa § 20 ods. 3 zákona v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa § 5 až 17.
§ 2
Obsah a štruktúra bezpečnostnej dokumentácie
(1)
Bezpečnostná dokumentácia obsahuje
a)
schválenú bezpečnostnú stratégiu kybernetickej bezpečnosti a bezpečnostné politiky
kybernetickej bezpečnosti,
b)
klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
c)
zadokumentované vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení;
konkrétny obsah môže byť odvodený z princípov niektorého z rámcov riadenia bezpečnostnej
architektúry,
d)
vykonanú analýzu rizík kybernetickej bezpečnosti,
e)
záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti podľa § 29 zákona.
(2)
Bezpečnostná dokumentácia sa vypracúva na základe posúdenia poskytovanej základnej
služby a s ňou
a)
súvisiacej infraštruktúry výrobných a produkčných technológií,
b)
súvisiacej infraštruktúry informačno-komunikačných technológií,
c)
súvisiacej aplikačnej architektúry,
d)
súvisiacej bezpečnostnej architektúry a implementovaných bezpečnostných opatrení,
e)
súvisiacich organizačných usporiadaní, pracovných rolí, zodpovednosti a delenia právomocí,
f)
súvisiacich zaužívaných rámcov riadenia operačných rizík,
g)
súvisiacej organizačnej kultúry a spoločenskej zodpovednosti.
(3)
Bezpečnostná dokumentácia kybernetickej bezpečnosti môže zahŕňať aj
a)
bezpečnostné štandardy, ktoré interpretujú požiadavky platných bezpečnostných politík
v konkrétnych situáciách, určujú aktivity, hlavné pravidlá, zodpovednosti a organizáciu
riadenia s cieľom podporiť dodržiavanie bezpečnostných politík a
b)
bezpečnostné návody, ktoré predstavujú súhrn predpísaných krokov na vykonanie bezpečnostných
politík a bezpečnostných štandardov prostredníctvom konkrétnych akcií a ktoré opisujú
bezpečnostné konfigurácie a poskytujú konkrétne, platformovo závislé usmernenia na
podporu bezpečnostných politík a bezpečnostných štandardov.
§ 3
Bezpečnostná stratégia kybernetickej bezpečnosti
(1)
Bezpečnostná stratégia kybernetickej bezpečnosti určuje ciele, ktoré je potrebné
na základe výsledkov analýzy rizík kybernetickej bezpečnosti dosiahnuť, spolu s uvedením
základných princípov na ich dosiahnutie a určením právomocí a zodpovedností za riadenie
kybernetickej bezpečnosti, riadenie rizík kybernetickej bezpečnosti a aktualizáciu
bezpečnostnej dokumentácie.
(2)
Bezpečnostná stratégia kybernetickej bezpečnosti môže byť prijatá samostatne alebo
aj ako jedna z bezpečnostných politík kybernetickej bezpečnosti.
(3)
Na základe bezpečnostnej stratégie kybernetickej bezpečnosti sa prijímajú bezpečnostné
politiky kybernetickej bezpečnosti podľa prílohy č. 1.
§ 4
Klasifikácia informácií a kategorizácia sietí a informačných systémov
(1)
Klasifikácia informácií a kategorizácia sietí a informačných systémov podľa § 20 ods. 2 zákona sa vykonáva v klasifikačnej schéme v súlade so štruktúrou klasifikácie informácií
a kategorizácie sietí a informačných systémov podľa prílohy č. 2. Ak prevádzkovateľ základnej služby disponuje vlastnou klasifikáciou informácií a
kategorizáciou sietí a informačných systémov, vykoná sa mapovanie na klasifikáciu
v klasifikačnej schéme v súlade so štruktúrou klasifikácie informácií a kategorizácie
sietí a informačných systémov podľa prílohy č. 2.
(2)
Klasifikácia informácií a kategorizácia sietí a informačných systémov reflektuje
požiadavky kybernetickej bezpečnosti počas celého životného cyklu informácií, siete
a informačného systému, a to najmä vo fáze
a)
špecifikácie, ako definície požiadaviek a potrieb vedúcich k rozhodnutiu o vzniku
informačného systému alebo akéhokoľvek spracúvania informácií,
b)
návrhu procesu, systému alebo dátovej štruktúry,
c)
vývoja systému alebo spôsobu spracúvania informácií,
d)
implementácie systému ako inštalácie, nasadenia, zavedenia alebo oživenia systému,
alebo začatia procesu spracúvania informácií,
e)
prevádzky procesu ako štandardného využívania a údržby systému a údržby informácií,
f)
zmeny existujúceho, bežiaceho systému alebo spracúvania informácií, rozvoja a inovácie
spracúvania podľa aktuálnych potrieb prevádzkovateľa základnej služby,
g)
nahradenia systému alebo procesu spracúvania informácií novým systémom alebo procesom
a
h)
vyradenia ako ukončenia procesu spracúvania informácií alebo vyňatia systému z prevádzky.
(3)
Informácia sa klasifikuje bez ohľadu na jej formát, spôsob uloženia, systémy, aplikácie
alebo nástroje, v ktorých sa nachádza alebo prostredníctvom ktorých sa informácia
spracúva alebo prostredníctvom ktorých je prenášaná.
(4)
Pri klasifikácii informácií sa uplatňuje odstupňovaný prístup tak, že do nižších
úrovní sú zahrnuté také informácie, pri ktorých sú najnižšie nároky na dôvernosť,
integritu, dostupnosť a zodpovednosť vrátane zabezpečovania kvality. Informácie sa
vytvárajú, spracúvajú a ukladajú tak, že ich kvalita a spoľahlivosť je primeraná ich
klasifikačnému stupňu.
(5)
Kategorizácia sietí a informačných systémov je založená na klasifikácii informácií.
(6)
Kategorizácia sietí a informačných systémov sa vykonáva pre každú sieť a informačný
systém vytvorením zoznamu vybraných komponentov sietí a informačných systémov, ktorý
identifikuje jednotlivé siete a informačné systémy, ich podporné systémy a podsystémy
s uvedením ich bezpečnostnej funkcie a zaradenia do príslušných bezpečnostných kategórií.
(7)
Zoznam komponentov sietí a informačných systémov identifikujúci jednotlivé siete
a informačné systémy sa môže skladať z textovej, tabuľkovej alebo grafickej časti
tak, že sú jednoznačne definované hranice vybranej siete a informačného systému, rozhrania
medzi definovanými hranicami, bezpečnostné funkcie komponentov, ktoré majú byť zahrnuté
v posudzovaní úrovne bezpečnosti a požiadavky príslušných regulačných požiadaviek
a technických noriem alebo iných vecne obdobných postupov a metód na ich projektovanie,
vytváranie, implementáciu a kontrolu.
(8)
Siete a informačné systémy tvoriace hranicu medzi rôznymi bezpečnostnými kategóriami
v bezpečnostnom systéme sa zaradia do vyššej bezpečnostnej kategórie.
(9)
Kategorizácia sietí a informačných systémov zohľadňuje, že zlyhanie siete alebo informačného
systému v ľubovoľnej bezpečnostnej úrovni nespôsobí zlyhanie vybranej siete a informačného
systému zaradeného do bezpečnostnej úrovne s vyššou kategóriou. Pomocné siete a informačné
systémy a podsystémy, ktoré pomáhajú funkciám vybraných informačných systémov, musia
byť zaradené do príslušnej bezpečnostnej kategórie s ohľadom na zaradenie nadradeného
systému.
(10)
Minimálne požiadavky na bezpečnostné opatrenia v závislosti od kategorizácie sietí
a informačných systémov sú uvedené v prílohe č. 3.
§ 5
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. a) zákona
Na účely organizácie kybernetickej bezpečnosti sa uplatňuje najmenej zásada
a)
určenia manažéra kybernetickej bezpečnosti, ktorý
1.
má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti
priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
2.
zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,
3.
je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a
4.
spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného
predpisu,
b)
najnižších privilégií, podľa ktorej sú každému používateľovi obmedzené privilégiá
v maximálnom rozsahu potrebnom na splnenie pridelených úloh,
c)
oddeľovania zodpovedností, podľa ktorej žiaden používateľ nemá oprávnenie pristupovať,
upravovať alebo používať aktíva prevádzkovateľa základnej služby bez autorizácie alebo
overenia identity,
d)
dodržiavania a vykonávania nezávislého hodnotenia, merania a preskúmavania efektivity
a účinnosti prijatých opatrení na ošetrenie rizík,
e)
jasného vymedzenia právomoci, povinnosti a zodpovednosti, ktoré sú súčasťou pracovnej
náplne alebo obdobného opisu pracovných činností.
§ 6
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. b) zákona
(1)
Riadenie aktív, hrozieb a rizík je proces spojený s finančnými, zmluvnými a inventarizačnými
funkciami na podporu riadenia životného cyklu informačných technológií a konfiguračných
položiek. Účelom riadenia aktív, hrozieb a rizík je zabezpečiť ochranu aktív podľa
ich hodnoty.
(2)
Všetky aktíva súvisiace so zariadeniami na spracovanie informácií a informačnými
prostriedkami sú identifikované a inventár týchto aktív je centrálne zaznamenaný a
riadený.
(3)
Riadenie aktív pozostáva z identifikácie a evidencie všetkých
a)
aktív, od ktorých závisí poskytovanie základnej služby,
b)
podporných služieb, prostredníctvom ktorých sa zabezpečuje kontinuita základnej služby
a jej poskytovanie,
c)
zodpovedných osôb za identifikáciu a evidenciu aktív a
d)
vlastníkov aktív.
(4)
Rovnaká ochrana sa neuplatňuje pre všetky druhy aktív. Na tento účel sa aktíva klasifikujú
a kategorizujú postupom podľa § 4.
(5)
Ukončením pracovného pomeru alebo iného obdobného pracovného vzťahu zamestnancov
prevádzkovateľa základnej služby a zamestnancov tretích strán sa zadokumentovaným
spôsobom vracajú späť všetky zverené aktíva.
(6)
Riadenie rizík pozostáva z
a)
identifikácie zraniteľností,
b)
identifikácie hrozieb,
c)
identifikácie a analýzy rizík s ohľadom na aktívum,
d)
určenia vlastníka rizika,
e)
implementácie organizačných a technických bezpečnostných opatrení v závislosti od
identifikovaných rizík vrátane informácie, ktoré bezpečnostné opatrenia sú implementované
a ktoré bezpečnostné opatrenia nie sú implementované spolu s odôvodnením,
f)
analýzy funkčného dopadu a
g)
pravidelného preskúmavania identifikovaných rizík a v závislosti od toho aktualizácie
prijatých bezpečnostných opatrení.
(7)
Identifikácia rizika sa vykonáva na základe princípu najhoršieho scenára, ktorý môže
nastať aj pri nízkej pravdepodobnosti. Na určenie úrovne identifikovaného rizika sa
vopred nastaví súbor pravidiel, ktoré umožnia na základe štandardných a opakovateľných
postupov určiť merateľné a objektívne úrovne rizika pre najhoršie scenáre.
(8)
Analýzou rizík sa určuje pravdepodobnosť vzniku škodlivej udalosti, ktorá môže byť
spôsobená zneužitím existujúcej zraniteľnosti aktíva potenciálnou hrozbou v spojitosti
s existujúcimi bezpečnostnými opatreniami a identifikáciou dopadov pri narušení dôvernosti,
integrity alebo dostupnosti aktíva.
(9)
Identifikácia hrozieb je založená na identifikácii aktív a ich vlastníkov a identifikácii
zraniteľností potenciálne pôsobiacich na tieto aktíva.
