Oficiálna stránka

Doména kyberportál.slovensko.sk

Nachádzate sa na oficiálnom webovom sídle orgánu verejnej moci SK – Centrálny portál kybernetickej bezpečnosti. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze .

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Domov Znalostná báza Bezpečnostné opatrenia Podľa bezpečnostných domén
Znalosť

Podľa bezpečnostných domén

Aktualizované 23.05.2024 - Bezpečnostné opatrenia

Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti

Kategória I

a)Určenie pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti.

b)Vypracovanie a implementácia interného riadiaceho aktu, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1.určenie povinnosti, zodpovednosti a právomoci pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti,
2.základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti, ktoré organizácia správcu má zavedené a riadi sa nimi.

Kategória II

a) Vypracovanie a implementácia interného riadiaceho aktu Politika kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej
1. určenie povinnosti, zodpovednosti a právomoci manažéra kybernetickej bezpečnosti a informačnej bezpečnosti a všetkých zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2. základné zásady a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných touto vyhláškou.

b) Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu zodpovedného za koordináciu a plnenie týchto úloh:
1. vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej bezpečnosti a ďalšie interné riadiace akty podľa písmena c),
2. riadiť a zaisťovať kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov,
3. metodicky viesť správcov informačných technológií verejnej správy, gestorov informačných technológií verejnej správy, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
4. v súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať bezpečnostné hrozby a riziká organizácie,
5. navrhovať opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitorovať plnenie a efektivitu týchto opatrení a viesť evidenciu bezpečnostných incidentov,
6. koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie správcu,
7. predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú bezpečnosť organizácie správcu,
8. zabezpečiť pravidelné – najmenej raz za dva roky – preskúmanie stavu informačnej bezpečnosti a spolupracovať pri realizácii auditov vykonávaných internými a externými subjektmi,
9. zabezpečovať školenia zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
10. spolupracovať s inými orgánmi verejnej moci.

c)Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu a detaile zodpovedajúcom veľkosti a štruktúre organizácie správcu, významu informačných technológií verejnej správy v jeho správe a štruktúre existujúcich interných riadiacich aktov s detailným opisom jednotlivých opatrení a postupov pre tieto oblasti:
1.organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
2.riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
3.personálna bezpečnosť,
4.riadenie prístupov,
5.riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahu s tretími stranami,
6.bezpečnosť pri prevádzke informačných systémov a sietí,
7.hodnotenie zraniteľnosti a bezpečnostné aktualizácie,
8.ochrana proti škodlivému kódu,
9.sieťová a komunikačná bezpečnosť,

10.akvizícia, vývoj a údržba informačných technológií verejnej správy,
11.zaznamenávanie udalostí a monitorovanie,
12.riadenie kontinuity procesov. fyzická bezpečnosť a bezpečnosť prostredia,
13.riešenie kybernetických bezpečnostných incidentov,
14.kryptografické opatrenia,
15.kontinuita prevádzky informačných technológií verejnej správy,
16.audit a kontrolné činnosti.

d)Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu.

e)Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti a informačnej bezpečnosti a efektivity jednotlivých opatrení a postupov.

f)Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.

Kategória III

a)Vytvorenie bezpečnostného výboru s rozsahom povinností a právomocí určených štatútom.

b)Bezpečnostný výbor pri výkone svojej činnosti najmä
1.riadi stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.riadi bezpečnostné riziká v rozsahu celej organizácie, akceptuje bezpečnostné riziká, ktoré sa týkajú viac ako jednej organizačnej jednotky organizácie správcu,
3.schvaľuje a rozhoduje o implementácii významných bezpečnostných opatrení a postupov,
4.schvaľuje odporúčania, návrhy strategických a koncepčných materiálov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, predkladaných manažérom kybernetickej bezpečnosti a informačnej bezpečnosti,
5.predkladá štatutárnemu orgánu na schválenie návrh zodpovednosti za implementáciu a uplatňovanie jednotlivých opatrení a postupov kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii.

c)Bezpečnostný výbor sa skladá najmenej z
1.štatutára správcu, jeho zástupcu alebo ním poverenej osoby,
2.manažéra kybernetickej bezpečnosti a informačnej bezpečnosti,
3.vedúceho zamestnanca organizačného útvaru zodpovedného za správu informačno-komunikačnej infraštruktúry,
4.vedúceho zamestnanca organizačného útvaru zodpovedného za právne a legislatívne služby,
5.zodpovednej osoby za ochranu osobných údajov.
Minimálne zloženie bezpečnostného výboru možno doplniť o ďalšie osoby.

d)Vytvorenie pozície manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu mimo organizačného útvaru zodpovedného za správu a prevádzku informačných technológií verejnej správy.

e)Manažér kybernetickej bezpečnosti a informačnej bezpečnosti pri výkone svojej činnosti najmä
1.navrhuje stratégie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
2.informuje bezpečnostný výbor alebo štatutárny orgán správcu o stave informačnej bezpečnosti v organizácii správcu najmenej raz za rok,
3.bezodkladne informuje bezpečnostný výbor alebo štatutárny orgánu správcu o závažných bezpečnostných rizikách, kybernetických bezpečnostných incidentoch a významných bezpečnostných udalostiach,
4.zabezpečuje nezávislé preskúmanie stavu informačnej bezpečnosti a spoluprácu pri realizácii auditov vykonávaných internými a externými subjektmi.

f)Zabezpečenie kontinuálneho vzdelávania manažéra kybernetickej bezpečnosti a informačnej bezpečnosti.

g)Uplatňovanie princípu oddelenia právomocí a zodpovedností v celej organizačnej štruktúre organizácie správcu tak, že rovnaká osoba nie je zodpovedná za vykonávanie a zároveň aj schvaľovanie alebo kontrolu bezpečnostne relevantných aktivít a činností.

h)Zabezpečenie preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia projektov v organizácii správcu a určenie adekvátnych opatrení na zníženie každého identifikovaného rizika na prijateľnú úroveň. Definovanie osoby zodpovednej za kybernetickú a informačnú bezpečnosť v projektovom tíme.

i)Zabezpečenie vypracovania bezpečnostného projektu informačného systému verejnej správy.