Bezpečnostná dokumentácia

Nová vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach posúva bezpečnostnú dokumentáciu do centra pozornosti a po skúsenostiach z aplikačnej praxe jej prikladá väčší význam než jej predchodkyňa. Povinné osoby musia nielen vypracovať a zaviesť, ale aj pravidelne aktualizovať balík dokumentovaných informácií, ktorý musí reálne odrážať stav procesov a bezpečnostných opatrení v organizácii prevádzkovateľa základnej služby. Dokumentácia sa stáva živým nástrojom riadenia, ktorý zabezpečuje konzistentnosť opatrení a ich väzbu na analýzu rizík.

 

Úvod

Požiadavka na bezpečnostnú dokumentáciu je stará ako samotné riadenie bezpečnosti. Už v prvých normách informačnej bezpečnosti (BS 7799 v 90. rokoch, neskôr ISO/IEC 17799, na začiatku tisícročia) sa kládol dôraz na to, aby opatrenia nezostali len v implementačnej rovine, ale aby boli zdokumentované, riadené a preskúmateľné počas celého svojho životného cyklu. Podobne aj rámce ako NIST či COBIT vyžadujú dokumentované politiky, štandardy a procedúry ako podmienku efektívneho riadenia. Dnešná vyhláška NBÚ č. 227/2025 Z. z. o bezpečnostných opatreniach (ďalej len „Vyhláška“) na tento princíp nadväzuje – nejde o novinku, ale o aktualizovaný a právne záväzný rámec pre slovenské právne prostredie.

Pojem bezpečnostná dokumentácia sa používal ako všeobecné označenie pre súbor interných predpisov a záznamov v oblasti kybernetickej bezpečnosti. S príchodom systémových noriem sa objavil pojem riadená dokumentácia, ktorý zdôrazňuje, že dokumenty musia mať určený životný cyklus – od tvorby a schvaľovania až po aktualizáciu a vyradenie. Novšie normy (ISO 9001:2016https://normy.normoff.gov.sk/norma/122449/, STN EN ISO/IEC 27001:2023https://normy.normoff.gov.sk/norma/137505/) zaviedli pojem dokumentované informácie, ktorý zjednotil dovtedy používané rozlíšenie na „dokumenty“ a „záznamy“. Ide o širší koncept, ktorý dáva organizáciám väčšiu flexibilitu vo forme spracovania, no zachováva požiadavku, aby všetky informácie, potrebné pre systém manažérstva, boli riadne udržiavané, dostupné a kontrolované.

Bezpečnostná dokumentácia je základným predpokladom vyspelosti systému manažérstva informačnej bezpečnosti. Organizačné, personálne, fyzické či technologické opatrenia nemajú dostatočnú účinnosť, pokiaľ nie sú systematicky zdokumentované a riadené. Procesy preto musia byť popísané v súvislosti s aktivitami, procedúrami, zodpovednosťami a rolami. Technológie je potrebné zachytiť v kontexte informačnej architektúry a ich konfigurácie. Takto vypracovaná dokumentácia zabezpečuje, že opatrenia nie sú len jednotlivé izolované praktiky a mechanizmy, ale ucelený rámec, ktorý je preskúmateľný, udržateľný a v súlade s legislatívnymi požiadavkami.

Formalizmus pri riadenej dokumentácii vedie k tomu, že organizácia vytvára dokumenty len na splnenie požiadaviek auditu či kontroly – existujú, ale sú neaktuálne, nekonzistentné a v praxi sa nimi nikto neriadi. V takom prípade sú „papierom pre audítora“, nie oporou pre rozhodovanie. Nástrojom riadenia sa dokumentované informácie stávajú vtedy, keď sú integrované do procesov organizácie. Politiky určujú ciele a zásady, štandardy prekladajú tieto zásady do jednotných pravidiel a návody opisujú konkrétne kroky a konfigurácie.

Ak sú dokumenty priebežne aktualizované a používané v každodennej praxi, prestávajú byť bremenom a stávajú sa podmienkou konzistentného a udržateľného fungovania organizácie.

 

Štruktúra interných predpisov v kontexte úrovní riadenia

Manažérom sa človek nenarodí. Aj manažment ako odbornosť má svoje teoretické základy, bez poznania ktorých sa mnohí na manažérov iba hrajú. Žiaľ, základnú teóriu manažmentu mnohí vedúci zamestnanci dodnes nechápu, a to vrátane tých, ktorí sú vo funkcii štatutárneho orgánu. Tento neduh sa, samozrejme, týka aj manažérov kybernetickej bezpečnosti, najmä tých, ktorí sa do tejto roly neprepracovali rokmi praxe.

Aby sme vedeli vysvetliť vertikálne vrstvenie dokumentácie v kontexte riadiacich procesov organizácií, je potrebné najprv pochopiť princíp troch úrovní riadenia – strategickej, taktickej a operatívnej. Tento princíp má korene v klasickej manažérskej teórii. Už v roku 1965 ho sformuloval Robert N. Anthony v diele Planning and Control SystemsANTHONY, Robert Newton. Planning and Control Systems: A Framework for Analysis. Boston: Division of Research, Graduate School of Business Administration, Harvard University, 1965, kde rozlíšil strategické riadenie (plánovanie dlhodobých cieľov a alokácia zdrojov), manažérske riadenie (taktické prepojenie stratégie na plány a rozpočty) a operatívne riadenie (každodenný proces zabezpečovania efektívneho výkonu úloh pri zabezpečovaní prevádzky).

Model sa neskôr stal základom pre moderné rámce riadenia, ako napr. COBIT v oblasti IT governance či STN ISO/IEC 27014 Informačná bezpečnosť, kybernetická bezpečnosť a ochrana súkromia – Riadenie a správa informačnej bezpečnosti. (Mimochodom – termín „správa“ podľa názoru autora nie je najvhodnejším prekladom výrazu „governance“. Ale o tom sa už roky vedú spory na pôde Technickej komisie ÚNMS SR).

COBIT tieto vrstvy opisuje ako prepojenie medzi governance (strategická úroveň – stanovuje smerovanie a očakávania) a management (taktická a operatívna úroveň – realizuje a monitoruje). STN ISO/IEC 27014:2023 rovnaký princíp aplikuje priamo na oblasť informačnej bezpečnosti.

Dokumentované informácie, alebo ak v tomto prípade chcete – bezpečnostná dokumentácia – sa dá podľa modelu troch úrovní riadenia mapovať na tri úrovne:

• strategická – určuje dlhodobé smerovanie a ciele, vytvára všeobecnú kultúru organizácie a rámec pre rozhodovanie. V kybernetickej bezpečnosti sem patrí stanovenie stratégie, väzieb na podnikateľské ciele a bezpečnostných politík pre jednotlivé podoblasti;
• taktická – prekladá strategické ciele a rozhodnutia do pravidiel, procesov a plánov. Sem patria štandardy, metodiky a kontrolné mechanizmy, ktoré umožňujú konzistentnú implementáciu dlhodobého smerovania a cieľov;
• operatívna – rieši každodenné úlohy, technické postupy a konfigurácie. Patria sem návody, pracovné postupy, konfigurácie a konkrétne implementačné kroky.

Dve z nich navrhuje aj Vyhláška:

Bezpečnostnou politikou sa podľa § 2 písm. d) rozumie dokumentácia, ktorá určuje smerovanie prevádzkovateľa základnej služby v oblasti kybernetickej bezpečnosti na úrovni riadenia a určuje povinnosti, zodpovednosti, požiadavky, zákazy a zásady správania sa v jednotlivých oblastiach kybernetickej bezpečnosti.

Bezpečnostným štandardom sa podľa § 2 písm. e) rozumie súbor pravidiel spojených s kybernetickou bezpečnosťou, ktoré jednotne interpretujú požiadavky bezpečnostných politík v konkrétnych situáciách, určujú aktivity, hlavné pravidlá, zodpovednosti a organizáciu riadenia kybernetickej bezpečnosti a ktorých účelom je vytvorenie jednotného prostredia pre dodržiavanie bezpečnostných politík.

V návrhu vyhlášky pred Medzirezortným pripomienkovým konaním bola navrhnutá aj definícia:

Bezpečnostným návodom je súhrn predpísaných krokov na vykonanie bezpečnostných politík a bezpečnostných štandardov prostredníctvom konkrétnych aktivít, ktorý opisuje bezpečnostné konfigurácie a poskytuje konkrétne, platformovo závislé usmernenia na podporu bezpečnostných politík a bezpečnostných štandardov.

Z neznámych dôvodov sa definícia pre bezpečnostné návody už v platnej verzii Vyhlášky nenachádza. To, samozrejme, nebráni, najmä väčším PZS, aby vydávali a riadili aj bezpečnostné návody.

 

Požiadavky na obsah bezpečnostnej dokumentácie

Zákonodarca pragmaticky stanovuje minimálny obsah bezpečnostnej dokumentácie. Prejdime si postupne, čo znamenajú jednotlivé typy dokumentovaných informácií vyžadovaných v § 4 ods. 1 Vyhlášky.

Schválená stratégia kybernetickej bezpečnosti podľa § 4 ods. 1 písm. a) je tzv. „top level“ dokument schválený na štatutárnej úrovni riadenia organizácie. Ide o záväzok vedenia k podpore kybernetickej bezpečnosti v rozsahu podľa ustanovenia Vyhlášky. Má určovať ciele, ktoré je potrebné v riadení kybernetickej bezpečnosti dosiahnuť, má stanoviť základné princípy na dosiahnutie cieľov, má určiť právomoci a zodpovednosti za systémy manažérstva v rámci organizácie PZS, za procesy riadenie rizík a za aktualizáciu bezpečnostnej dokumentácie. Stratégiu si nemýľte s politikami. Stratégia nerozpracúva jednotlivé oblasti či procesy, ale zastrešuje kybernetickú bezpečnosť ako celok.

V aktuálnej Vyhláške už ten text nie je uvedený, ale v § 3 ods. 2 vyhlášky 362/2018 Z. z. stálo, že „Stratégia môže byť prijatá samostatne alebo aj ako jedna z bezpečnostných politík“. Možno to tam nie je preto, že už je to všetkým jasné. Ale ak by nebolo, tak len pripomeniem, že ako stratégia kybernetickej bezpečnosti, tak aj politiky sú dokumentované informácie na strategickej úrovni riadenia.

Keďže inžinier najprv kreslí, potom počíta a až nakoniec rozpráva, dovolím si pre lepšie pochopenie znázorním tento princíp graficky:

 

 

Obe alternatívy sú možné a obe budú v súlade s požiadavkami Vyhlášky. Osobne sa prikláňam k verzii A, keďže predsa len by stratégia mala byť akýmsi zastrešujúcim riadiacim aktom v porovnaní s politikami, ktoré sú už viac pracovného než „politického“ charakteru.

Schválené bezpečnostné politiky podľa § 4 ods. 1 písm. a): Stále zostávame na strategickej úrovni riadenia, preto politiky, rovnako ako stratégia, by mali byť taktiež schvaľované na štatutárnej úrovni riadenia organizácie. Politiky majú zastrešovať jednotlivé oblasti riadenia kybernetickej bezpečnosti. Na rozdiel od predchádzajúcej vyhlášky č. 362/2018 Z. z. nová vyhláška už taxatívne neurčuje jednotlivé oblasti riadenia kybernetickej bezpečnosti. Tie si musí určiť PZS sám.

Je odporúčané, aby politiky boli samostatným dokumentom pre každú oblasť, avšak audítori sa bežne stretávajú aj so situáciou, keď sú všetky oblasti riadenia kybernetickej bezpečnosti vydané v spoločnom dokumente. Nie je to chyba. Tento prístup sa bežne vyskytuje najmä v menších organizáciách. Podstatné je, aby obsah „centrálnej bezpečnostnej politiky“ odrážal oblasti riadenia kybernetickej bezpečnosti tak, ako sú u PZS nasadené.

Každá z riadených oblastí má zároveň referencovať súvisiacu organizačnú štruktúru PZS, procesy a ich väzby, dotknuté pracovné roly, zodpovednosti osôb, popis právomocí a rámcovo aj spôsob zahrnutia príslušných kybernetických bezpečnostných rizík.

Vykonaná klasifikácia informácií podľa § 4 ods. 1 písm. c) a v zmysle prílohy č. 2: ak prevádzkovateľ základnej služby disponuje vlastnou metodikou pre klasifikáciu informácií, vykoná sa mapovanie na klasifikačné stupne v súlade s prílohou č. 2.

Určenie príslušnej kategórie sietí a informačných systémov a operačných technológií podľa § 4 ods. 1 písm. d): V prípade nejednoznačnosti rozhodne o určení kategórie prevádzkovateľ základnej služby.

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „Zákon“) smeroval k prístupu založenému na riadení rizík. Vyhláška po MPK vrátila do hry klasifikáciu a kategorizáciu. Lenže dosť nedôsledne, pretože kým klasifikačná schéma je vo Vyhláške uvedená, klasifikačné stupne už neimplikujú kategórie. V Prílohe č. 2 B predchádzajúcej vyhlášky boli stanovené kritériá kategorizácie. V platnej Vyhláške ku kategorizácii nie sú stanovené žiadne pravidlá. Načo by aj, keď Zákon už kategorizáciu nevyžaduje?

Opäť si rozdiely znázornime graficky.

Pôvodný proces podľa vyhlášky č. 362/2018 Z. z.:

 

 

 

Legislatívne správne ošetrený proces podľa vyhlášky č. 227/2025 Z. z. o povinnostiach vyplývajúcich z analýzy rizík:

 

 

 

By-pass vo vyhláške č. 227/2025 Z. z., bez ďalších ustanovení o aplikácii výsledkov z klasifikácie informácií:

 

 

Z klasifikácie nevyplýva spôsob, ako určiť rozsah opatrení na základe klasifikačných stupňov.

Je možné, že je to výsledkom zásadnej pripomienky v MPK, ktorá spôsobila návrat ku klasifikácii bez ďalšej nadväznosti na kategorizáciu systémov. Na základe tohto ustanovenia však majú PZS problém. Pretože na klasifikáciu bola naviazaná kategorizácia systémov a na ňu zase rozsah požadovaných opatrení. Bez tejto väzby je vykonaná klasifikácia informácií podľa § 4 ods. 1 písm. c) absolútne zbytočná. Formálny dokument do šanóna. Boli by to vyhodené peniaze.

Nakoniec je však možný aj taký výklad, že prevádzkovatelia základných služieb môžu pokojne ignorovať obe sporné požiadavky, t. j.:

• povinnosť vykonať klasifikáciu informácií v zmysle  § 4 ods. 1 písm. c) Vyhlášky,
• povinnosť určiť siete a informačné systémy a operačné technológie do príslušnej kategórie informačných a komunikačných technológií alebo operačných technológií v zmysle § 4 ods. 1 písm. d) Vyhlášky,

pretože v Zákone v znení účinnom od 1.1.2025 už povinnosť klasifikácie a kategorizácie nie je. A ako je známe, vykonávací predpis, ktorým je Vyhláška, nesmie vytvárať nové povinnosti nad rámec zákonom ustanoveného splnomocnenia.

Vykonaná analýza rizík podľa § 4 ods. 1 písm. e) je dokument, resp. množina dokumentov, ktoré vyplynú z uplatňovania požiadaviek § 5 Vyhlášky. Podrobnosti opíšem v samostatnom článku.

Potrebné je vedieť, že napr. určenie úrovní identifikovaných rizík, frekvencia vykonávania analýzy rizík a proces akceptácie rizika by mali byť ošetrené v príslušnej politike. Analýza rizík musí byť dynamický dokument.

Dokumentácia rozsahu a spôsobu prijatia, dodržiavania a vykonávania bezpečnostných opatrení podľa § 4 ods. 1 písm. f) – ďalej bližšie vysvetlené v § 4 ods. 2. Ustanovenie § 4 ods. 1 písm. f) určuje, že opatrenia majú byť prijaté podľa výsledkov analýzy rizík. A nepriamo odkazuje aj na rozhodnutie o akceptácii rizík, hoci Úrad tento proces a dokument nazval „informácia, ktoré bezpečnostné opatrenia nie sú prijaté spolu s odôvodnením“. Zbytočne komplikovaná formulácia namiesto dvojslovného a ustáleného výrazu „akceptácia rizika“.

Inak, určenie rozsahu a spôsobu prijatia, dodržiavania a vykonávania bezpečnostných opatrení má podľa § 4 ods. 2 obsahovať zoznam prijatých bezpečnostných opatrení a s nimi súvisiace schémy a základné opisy:

1. topológiu siete týkajúcej sa infraštruktúry operačných technológií (ak také PZS prevádzkuje),
2. topológiu siete týkajúcej sa infraštruktúry informačných a komunikačných technológií,
3. schému aplikačnej architektúry,
4. schému bezpečnostnej architektúry.

Vo Vyhláške NBÚ č. 227/2025 Z. z. sa objavuje delenie bezpečnostných opatrení na IKT (informačno-komunikačné technológie) a OT (operačné technológie). Ide o prvok, ktorý bol pridaný najmä v prílohách, kde sa uvádza relevancia opatrení pre „IKT/OT“ prevádzkovateľov. Problém je, že samotná Vyhláška OT ako pojem nikde nedefinuje. Otvorenou zostáva praktická otázka: budú sa audítori a dohľad NBÚ riadiť tým, že „OT“ znamená to, čo pod tým chápe IEC 62443 (automatizačné a procesné technológie), alebo ponechajú výklad na prevádzkovateľov? To je rizikový moment, pretože rozdiel v interpretácii môže mať zásadný dopad na to, ktoré opatrenia sa budú považovať za povinné a ktoré nie.

Že súčasťou bezpečnostnej dokumentácie musí byť podľa § 4 ods. 1 písm. g) aj posledná záverečná správa o výsledkoch auditu kybernetickej bezpečnosti podľa § 29 Zákona, je hádam pochopiteľná samozrejmosť. Budete ju potrebovať nielen pri kontrole z Úradu, ale aj priebežne pri rozhodovaniach o úpravách a doplneniach bezpečnostných opatrení.

Vyhláška v § 4 ods. 1 písm. h) správne odkazuje aj na iné dokumentované informácie, najmä na Posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov podľa vyhlášky Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.

Tento dokument (DPIA – Data Protection Impact Assessment) má dva základné významy:

Obsahuje systematický opis plánovaného spracúvania osobných údajov, účely a právne základy spracúvania, posúdenie nevyhnutnosti a primeranosti spracovateľských operácií vo vzťahu k ich účelu, identifikáciu rizík pre práva a slobody dotknutých osôb a opatrenia na riešenie týchto rizík vrátane záruk, bezpečnostných opatrení a mechanizmov na zabezpečenie ochrany údajov.

Cieľom je včas odhaliť a minimalizovať riziká spracúvania osobných údajov, najmä v prípadoch, keď by spracúvanie mohlo viesť k vysokému riziku pre práva a slobody fyzických osôb. DPIA je teda preventívny nástroj, ktorý má prevádzkovateľovi aj dozornému orgánu preukázať, že plánované spracúvanie je v súlade s požiadavkami GDPR, vrátane princípu zodpovednosti a zásady „privacy by design/by default“.

Grafické znázornenie bezpečnostnej dokumentácie v stromovej štruktúre:

 

 

Štruktúra verzus obsah

§ 20 ods. 2 Zákona stanovuje, že bezpečnostné opatrenia sa prijímajú aspoň pre:

1. organizáciu a riadenie informačnej bezpečnosti a kybernetickej bezpečnosti,
2. správu zraniteľností a kybernetických hrozieb,
3. správu aktív a riadenie kybernetických hrozieb a rizík,
4. riadenie udalostí a kybernetických bezpečnostných incidentov,
5. riadenie kontinuity činností, zálohovanie, obnovu systémov po havárii a krízové riadenie,
6. bezpečnosť pri nadobúdaní, vývoji a údržbe siete, informačných systémov, aplikácií a konfigurácií,
7. postupy posudzovania účinnosti opatrení, riadenie súladu a kontrolné činnosti,
8. kryptografické opatrenia a zásady používania kryptografie,
9. bezpečnosť a spôsobilosti ľudských zdrojov,
10. správu identít a prístupov,
11. bezpečnosť pri prevádzke sietí a informačných systémov,
12. ochranu proti škodlivému kódu a nežiaducemu obsahu,
13. systémovú bezpečnosť, sieťovú bezpečnosť a komunikačnú bezpečnosť,
14. monitorovanie, zaznamenávanie a hlásenie udalostí,
15. fyzickú bezpečnosť, bezpečnosť prostredia a správu koncových zariadení,
16. ochranu záznamov, súkromia a označovanie informácií,
17. dodávateľský reťazec,
18. obstarávanie a využívanie certifikovaných produktov IKT, služieb IKT a procesov IKT.

Z týchto ustanovení nepriamo vyplývajú aj jednotlivé oblasti riadenia kybernetickej bezpečnosti, ktoré by mali byť zastrešené politikami a prípadne ďalej rozpracované v štandardoch.

V nahradenej vyhláške Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, bola štruktúra politík a hierarchia súvisiacich „vykonávacích“ štandardov určená v prílohe č. 1:

 

Bezpečnostné politiky	Súvisiace bezpečnostné štandardy
1. Organizácia bezpečnosti	Riadenie bezpečnostnej architektúry Systém riadenia kybernetickej bezpečnosti Riadenie identít a prístupových práv Riadenie privilegovaných prístupov Bezpečnostný monitoring a správa bezpečnostných záznamov
2. Riadenie bezpečnostných rizík	Testovanie a bezpečnostná certifikácia systémov Metodika posudzovania vplyvu na ochranu osobných údajov Metodika posudzovania rizík Fyzická bezpečnosť a bezpečnosť prostredia Riešenie bezpečnostných incidentov
3. Riadenie informačných aktív	Klasifikácia informácií a kategorizácia sietí Registratúrny poriadok a registratúrny plán
4. Pravidlá správania a dobrej praxe	Práca na diaľku a používanie mobilných zariadení Riadenie personálnej bezpečnosti Pravidlá komunikácie
5. Riadenie dodávateľských vzťahov	Riadenie dodávateľských služieb Akvizícia informačných systémov
6. Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií	Vývoj a testovanie informačných systémov Postupy údržby informačných systémov Riadenie technických zraniteľností a manažment záplat
7. Riadenie a prevádzka informačno-komunikačných technológií	Pravidlá prepájania systémov a prenosu elektronických informácií Riadenie bezpečnosti sietí Riadenie zmien infraštruktúry Riadenie kapacity systémov a služieb Riadenie kryptografických opatrení
8. Riadenie súladu	Audit kybernetickej bezpečnosti Spracúvanie osobných údajov a klasifikovaných informácií Poskytovanie súčinnosti tretím stranám
9. Riadenie kontinuity procesov a činností	Plány kontinuity prevádzkových činností Plány havarijnej obnovy prevádzky Metodika zálohovania a obnovy informácií

 

Keďže oblasti riadenia kybernetickej bezpečnosti si musí určiť PZS sám, možné je inšpirovať sa aj touto štruktúrou. Nie je to dokonalé, ale pokiaľ Úrad nevydá k štruktúre dokumentácie metodické usmernenie, PZS nemajú v rukách nič dostupnejšie. Napokon – Úrad sa k tomu zaväzuje priamo vo Vyhláške, a to v § 7 ods. 3, podľa ktorého: „Vzor bezpečnostnej dokumentácie a vzor zmluvy podľa § 19 ods. 2 zákona sa zverejnia na webovom sídle úradu.“ Tak sa budeme tešiť.

Jedno je isté, Vyhláška nevyžaduje konkrétne názvy dokumentov. V názvosloví teda majú PZS voľnosť. Audítori pri posudzovaní súladu ani doteraz neprihliadali na formálne rozdiely názvov dokumentov –rozhodujúca je vecná (obsahová) zhoda podľa štruktúry uvedenej v § 20 ods. 2 Zákona.

 

Prepojenie dokumentácie s praxou

Bezpečnostná dokumentácia nemá ostať len formálnym výstupom pre audítora či regulátora, ale musí byť priamo previazaná s každodenným riadením organizácie.

Stratégia a politiky kybernetickej bezpečnosti definujú základné pravidlá, ktoré sa premietajú do procesov. Každý proces musí mať určeného vlastníka a pridelené roly so zodpovednosťami. Dokumentácia tak tvorí záväzný rámec, podľa ktorého sa kontroluje a vyhodnocuje činnosť jednotlivcov aj tímov. Bez väzby na reálne pracovné roly by ostala iba formálnym textom bez účinnosti.

Zoznam prijatých bezpečnostných opatrení podľa § 4 ods. 2 si vyžaduje opis topológie a architektúry IKT a OT, vrátane bezpečnostnej architektúry. Tým sa zabezpečí, že prijaté opatrenia majú konkrétnu technickú realizáciu. Politika prístupu, zálohovania či šifrovania tak nie je len abstraktným predpisom, ale musí byť odzrkadlená v nastaveniach systémov, sieťových segmentoch alebo v implementovaných kontrolných mechanizmoch.

Dokumentácia je živý nástroj riadenia, preto by mala byť aktuálna a odrážať reálny stav. To predpokladá aj zavedenie procesov riadenia zmien – každá významná technická, organizačná alebo personálna zmena sa musí premietnuť do príslušných politík, návodov alebo zoznamov opatrení. Audity a preskúmania rizík slúžia ako kontrolný mechanizmus, ktorý vynucuje pravidelnú aktualizáciu a udržiava súlad dokumentácie s praxou.

 

Najčastejšie problémy u PZS

Prevádzkovatelia základných služieb často vypracujú dokumentáciu len s cieľom preukázať splnenie zákonných požiadaviek. Dokumenty síce existujú, ale nie sú naviazané na reálne procesy ani technickú prevádzku. Výsledkom je tzv. „papierová bezpečnosť“ – opatrenia sú deklarované, no v praxi nefungujú alebo sa nevyužívajú.

Bezpečnostná dokumentácia musí byť aktuálna a odrážať skutočný stav. V mnohých organizáciách sa však dokumenty aktualizujú len tesne pred auditom alebo len veľmi sporadicky. To vedie k rozporom medzi popísanými a skutočne používanými systémami, procesmi či rolami. Častým dôsledkom je aj neaktuálny zoznam aktív alebo rizík, čo výrazne znižuje hodnotu dokumentácie ako nástroja riadenia.

Tiež môže nastať nesúlad medzi politikami a aplikačnou praxou. Politiky môžu byť na strategickej úrovni definované správne, no ich implementácia do reálnych procesov prostredníctvom štandardov a do konfigurácie technológií, sieťovej architektúry alebo nastavení prístupov prostredníctvom návodov často zlyháva. Napríklad politika najnižších právomocí (Least Privilege) je formálne schválená, no v systémoch sú používateľom ponechané administrátorské účty bez obmedzení. Podobne bývajú nesprávne premietnuté požiadavky na segmentáciu sietí alebo zálohovanie. Tento nesúlad je jedným z najčastejších nálezov pri auditoch podľa § 29 Zákona.

 

Odporúčané kroky pre PZS

Hypoteticky si predstavte, že ste čerstvo zapísaný PZS, doteraz ste neriadili kybernetickú bezpečnosť. Nemáte doteraz zavedené žiadne procesy a nemáte ani implementované žiadne opatrenia (čo je, dúfam, len veľmi hypotetická predstava).

Vytvorte internú mapu povinných dokumentov

Prvým krokom je systematizácia dokumentácie. Prevádzkovateľ základnej služby by si mal vytvoriť internú maticu všetkých povinných dokumentov podľa § 4 Vyhlášky. Takýto katalóg určí, ktoré dokumenty sú strategické (stratégia, politiky), ktoré sú takticko-operačné (štandardy, návody) a ktoré sú výstupné alebo kontrolné (analýza rizík, klasifikácia, auditná správa). Mapovanie umožní jednoduchšie priradenie zodpovedností a zabezpečí, že žiadna povinná dokumentácia nebude chýbať.

Zaveďte pravidelný proces aktualizácie

Dokumentácia musí byť živý systém, nie jednorazový výstup. PZS by mali nastaviť pravidelný cyklus aktualizácie (minimálne raz ročne alebo pri významných zmenách procesov a technológií). Tento proces má byť súčasťou riadenia zmien: každá zmena v architektúre, dodávateľoch alebo rolách musí automaticky vyvolať revíziu príslušného dokumentu. Aj keď vyhláška stanovuje povinnosť udržiavať dokumenty aktuálne, prax ukazuje, že bez dlhodobo udržateľného procesu revízií sa dokumentácia rýchlo stáva neaktuálnou.

Prepojte dokumentáciu s riadením rizík a auditom

Dokumenty nesmú existovať izolovane. Každé opatrenie uvedené v dokumentácii má mať väzbu na konkrétne riziko identifikované v analýze podľa § 5 Vyhlášky. Rovnako výsledky interných a externých auditov podľa § 29 Zákona sa musia premietnuť späť do úprav dokumentácie. Prepojenie dokumentácie, riadenia rizík a auditu vytvára uzavretý cyklus, v ktorom sa skúsenosti z praxe pretavujú do strategických aj operačných opatrení.