(10)
Pre potreby analýzy rizík sa zoznam hrozieb združuje do jednotlivých skupín tak,
že je možné tento zoznam použiť univerzálne pre väčšinu aktív. Pre jednotlivé aktíva
sú hodnotené len hrozby relevantné pre konkrétne aktívum. Hrozby sa rozdeľujú podľa
ich pôvodu do kategórií najmenej ako
a)
úmyselné hrozby pre všetky úmyselné aktivity zamerané na aktíva,
b)
náhodné hrozby pre všetky ľudské činnosti, ktoré môžu náhodne poškodiť aktíva,
c)
hrozby spôsobené vplyvom prostredia pre všetky udalosti, ktoré vznikajú nezávisle
od ľudskej činnosti.
(11)
Súčasťou riadenia aktív, hrozieb a rizík je aj analýza funkčného dopadu, ktorá pozostáva
z hodnotenia dopadu na činnosť prevádzkovateľa základnej služby spôsobeného krízovým
scenárom, ktorý môže zasiahnuť zdroje a aktíva podporujúce procesy prevádzkovateľa
základnej služby a spôsobiť ohrozenie alebo narušenie kontinuity jeho poskytovanej
základnej služby.
§ 7
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. c) zákona
Personálna bezpečnosť pozostáva najmenej
a)
z postupov pri zaradení osoby do niektorých z bezpečnostných rolí, presunu práv,
povinností a zodpovedností vo vzťahu ku kybernetickej bezpečnosti na inú osobu,
b)
zo zavedenia plánu rozvoja bezpečnostného povedomia a vzdelávania spočívajúceho v
oboznámení používateľov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných
rolí a dodávateľov s bezpečnostnými politikami a v pravidelnom zvyšovaní ich bezpečnostného
povedomia počas trvania pracovnoprávneho vzťahu alebo iného obdobného pracovného alebo
zmluvného vzťahu,
c)
z kontroly dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov,
osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,
d)
z hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia zamestnancov, administrátorov,
osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,
e)
z určenia pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky
zo strany používateľov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných
rolí a dodávateľov,
f)
z postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného pracovného
alebo zmluvného vzťahu s používateľom, administrátorom, s osobou zastávajúcou niektorú
z bezpečnostných rolí umožňujúcich presun práv, povinností a zodpovedností na inú
novú osobu,
g)
z postupov pri porušení bezpečnostných politík spočívajúcich v oprávnení obmedziť
alebo odňať prístupové oprávnenia a privilégiá,
h)
z vykonania poučenia o manipulácii s informáciami pre osoby, ktoré vykonávajú činnosť
alebo sa oboznamujú s informáciami podľa osobitného predpisu.1)
§ 8
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. d) zákona
(1)
Na riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, akvizície, vývoja a údržby informačných
systémov spôsobom podľa § 6.
(2)
Zmluva s treťou stranou obsahuje najmenej
a)
obdobie trvania zmluvy,
b)
ustanovenie záväzku tretej strany dodržiavať bezpečnostné politiky prevádzkovateľa
základnej služby a vyjadrenie súhlasu s nimi,
c)
ustanovenie o povinnosti chrániť všetky informácie poskytnuté prevádzkovateľom základnej
služby tretej strane,
d)
ustanovenie o povinnosti dodržiavať a prijímať bezpečnostné opatrenia treťou stranou,
e)
konkrétnu špecifikáciu a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana
a vyjadrenie súhlasu s nimi,
f)
konkrétny rozsah činnosti tretej strany,
g)
zoznam pracovných rolí tretej strany, ktoré majú mať prístup k informáciám a údajom
prevádzkovateľa základnej služby, s povinnosťou oznámiť prevádzkovateľovi základnej
služby každú zmenu v personálnom obsadení; osoba zúčastnená na predmete plnenia podpisuje
vyjadrenie o zachovávaní mlčanlivosti podľa § 12 ods. 1 zákona,
h)
ustanovenie o rozsahu, spôsobu a možnosti vykonávania kontrolných činností a auditu
prevádzkovateľom základnej služby v tretej strane,
i)
vymedzenie podmienok a možnosti zapojenia ďalšieho dodávateľa úplne alebo čiastočne
zabezpečujúceho plnenie pre prevádzkovateľa základnej služby namiesto dodávateľa,
j)
ustanovenia o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom
bezpečnostnom incidente a o všetkých skutočnostiach majúcich vplyv na zabezpečovanie
kybernetickej bezpečnosti,
k)
ustanovenia o spôsobe a forme hlásenia ďalších informácií požadovaných prevádzkovateľom
základnej služby na plnenie jeho povinností vyplývajúcich zo zákona a ich vymedzenie,
l)
ustanovenie o spôsobe a forme hlásenia všetkých informácií majúcich vplyv na zmluvu,
m)
ustanovenie o sankčných mechanizmoch pri porušení zmluvy,
n)
ustanovenia o podmienkach a spôsobe ukončenia zmluvy,
o)
záväzok tretej strany po ukončení zmluvného vzťahu vrátiť, previesť alebo aj zničiť
všetky informácie, ku ktorým má tretia strana počas trvania zmluvného vzťahu prístup
prevádzkovateľovi základnej služby,
p)
záväzok tretej strany po ukončení zmluvného vzťahu udeliť, poskytnúť, previesť alebo
postúpiť všetky potrebné licencie, práva alebo súhlasy nevyhnutné na zabezpečenie
kontinuity prevádzkovanej základnej služby na prevádzkovateľa základnej služby; tento
záväzok tretej strany ostáva v platnosti aj po ukončení zmluvného vzťahu po dobu dohodnutú
zmluvnými stranami, ktorá nesmie byť kratšia ako päť rokov po ukončení zmluvného vzťahu.
(3)
Zmluva s treťou stranou obsahuje bezpečnostné opatrenia najmenej pre oblasť podľa
§ 20 ods. 3 písm. e), f), h), j) a k) zákona.
(4)
Vývoj a akvizícia siete a informačného systému základnej služby sa uskutočňuje s
ohľadom na zaistenie kompatibility s existujúcimi sieťami a informačnými systémami
a zachovanie úrovne bezpečnosti ustanovenej v bezpečnostnej stratégii.
(5)
Evidencia všetkých uzatvorených zmlúv s treťou stranou je súčasťou bezpečnostnej
dokumentácie podľa § 2 ods. 1 písm. c).
