Bezpečnostné opatrenie/Jednotlivé aktivity
Aktualizované 23.05.2024 - Bezpečnostné opatrenia
Bezpečnostné opatrenia sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Cieľom bezpečnostných opatrení je predchádzať kybernetickým bezpečnostným incidentom a minimalizovať ich vplyv na kontinuitu prevádzkovania služby. Zároveň sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a zodpovedať reálnemu stavu.
Bezpečnostné opatrenia sú:
- všeobecné – realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy,
- sektorové – realizované na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.
Klasifikácia informácií a kategorizácia sietí a informačných systémov sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť.
Viac o bezpečnostných opatreniach nájdete TU.
Oblasti, pre ktoré sa bezpečnostné opatrenia prijímajú sú:
- organizácie informačnej bezpečnosti
- riadenia aktív, hrozieb a rizík
- personálnej bezpečnosti
- riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
- technických zraniteľností systémov a zariadení
- riadenia bezpečnosti sietí a informačných systémov
- riadenia prevádzky
- riadenia prístupov
- kryptografických opatrení
- riešenia kybernetických bezpečnostných incidentov
- monitorovania, testovania bezpečnosti a bezpečnostných auditov
- fyzickej bezpečnosti a bezpečnosti prostredia
- riadenia kontinuity procesov
Bezpečnostné opatrenia musia zahŕňať:
- detekciu kybernetických bezpečnostných incidentov
- evidenciu kybernetických bezpečnostných incidentov
- postupy riešenia a riešenie kybernetických bezpečnostných incidentov
- určenie kontaktnej osoby pre prijímanie a evidenciu hlásení
- pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania