Oficiálna stránka

Doména kyberportál.slovensko.sk

Nachádzate sa na oficiálnom webovom sídle orgánu verejnej moci SK – Centrálny portál kybernetickej bezpečnosti. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze .

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Domov Znalostná báza Bezpečnostné opatrenia Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
Znalosť

Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti

Aktualizované 23.09.2024 - Bezpečnostné opatrenia

Kategória I

a)
Určenie pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.

b)
Vypracovanie a implementácia interného riadiaceho aktu, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1.
určenie povinnosti, zodpovednosti a právomoci pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti, ktoré organizácia správcu má zavedené a riadi sa nimi.

Kategória II

a)
Vypracovanie a implementácia interného riadiaceho aktu Politika kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1.
určenie povinnosti, zodpovednosti a právomoci manažéra kybernetickej bezpečnosti a informačnej bezpečnosti a všetkých zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
základné zásady a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných touto vyhláškou.

b)
Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu zodpovedného za koordináciu a plnenie týchto úloh:
1.
vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej bezpečnosti a ďalšie interné riadiace akty podľa písmena c),
2.
riadiť a zaisťovať kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov,
3.
metodicky viesť správcov informačných technológií verejnej správy, gestorov informačných technológií verejnej správy, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
4.
v súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať bezpečnostné hrozby a riziká organizácie,
5.
navrhovať opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitorovať plnenie a efektivitu týchto opatrení a viesť evidenciu bezpečnostných incidentov,
6.
koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie správcu,
7.
predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú bezpečnosť organizácie správcu,
8.
zabezpečiť pravidelné – najmenej raz za dva roky – preskúmanie stavu informačnej bezpečnosti a spolupracovať pri realizácii auditov vykonávaných internými a externými subjektmi,
9.
zabezpečovať školenia zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
10.
spolupracovať s inými orgánmi verejnej moci.

c)
Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu a detaile zodpovedajúcom veľkosti a štruktúre organizácie správcu, významu informačných technológií verejnej správy v jeho správe a štruktúre existujúcich interných riadiacich aktov s detailným opisom jednotlivých opatrení a postupov pre tieto oblasti:
1.
organizácia kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
3.
personálna bezpečnosť,
4.
riadenie prístupov,
5.
riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s tretími stranami,
6.
bezpečnosť pri prevádzke informačných systémov a sietí,
7.
hodnotenie zraniteľnosti a bezpečnostné aktualizácie,
8.
ochrana proti škodlivému kódu,
9.
sieťová a komunikačná bezpečnosť,
10.
akvizícia, vývoj a údržba informačných technológií verejnej správy,
11.
zaznamenávanie udalostí a monitorovanie,
12.
riadenie kontinuity procesov. fyzická bezpečnosť a bezpečnosť prostredia,
13.
riešenie kybernetických bezpečnostných incidentov,
14.
kryptografické opatrenia,
15.
kontinuita prevádzky informačných technológií verejnej správy,
16.
audit a kontrolné činnosti.

d)
Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu.6)

e)
Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti a informačnej bezpečnosti a efektivity jednotlivých opatrení a postupov.

f)
Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.

Kategória III

a)
Vytvorenie bezpečnostného výboru s rozsahom povinností a právomocí určených štatútom.

b)
Bezpečnostný výbor pri výkone svojej činnosti najmä
1.
riadi stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
riadi bezpečnostné riziká v rozsahu celej organizácie, akceptuje bezpečnostné riziká, ktoré sa týkajú viac ako jednej organizačnej jednotky organizácie správcu,
3.
schvaľuje a rozhoduje o implementácii významných bezpečnostných opatrení a postupov,
4.
schvaľuje odporúčania, návrhy strategických a koncepčných materiálov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, predkladaných manažérom kybernetickej bezpečnosti a informačnej bezpečnosti,
5.
predkladá štatutárnemu orgánu na schválenie návrh zodpovednosti za implementáciu a uplatňovanie jednotlivých opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii.

c)
Bezpečnostný výbor sa skladá najmenej z
1.
štatutára správcu, jeho zástupcu alebo ním poverenej osoby,
2.
manažéra kybernetickej bezpečnosti a informačnej bezpečnosti,
3.
vedúceho zamestnanca organizačného útvaru zodpovedného za správu informačno-komunikačnej infraštruktúry,
4.
vedúceho zamestnanca organizačného útvaru zodpovedného za právne a legislatívne služby,
5.
zodpovednej osoby za ochranu osobných údajov.

Minimálne zloženie bezpečnostného výboru možno doplniť o ďalšie osoby.

d)
Vytvorenie pozície manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu mimo organizačného útvaru zodpovedného za správu a prevádzku informačných technológií verejnej správy.

e)
Manažér kybernetickej bezpečnosti a informačnej bezpečnosti pri výkone svojej činnosti najmä
1.
navrhuje stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.
informuje bezpečnostný výbor alebo štatutárny orgán správcu o stave informačnej bezpečnosti v organizácii správcu najmenej raz za rok,
3.
bezodkladne informuje bezpečnostný výbor alebo štatutárny orgánu správcu o závažných bezpečnostných rizikách, kybernetických bezpečnostných incidentoch a významných bezpečnostných udalostiach,
4.
zabezpečuje nezávislé preskúmanie stavu informačnej bezpečnosti a spoluprácu pri realizácii auditov vykonávaných internými a externými subjektmi.

f)
Zabezpečenie kontinuálneho vzdelávania manažéra kybernetickej bezpečnosti a informačnej bezpečnosti.

g)
Uplatňovanie princípu oddelenia právomocí a zodpovedností v celej organizačnej štruktúre organizácie správcu tak, že rovnaká osoba nie je zodpovedná za vykonávanie a zároveň aj schvaľovanie alebo kontrolu bezpečnostne relevantných aktivít a činností.

h)
Zabezpečenie preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia projektov v organizácii správcu a určenie adekvátnych opatrení na zníženie každého identifikovaného rizika na prijateľnú úroveň. Definovanie osoby zodpovednej za kybernetickú a informačnú bezpečnosť v projektovom tíme.

i)
Zabezpečenie vypracovania bezpečnostného projektu informačného systému verejnej správy.