§ 9
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. e) zákona
Technické zraniteľnosti informačných systémov ako celku sa identifikujú prostredníctvom
a)
nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov
a ich častí,
b)
nástroja určeného na detegovanie existujúcich zraniteľností technických prostriedkov
a ich častí,
c)
využitia verejných a výrobcom poskytovaných zoznamov, ktoré opisujú zraniteľnosti
programových a technických prostriedkov.
§ 10
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. f) zákona
Riadenie bezpečnosti sietí a informačných systémov sa zabezpečuje najmenej
a)
riadením prístupov používateľov k sieťam a informačným systémom podľa § 12,
b)
prostredníctvom riadenia bezpečného prístupu medzi vonkajšími a vnútornými sieťami
a informačnými systémami, a to najmä využitím nástrojov na ochranu integrity sietí
a informačných systémov, ktoré sú zabezpečené segmentáciou sietí a informačných systémov;
servery so službami priamo prístupnými z externých sietí sa nachádzajú v samostatných
sieťových segmentoch a v rovnakom segmente musia byť len servery s rovnakými bezpečnostnými
požiadavkami a rovnakej bezpečnostnej triedy a s podobným účelom,
c)
tým, že prepojenia medzi segmentmi a externými sieťami, ktoré sú chránené firewallom
a všetky spojenia sú povoľované na princípe zásady najnižších privilégií,
d)
prostredníctvom bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a
informačného systému a vzdialený prístup, napríklad bezpečným spôsobom s použitím
dvojfaktorovej autentizácie alebo použitím kryptografických prostriedkov,
e)
tým, že sieťam alebo informačným systémom sú umožnené len špecifikované služby umiestnené
vo vyhradených segmentoch siete počítačovej siete,
f)
tým, že spojenia do externých sietí sú smerované cez sieťový firewall a v závislosti
od prostredia aj cez systém detekcie prienikov,
g)
prostredníctvom serverov dostupných z externých sietí zabezpečovaných podľa odporúčaní
výrobcu,
h)
udržiavaním zoznamu všetkých vstupno-výstupných bodov na hranici siete v aktuálnom
stave,
i)
použitím automatizačných prostriedkov, ktorými sú identifikované neoprávnené sieťové
spojenia na hranici s vonkajšou sieťou,
j)
prostredníctvom blokovania neoprávnených spojení zo známych adries označených ako
škodlivé alebo spôsobujúce známe hrozby, ak to nastavenie informačného systému umožňuje,
k)
neumožnením komunikácie a prevádzky aplikácií cez neautorizované porty,
l)
prostredníctvom systému monitorovania bezpečnosti, ktorý je nakonfigurovaný tak,
že zaznamenáva a vyhodnocuje aj informácie o sieťových paketoch na hranici siete,
m)
implementovaním systému detekcie prienikov alebo systému prevencie prienikov na identifikáciu
nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky,
n)
prostredníctvom smerovania odchádzajúcej používateľskej sieťovej prevádzky cez autentizovaný
server filtrovania obsahu,
o)
prostredníctvom vyžiadania použitia dvojfaktorovej autentizácie od každého vzdialeného
pripojenia do internej siete,
p)
vykonávaním pravidelného alebo nepretržitého posudzovania technických zraniteľností,
najmä identifikácie možnej prítomnosti škodlivého kódu zariadenia, ktoré sa vzdialene
pripája do internej siete, alebo zmluvného zaručenia vrátane preukázania plnenia tejto
povinnosti.
§ 11
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. g) zákona
Riadenie bezpečnosti prevádzky siete a informačného systému sa zaisťuje prostredníctvom
určených pravidiel a postupov na
a)
riadenie zmien,
b)
riadenie záplat a aktualizácií,
c)
riadenie kapacít,
d)
pravidelné zálohovanie a testovanie obnovy informácií zo záloh,
e)
ochranu pred škodlivým kódom,
f)
inštaláciu softvéru v sieťach a informačných systémoch,
g)
inštaláciu zariadení v sieťach a informačných systémoch a
h)
zaznamenávanie a vyhodnocovanie prevádzkových a bezpečnostných záznamov.
§ 12
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. h) zákona
(1)
Riadenie prístupov osôb k sieti a informačnému systému je založené na zásade, že
používateľ má prístup len k tým aktívam a funkcionalitám v rámci siete a informačného
systému, ktoré sú nevyhnutné na plnenie zverených úloh používateľa. Na to sa vypracúvajú
zásady riadenia prístupu osôb k sieti a informačnému systému, ktoré definujú spôsob
prideľovania a odoberania prístupových práv používateľom, ich formálnu evidenciu a
vedenie úplných prevádzkových záznamov o každom prístupe do siete a informačného systému.
(2)
Riadenie prístupov k sieťam a informačným systémom sa uskutočňuje v závislosti od
prevádzkových a bezpečnostných potrieb prevádzkovateľa základnej služby, pričom sú
prijaté bezpečnostné opatrenia, ktoré slúžia na zabezpečenie ochrany údajov, ktoré
sú používané pri prihlásení do sietí a informačných systémov a ktoré zabraňujú zneužitiu
týchto údajov neoprávnenou osobou.
(3)
Riadenie prístupov osôb k sieti a informačnému systému zahŕňa najmenej
a)
vypracovanie zásad riadenia prístupu k informáciám,
b)
riadenie prístupu používateľov,
c)
zodpovednosť používateľov,
d)
riadenie prístupu k sieťam,
e)
prístup k operačnému systému a jeho službám,
f)
prístup k aplikáciám,
g)
monitorovanie prístupu a používania informačného systému a
h)
riadenie vzdialeného prístupu.