Poznámka k praxi PZS:

Ak sa ukáže, že vytvorenie internej mapy dokumentov, zavedenie procesov aktualizácie a ich previazaní s riadením rizík je nad sily PZS, je lepšie obrátiť sa na skutočných profesionálnych konzultantov. Takých, ktorí rozumejú nielen legislatíve, ale aj technickej praxi. Rozhodne sa však oplatí vyhnúť predajcom univerzálnych „šablón“ a instantných riešení, ktoré sľubujú kybernetickú bezpečnosť na tri kliky. Takéto dokumenty síce dobre vyzerajú v šanóne, no v praxi majú rovnaký efekt ako voda vlažná – neublíži, ale ani nepomôže.

Aké sú riziká nákupu „šablónovej“ dokumentácie a nekvalifikovaných konzultačných služieb?

PZS nesie plnú právnu zodpovednosť za plnenie povinností podľa Zákona. Túto zodpovednosť nemožno preniesť na externého dodávateľa. Ak je dokumentácia vypracovaná formou univerzálnej „šablóny“ bez väzby na konkrétnu infraštruktúru, procesy a riziká organizácie, vznikajú tri zásadné hrozby:

Nesúlad s realitou a neošetrenie auditných zistení: Šablónové dokumenty často neodrážajú špecifiká architektúry ani reálne rozdelenie rolí. Pri audite podľa § 29 Zákona sa tieto nezrovnalosti okamžite odhalia – audítor overuje vecnú zhodu dokumentácie s § 20 ods. 2 a 4 Zákona. Neaktuálny alebo všeobecný text preto neobstojí.

Falošný pocit splnenia povinností: PZS si môže myslieť, že nákupom hotovej dokumentácie splnila zákonné povinnosti. V skutočnosti však ide len o formálny artefakt, ktorý neposkytuje podklad pre riadenie rizík ani pre technické rozhodnutia. To vedie k tzv. „compliance fatigue“ – vedenie verí, že povinnosť je vybavená, ale skutočné riziká ostávajú neošetrené.

Zvýšené právne a reputačné riziko: Ak dôjde k incidentu a vyšetrovanie preukáže, že dokumentácia bola neaktuálna alebo nesúvisela s prevádzkou, zodpovednosť ostáva na PZS. Dodávateľ šablón sa právne vyvlečie, pretože povinnosti Zákona sú neprenosné. Okrem sankcií hrozí aj strata dôvery regulačných orgánov a partnerov.

Poradenstvo od nekvalifikovaných subjektov navyše prináša ďalšie riziká – nesprávnu interpretáciu legislatívy, odporúčania v rozpore so Zákonom či Vyhláškou alebo kopírovanie zastaraných štandardov. Výsledkom môže byť, že organizácia nielenže nezvýši svoju úroveň kybernetickej bezpečnosti, ale ešte vytvorí dodatočné riziká.

Preto je kľúčové, aby PZS pri outsourcingu konzultácií vždy preveril kvalifikáciu, referencie a metodiku dodávateľa. Povinnosti nemožno outsourcovať. Dodávateľským spôsobom je možné pokryť len odbornú pomoc.

 

Záver

Bezpečnostná dokumentácia je súčasne dôkazom aj nástrojom. Plní funkciu preukázania súladu s požiadavkami Zákona a Vyhlášky, no zároveň predstavuje praktický rámec, podľa ktorého sa organizácia riadi v oblasti kybernetickej bezpečnosti.

Jej skutočná hodnota sa ukazuje až vtedy, keď prestane byť len formálnym podkladom pre audit. Ak je dokumentácia previazaná s procesmi, technológiami a rolami, stáva sa nástrojom riadenia – pomáha prijímať rozhodnutia, odhaľovať slabé miesta a nastavovať priority. V takom prípade slúži vedeniu aj prevádzke: nielenže spĺňa legislatívne povinnosti, ale priamo zvyšuje úroveň odolnosti organizácie.

Správne uchopená dokumentácia tak vytvára pridanú hodnotu. Pre audit poskytuje jasný dôkaz, pre manažment poskytuje orientačnú mapu a pre operatívu poskytuje praktické pravidlá. To je bod, v ktorom sa z povinnosti stáva aktívny prvok riadenia kybernetickej bezpečnosti.

Preto by PZS mali pristupovať k dokumentácii nie ako k formálnemu súboru povinností, ale ako k aktívnemu prvku svojho systému riadenia kybernetickej bezpečnosti.

 

 

Autor: Ing. Ivan Makatura, BSc. CRISC, CDPSE, CCISO