(4)
V rámci riadenia prístupov k sieťam podľa odseku 3 písm. d) sa
a)
každému používateľovi siete a informačného systému prideľuje jednoznačný identifikátor
na autentizáciu na vstup do siete a informačného systému,
b)
zabezpečuje riadenie jednoznačných identifikátorov používateľov vrátane prístupových
práv a oprávnení používateľských účtov,
c)
využíva nástroj na správu a overovanie identity používateľa pred začiatkom jeho aktivity
v rámci siete a informačného systému a nástroj na riadenie prístupových oprávnení,
prostredníctvom ktorého je riadený prístup k jednotlivým aplikáciám a údajom, prístup
na čítanie a zápis údajov a na zmeny oprávnení a prostredníctvom ktorého sa zaznamenávajú
použitia prístupových oprávnení (prevádzkové záznamy),
d)
v pravidelných intervaloch vykonáva kontrola prístupových účtov a prístupových oprávnení
na overenie súladu schválených oprávnení so skutočným stavom oprávnení a detekciu
a následné zmazanie nepoužívaných prístupových účtov,
e)
určí osoba zodpovedná za riadenie prístupu používateľov do siete a k informačnému
systému a za prideľovanie a odoberanie prístupových práv používateľom, ich formálnu
evidenciu a vedenie úplných prevádzkových záznamov o každom prístupe do siete a informačného
systému v zmysle príslušnej bezpečnostnej politiky.
§ 13
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. i) zákona
(1)
Dôvernosť, integrita, dostupnosť a hodnovernosť údajov v rámci sietí a informačných
systémov, prostredníctvom ktorých je poskytovaná základná služba, sa zabezpečuje pomocou
kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy,
pričom sa určia pravidlá kryptografickej ochrany údajov pri ich prenose alebo uložení
v rámci sietí a informačných systémov.
(2)
Systém správy kryptografických kľúčov a certifikátov je zabezpečený počas celého
životného cyklu kryptografických kľúčov a certifikátov. Správa kryptografických kľúčov
a certifikátov zahŕňa najmenej:
a)
bezpečné nakladanie s kryptografickými kľúčmi a certifikátmi,
b)
generovanie pseudonáhodných čísel a kľúčov, zriadenie, distribúciu, vkladanie, zmenu,
obmedzenie platnosti, vyberanie, ukladanie a likvidáciu kľúčov a zneplatnenie certifikátov,
c)
umožnenie kontroly a auditu.
§ 14
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. j) zákona
(1)
Riešenie kybernetických bezpečnostných incidentov pozostáva najmenej
a)
z prípravy a vypracovania štandardov a postupov riešenia kybernetických bezpečnostných
incidentov,
b)
z monitorovania a analyzovania udalostí v sieťach a informačných systémoch,
c)
z detekcie kybernetických bezpečnostných incidentov,
d)
zo zberu relevantných informácií o kybernetických bezpečnostných incidentoch,
e)
z vyhodnocovania kybernetických bezpečnostných incidentov,
f)
z riešenia zistených kybernetických bezpečnostných incidentov a zníženia následkov
zistených kybernetických bezpečnostných incidentov a
g)
z vyhodnocovania spôsobov riešenia kybernetických bezpečnostných incidentov po ich
vyriešení a prijatia opatrení alebo zavedenie nových postupov s cieľom minimalizovať
výskyt obdobných kybernetických bezpečnostných incidentov.
(2)
Na riešenie kybernetických bezpečnostných incidentov sa vypracúvajú a pravidelne
aktualizujú štandardy a postupy riešenia kybernetických bezpečnostných incidentov,
ktoré obsahujú najmenej
a)
postup pri internom nahlasovaní kybernetických bezpečnostných incidentov,
b)
postup pri hlásení kybernetických bezpečnostných incidentov podľa § 24 ods. 1 zákona,
c)
postup pri riešení jednotlivých typov kybernetických bezpečnostných incidentov a
spôsob ich vyhodnocovania a
d)
spôsob evidencie kybernetických bezpečnostných incidentov a použitých riešení.
(3)
Proces detekcie kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom
nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci
sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a
kontrolu prenášaných dát.
(4)
Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa zabezpečuje
prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných
udalostí, ktorý umožňuje
a)
zber a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,
b)
vyhľadávanie a zoskupovanie záznamov súvisiacich s kybernetický bezpečnostným incidentom,
c)
vyhodnocovanie bezpečnostných udalostí na ich identifikáciu ako kybernetických bezpečnostných
incidentov,
d)
revíziu konfigurácie a monitorovacích pravidiel na vyhodnocovanie bezpečnostných
udalostí pri nesprávne identifikovaných kybernetických bezpečnostných incidentoch.
(5)
Proces riešenia kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom
a)
pridelenia zodpovednosti a určenia postupov na zvládanie kybernetických bezpečnostných
incidentov,
b)
zavedenia procesu získavania a uchovávania podkladov potrebných na analýzu kybernetickej
bezpečnostnej udalosti a kybernetického bezpečnostného incidentu,
c)
prijímania opatrení na odvrátenie alebo zmiernenie dopadu kybernetického bezpečnostného
incidentu,
d)
zavedenia procesu nahlasovania kybernetických bezpečnostných incidentov,
e)
vedenia záznamov o kybernetických bezpečnostných incidentoch vrátane použitých riešení,
f)
prešetrovania a určenia príčin vzniku kybernetického bezpečnostného incidentu aktualizáciou
bezpečnostnej politiky a prijatia primeraných bezpečnostných opatrení zamedzujúcich
jeho opakovanému výskytu a
g)
určenia osoby zodpovednej za nahlasovanie a odovzdávanie hlásení o kybernetických
bezpečnostných incidentoch do jednotného informačného systému kybernetickej bezpečnosti,
ktoré nastali alebo sa prejavili v rámci siete alebo informačného systému základnej
služby.
(6)
Súčasťou evidencie kybernetických bezpečnostných incidentov sa na zabezpečenie dôkazu
alebo dôkazného prostriedku evidujú aj informácie identifikujúce kybernetický bezpečnostný
incident ako napríklad lokalita, hostname, MAC adresy, IP adresy, identifikačné údaje
všetkých zariadení a zúčastnených osôb a dátum, čas manipulácie s údajmi a vymedzenie
miesta ich uloženia.
§ 15
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. k) zákona
(1)
Monitorovanie bezpečnosti sietí a informačných systémov sa uskutočňuje implementáciou
centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich
používateľov zabezpečujúceho bezpečnostný dohľad nad sieťami a informačnými systémami
zaznamenávaním prevádzky týchto sietí a informačných systémov, a to najmenej v rozsahu
a)
centrálnych sieťových prvkov a serverov,
b)
služieb prístupných do externých sietí a
c)
kritických interných serverov a služieb.
(2)
Nástroj na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov
umožňuje vytvárať prevádzkové záznamy a zaznamenávať najmenej
a)
aktivity v podobe vytvorenia, čítania, aktualizácie alebo odstránenia chránených
a prísne chránených informácií a údajov alebo ďalších informačných aktív s nimi spojených,
b)
iniciáciu pripojenia do siete alebo informačného systému a akceptáciu alebo odmietnutie
pripojenia do siete alebo informačného systému zaznamenaním aspoň dátumu a času aktivity,
identifikácie technického prostriedku, v rámci ktorého je činnosť zaznamenaná, identifikáciu
osoby a zdroja vo forme IP adresy,
c)
pridelenie, úpravu alebo zrušenie prístupových práv používateľa vrátane pridania
nového používateľa alebo skupiny používateľov, zmenu úrovne oprávnenia používateľa,
zmenu pravidiel firewallu alebo zmenu hesla,
d)
automatické varovné alebo chybové hlásenia systémov,
e)
detegované podozrivé alebo škodlivé aktivity a
f)
ďalšie informácie nevyhnutné na posúdenie závažnosti kybernetického bezpečnostného
incidentu v spojení s kritickosťou danej služby alebo zariadenia a korektné informácie
o dátume, čase a použitej časovej zóne.
(3)
Prevádzkové záznamy sú zabezpečené najmenej tak, že
a)
sú čitateľné výlučne osobám povereným ich analýzou,
b)
zamedzujú možnosti prepísania alebo vymazania záznamu,
c)
záznamy prenášané alebo presmerované od pôvodného zdrojového zariadenia do bezpečnostného
monitorovacieho systému sú presmerované prostredníctvom zabezpečených kanálov alebo
prostredníctvom dedikovanej správcovskej siete,
d)
sú uchovávané po dobu zodpovedajúcu kategórii informačného systému.
(4)
Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia
podozrivej aktivity je zodpovedný na to poverený zamestnanec prevádzkovateľa základnej
služby alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
(5)
Zhoda sietí a informačných systémov základnej služby s požiadavkami na zabezpečenie
kybernetickej bezpečnosti týchto sietí a informačných systémov, monitorovanie účinnosti
bezpečnostných opatrení a vyhodnotenie aktuálnosti bezpečnostnej dokumentácie sa zisťuje
prostredníctvom auditu kybernetickej bezpečnosti.
§ 16
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. l) zákona
(1)
Fyzická bezpečnosť sietí a informačných systémov sa realizuje najmenej prostredníctvom
a)
umiestnenia siete a informačného systému v takom priestore, že sieť a informačný
systém alebo aspoň ich najdôležitejšie komponenty sú chránené pred nepriaznivými prírodnými
vplyvmi a vplyvmi prostredia, možnými dôsledkami havárií technickej infraštruktúry
a fyzickým prístupom nepovolaných osôb (ďalej len „zabezpečený priestor“),
b)
ochrany zabezpečeného priestoru fyzickými prostriedkami, najmä stenami, mechanickými
zábrannými prostriedkami, technickými zabezpečovacími prostriedkami, napríklad zariadeniami
elektrickej zabezpečovacej signalizácie, systémami na kontrolu vstupu, kamerovými
systémami,
c)
zaručenia, že sa v okolí zabezpečeného priestoru nevyskytujú zariadenia, ktoré môžu
ohroziť sieť a informačný systém umiestnený v tomto zabezpečenom priestore, najmä
kanalizácia, vodovod, horľavé alebo iné obdobné materiály,
d)
vypracovania, implementácie a kontroly dodržiavania pravidiel na prácu v zabezpečenom
priestore,
e)
zabezpečenia ochrany pred výpadkom zdroja elektrickej energie tých častí siete a
informačného systému, ktoré vyžadujú nepretržitú prevádzku a zabezpečenie, že taký
výpadok nenastane,
f)
zaručenia, že existujú záložné kapacity siete a informačného systému, zabezpečujúce
dostupnosť, funkčnosť alebo náhradu siete a informačného systému, umiestnené v zabezpečenom
priestore bezpečne vzdialenom zálohovanému zabezpečenému priestoru,
g)
zaručenia, že prevádzka, používanie a manažment siete a informačného systému je v
súlade vnútornými predpismi a zmluvnými záväzkami,
h)
politiky, ktorá zakazuje nechávanie fyzických dokumentov bez dozoru a prikazuje uzamykanie
počítača pred opustením pracoviska.
(2)
Organizačné opatrenia vo fyzickej bezpečnosti sietí a informačných systémov sa zabezpečujú
najmenej prostredníctvom vypracovania, zavedenia a kontroly dodržiavania pravidiel
na
a)
údržbu, uchovávanie a evidenciu technických komponentov sietí a informačných systémov
a zariadení sietí a informačných systémov,
b)
používanie zariadení sietí a informačných systémov na iné účely, ako sú určené,
c)
používanie sietí a informačných systémov mimo zabezpečených priestorov,
d)
vymazávanie, vyraďovanie a likvidovanie zariadení sietí a informačných systémov a
všetkých typov relevantných záloh,
e)
fyzický prenos technických komponentov sietí a informačných systémov alebo zariadení
sietí a informačných systémov mimo zabezpečených priestorov,
f)
narábanie s dokumentáciou systému a pamäťovými médiami tak, že sa zabráni ich neoprávnenému
zverejneniu, odstráneniu, poškodeniu alebo modifikácii,
g)
dimenzovanie a fyzické parametre sietí a hardvéru, ktoré priamo alebo nepriamo ovplyvňujú
najväčšiu prípustnú dobu výpadku siete a informačného systému.
§ 17
Bezpečnostné opatrenia pre oblasť podľa § 20 ods. 3 písm. m) zákona
(1)
Prevádzkovateľ základnej služby určí požiadavky na zabezpečenie kontinuity riadenia
kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu.
(2)
Riadenie kontinuity procesov pozostáva najmenej z
a)
vypracovania stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného
systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu
na základe vykonania analýzy dopadov kybernetického bezpečnostného incidentu na základnú
službu,
b)
vyčlenenia adekvátnych finančných, materiálno-technických a personálnych zdrojov
na zabezpečenie riadenia kontinuity činností,
c)
určenia komunikačného plánu na plnenie havarijných plánov a plánov obnovy spolu s
kontaktnými údajmi, určeniami rolí a zodpovednosti na plnenie havarijných plánov a
plánov obnovy po kybernetickom bezpečnostnom incidente,
d)
určenia cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov
a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom
bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,
e)
určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov
základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb,
ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému
a zachovanie kontinuity základnej služby,
f)
testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a
realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej
služby,
g)
určenia plánov havarijnej obnovy a postupov zálohovania na obnovu siete a informačného
systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu.
(3)
Postupy zálohovania na obnovu siete a informačného systému po jeho narušení alebo
zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujú najmenej
a)
frekvenciu a rozsah jej dokumentovania a schvaľovania,
b)
určenie osoby zodpovednej za zálohovanie,
c)
časový interval, identifikáciu rozsahu údajov, dátového média zálohovania a požiadavku
zabezpečenia vedenia dokumentácie o zálohovaní,
d)
požiadavku umiestnenia záloh v zabezpečenom prostredí s riadeným prístupom,
e)
požiadavku zabezpečenia šifrovania záloh obsahujúcich aktíva klasifikačného stupňa
chránené a prísne chránené,
f)
požiadavku na vykonávanie pravidelného preverenia záloh, testovanie obnovy záloh
a precvičovanie zavedených krízových plánov najmenej raz ročne.
§ 18
Účinnosť
Táto vyhláška nadobúda účinnosť 1. januára 2019.
Jozef Magala v. r.
Príloha č. 1 k vyhláške č. 362/2018 Z. z.
Príloha č. 2 k vyhláške č. 362/2018 Z. z.
KLASIFIKAČNÁ SCHÉMA
A. Kritériá klasifikácie informácií
Klasifikačné stupne
Klasifikačné stupne opisujú citlivosť informácií, údajov alebo ďalších s nimi spojených
informačných aktív (ďalej len „informačné aktíva“) z pohľadu narušenia ich dôvernosti,
integrity a dostupnosti a odrážajú dôležitosť alebo hodnotu týchto aktív pre procesy
prevádzkovateľa základnej služby.
1.
Z hľadiska dôvernosti sú klasifikačné stupne informačných aktív definované ako
a)
verejné informačné aktíva určené pre verejnosť, ktoré sú získateľné z verejných zdrojov alebo
z informácií, ktoré sú pripravené na tento účel alebo sú preklasifikované z inej úrovne
prostredníctvom vlastníka a zahŕňajú napríklad informácie z médií, povinne publikované
informácie alebo všeobecne dostupné informácie,
b)
interné informačné aktíva, ktoré sú používané a prístupné pre všetkých používateľov v rámci
organizácie prevádzkovateľa základnej služby bez ohľadu na ich pracovnú rolu; na sprístupnenie
týchto aktív tretím stranám je potrebné schválenie zo strany vlastníka informácie,
c)
chránené informačné aktíva, ktoré sú používané a prístupné len určeným skupinám oprávnených
osôb a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať pre prevádzkovateľa
základnej služby negatívny vplyv na poskytovanie služby; prístup k údajom klasifikovaným
ako „Chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“
a je vymedzený výhradne vopred definovaným a schváleným útvarom alebo iným jasne vymedzeným
skupinám osôb; tretie strany majú k týmto údajom prístup len v nevyhnutných a jednoznačne
definovaných prípadoch schválených vlastníkom,
d)
prísnechránené informačné aktíva, ktoré sú používané a prístupné len jednotlivým vybraným používateľom
prevádzkovateľa základnej služby a ktorých neautorizované odhalenie, prezradenie alebo
zničenie môže mať s vysokou pravdepodobnosťou negatívny vplyv na poskytovanie základnej
služby; prístup k údajom klasifikovaným ako „Prísne chránené“ je riadený pomocou zásady
„potreby vedieť“ a zásady „najnižších privilégií“ a výhradne konkrétnym, vopred definovaným
a schváleným osobám; tretie strany majú k týmto údajom prístup len vo výnimočných
a jednoznačne definovaných prípadoch schválených vlastníkom alebo na základe ustanovení
osobitných predpisov.
Ak nie je informačné aktívum explicitne klasifikované je považované za interné.
2.
Z hľadiska integrity sú klasifikačné stupne informačných aktív definované ako
a)
nízka zahŕňa informačné aktíva, ktorých chyba alebo nepresnosť výrazne neohrozí poskytovanú
základnú službu,
b)
stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej
služby a ktorých chyba alebo nepresnosť môže spôsobiť dopad na kontinuitu poskytovanej
základnej služby, strategickú oblasť, trhové a operačné riziká,
c)
vysoká zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa
základnej služby a ktorých chyba, nepresnosť bezprostredne ohrozuje poskytovanú základnú
službu, s ňou spojené aktivity a reputáciu prevádzkovateľa základnej služby.
3.
Z hľadiska dostupnosti sú klasifikačné stupne informačných aktív definované ako
a)
nízka zahŕňa informačné aktíva prevádzkovateľa základnej služby, ktorých výpadok výrazne
neohrozí poskytovanú službu alebo pre ktoré existujú alternatívne postupy,
b)
stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej
služby a ktorých zlyhanie môže mať dopad na kontinuitu poskytovanej základnej služby,
strategickú oblasť, trhové a operačné riziká,
c)
vysoká zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa
základnej služby a ktorých zlyhanie bezprostredne ohrozuje poskytovanú základnú službu,
s ňou spojené aktivity a dobrú povesť prevádzkovateľa základnej služby.
Základné pravidlá klasifikácie informácií
1.
Každá klasifikovaná informácia má pridelený jeden klasifikačný stupeň dôvernosti,
jeden klasifikačný stupeň integrity a jeden klasifikačný stupeň dostupnosti.
2.
Bezpečnostné informácie, nastavenia, postupy, smernice a ostatné úkony ohľadom riadenia
aktív sa klasifikujú rovnakým alebo vyšším klasifikačným stupňom, akým sú označené
informačné aktíva, ktorých riadenie opisujú.
3.
Prevádzkovateľ základnej služby môže v rozsahu svojej pôsobnosti jednotlivé informačné
aktíva zaradiť do vyššieho stupňa.
4.
Prevádzkovateľ základnej služby, ktorý už má vykonanú klasifikáciu informácií podľa
inej štandardizačnej metódy, vykonáva na klasifikáciu informácií mapovanie na klasifikačné
stupne podľa tejto prílohy.
B. Kritériá kategorizácie sietí a informačných systémov
Kategória I. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
a)
ktorých ohrozenie nemá žiadny negatívny dopad na poskytovanú základnú službu,
b)
ktoré sú klasifikované z hľadiska dôvernosti ako verejné alebo v odôvodnených prípadoch
interné,
c)
ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom nízka alebo v
odôvodnených prípadoch stredná,
d)
ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom nízka alebo v odôvodnených
prípadoch stredná,
e)
pri ktorých nie je predpoklad potreby identifikácie zodpovednosti za aktivity používateľov,
alebo
f)
pri ktorých nie je potrebné vykonávať kontrolnú činnosť.
Kategória II. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
a)
ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident I. stupňa,
b)
ktoré sú klasifikované z hľadiska dôvernosti ako interné, chránené alebo v odôvodnených
prípadoch prísne chránené,
c)
ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom stredná alebo
v odôvodnených prípadoch vysoká,
d)
ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom stredná alebo v
odôvodnených prípadoch vysoká,
e)
pri ktorých je potrebné identifikovať zodpovednosť za kritické aktivity, najmä však
aktivity privilegovaných používateľov,
f)
pri ktorých je potrebné vykonávať kontrolnú činnosť,
g)
tvoriace základné registre a/alebo referenčné registre,
h)
zabezpečujúce vytváranie a vedenie agend, ktoré nepatria do I. bezpečnostnej kategórie,
i)
ktoré sú agendové informačné systémy,
j)
ktorými sú špecializované portály alebo
k)
ktoré sú nevyhnutné na rozhodovanie orgánu štátnej moci.
Kategória III. zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
a)
ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident II. a III. stupňa,
b)
ktoré sú klasifikované z hľadiska dôvernosti ako prísne chránené,
c)
ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom vysoká,
d)
ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom vysoká,
e)
pri ktorých je potrebné auditovať aktivity všetkých používateľov,
f)
prostredníctvom ktorých sa poskytuje základná služba a ktorých výpadok alebo poškodenie
spôsobí poškodenie alebo znemožnenie poskytovania základnej služby,
g)
ktoré sú označené ako utajované skutočnosti alebo ako tajomstvo podľa osobitných
predpisov,2)
h)
ktoré sú nevyhnutné a potrebné z hľadiska plnenia úloh týkajúcich sa obrany a bezpečnosti
štátu alebo
i)
ktorým je ústredný portál verejnej správy.
Príloha č. 3 k vyhláške č. 362/2018 Z. z.
MINIMÁLNE POŽIADAVKY NA BEZPEČNOSTNÉ OPATRENIA V ZÁVISLOSTI OD KATEGORIZÁCIE SIETÍ
A INFORMAČNÝCH SYSTÉMOV
Tabuľka zobrazuje minimálne požiadavky na bezpečnostné opatrenia jednotlivých kategórií
sietí a informačných systémov, ktoré môže prevádzkovateľ základnej služby pre individuálne
aktíva sprísniť.
| Bezpečnostné opatrenie pre | Kategória I | Kategória II | Kategória III |
| Oblasť podľa § 20 ods. 3 písm. a) zákona | Odporúčané | Odporúčané | Povinné |
| Oblasť podľa § 20 ods. 3 písm. b) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. c) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. d) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. e) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. f) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. g) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. h) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. i) zákona | Odporúčané | Odporúčané | Povinné |
| Oblasť podľa § 20 ods. 3 písm. j) zákona | Povinné | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. k) zákona | Odporúčané | Povinné | Povinné |
| Oblasť podľa § 20 ods. 3 písm. l) zákona | Odporúčané | Odporúčané | Povinné |
| Oblasť podľa § 20 ods. 3 písm. m) zákona | Odporúčané | Povinné | Povinné |
1)
§14b zákona Národnej rady Slovenskej republiky č. 198/1994 Z. z. o Vojenskom spravodajstve.
2)
Napríklad zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení
neskorších predpisov, § 17 až 20 zákona č. 513/1991 Zb. Obchodný zákonník, § 39 zákona Slovenskej národnej rady č. 323/1992 Zb. o notároch a notárskej činnosti (Notársky poriadok) v znení neskorších predpisov,
zákon č. 483/2001 Z. z. o bankách a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 23 zákona č. 586/2003 Z. z. o advokácii a o zmene a doplnení zákona č. 455/1991 Zb. o živnostenskom podnikaní (živnostenský zákon) v znení neskorších predpisov v znení
zákona č. 297/2008 Z. z., zákon č. 215/2004 Z. z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zákonov v znení
neskorších predpisov, § 24 a 25 zákona č. 576/2004 Z. z. o zdravotnej starostlivosti, službách súvisiacich s poskytovaním zdravotnej starostlivosti
a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, § 11 zákona č. 563/2009 Z. z. o správe daní (daňový poriadok) a o zmene a doplnení niektorých zákonov v znení neskorších
predpisov, § 10 zákona č. 324/2011 Z. z. o poštových službách a o zmene a doplnení niektorých zákonov.