Bezpečnostné opatrenia

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti je transpozíciou smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii (skrátene len „smernica NIS“).

Cieľom Smernice NIS je zaručiť úroveň spôsobilostí v kybernetickej bezpečnosti, ktoré budú postačujúce na zaručenie vysokej úrovne bezpečnosti sietí a informačných systémov v Únii.

„Spôsobilosť“ (z angl.: „capability“) je osobitná schopnosť, ktorú môže organizácia vlastniť alebo vykonávať s cieľom dosiahnuť konkrétny účel.

Podľa rámca informačnej architektúry TOGAF9https://www.opengroup.org/togaf-standard-version-92-overview je služba (z angl.: „service“) určitá činnosť zabezpečovaná pomocou explicitne definovaných komponentov, ktorými je podporovaná niektorá spôsobilosť spoločnosti a prostredníctvom ktorej je dosahovaný konkrétny účel.

Týmto komponentom, ktorým je podporovaná spôsobilosť spoločnosti a prostredníctvom ktorého je dosahovaný konkrétny účel, je elektronická komunikačná sieť v zmysle čl. 2 písm. a) smernice 2002/21/ES o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby (rámcová smernica). Podľa tejto smernice je komponentom aj akékoľvek zariadenie alebo skupina vzájomne prepojených alebo súvisiacich zariadení, z ktorých jedno alebo viaceré vykonávajú na základe programu automatické spracúvanie digitálnych údajov. Zároveň sa podľa ustanovenia čl. 2 písm. a) smernice 2002/21/ES za komponent informačnej architektúry, ktorým je podporovaná niektorá spôsobilosť, považujú aj logické komponenty, t. j. údaje, ktoré sa ukladajú, spracúvajú, získavajú alebo prenášajú prostredníctvom elektronickej komunikačnej siete, zariadenia alebo skupiny vzájomne prepojených alebo súvisiacich zariadení.

Cieľ zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti je derivovaný zo smernice NIS a týmto cieľom je dosiahnuť príslušné spôsobilosti v oblasti kybernetickej bezpečnosti. Spôsobilosti možno dosiahnuť zmenami jestvujúcich zvyklostí, postupov, procedúr alebo technológií a architektúry.

Pojem opatrenia nie je možné úzko obmedziť len na implementáciu bezpečnostných technológií. Ale na druhej strane – pojem opatrenia taktiež nevymedzuje iba konanie v oblasti právnej, procesnej alebo organizačnej. Zákon správne uvádza, že bezpečnostnými opatreniami sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti. Výraz „opatrenia“ je v kontexte zákona komplexným pojmom, zahrnujúcim akékoľvek konanie, ktorého účelom je podpora spôsobilosti prevádzkovateľa základnej služby zaručiť a riadiť kybernetickú bezpečnosť.

Opatrenia môžu pomôcť preventívne predchádzať hrozbám, znížiť známe zraniteľnosti, chrániť systém alebo organizáciu pred kybernetickými hrozbami aj v prípade, že sa hrozba už uplatnila a jej následkom bola škodlivá udalosť. Úlohou aplikovaných preventívnych bezpečnostných opatrení je takéto udalosti včas odhaliť a obmedziť ich negatívny vplyv. Cieľom následných reaktívnych opatrení je umožniť zotavenie systému alebo organizácie zo škodlivej udalosti, resp. incidentu a zabezpečiť zaručenie odškodnenia strát vyvolaných škodlivou udalosťou alebo získať dôkazné prostriedky pre pokračovanie v právnom konaní smerujúcom k potrestaniu páchateľov, vymoženiu škody alebo napr. vyvodenie zodpovednosti v rámci pracovnoprávneho vzťahu.

Bezpečnostné opatrenia poskytujú záruky na získanie bezpečnostných spôsobilostí najmä prostredníctvom bezpečnostných funkcií, vlastností, služieb, mechanizmov a definovaných postupov. Dosiahnuté bezpečnostné ciele umožňujú získať záruku, že komponenty informačnej architektúry môžu byť považované za dôveryhodné a spoľahlivé.

Spoľahlivosť informácie je determinovaná tromi jej základnými bezpečnostnými atribútmi: dôvernosťou, dostupnosťou a integritou. Z toho vyplýva, že opatrenia zaručujúce bezpečnosť (t. j. spoľahlivosť) komponentov informačnej architektúry by mali smerovať najmä k zabezpečeniu dôvernosti, dostupnosti a integrity.

Ak by sme vyššie uvedené mali aplikovať na informačnú architektúru, vznikne výraz „bezpečnostná architektúra“, ktorý je chápaný ako vymedzenie okolia siete a informačného systému a vzťah okolia siete informačného systému k možnému narušeniu bezpečnosti. Bezpečnostná architektúra je medziodborová problematika, ktorá sa tiahne naprieč celou podnikovou architektúrou. Možno ju opísať ako ucelený súbor pohľadov a artefaktov informačnej a kybernetickej bezpečnosti, ochrany súkromia a operačného rizika vrátane bezpečnostných cieľov a bezpečnostných služieb. Z už spomínanej metodiky TOGAF9 bol odvodený rámec bezpečnostnej architektúry Sherwood Applied Business Security Architecture so skratkou SABSAhttps://sabsa.org. V tomto rámci existuje návrh matice, ktorá zovšeobecňuje jednotlivé artefakty informačnej architektúry v spoločnej tabuľke. Na základe tejto miery abstrakcie je možné určiť, ktoré komponenty informačnej architektúry je potrebné posúdiť a príslušným spôsobom ošetriť, pokiaľ je cieľom dosiahnuť stav, v ktorom je možné považovať informácie za dôveryhodné a spoľahlivé, t. j. zabezpečené.

Zákon o kybernetickej bezpečnosti aj po novelizácii v znení účinnom od 1. 8. 2021 naďalej zachováva princíp technickej neutrality. I keď § 20 ods. 3 rozoberá jednotlivé bezpečnostné opatrenia, v skutočnosti sú v tomto ustanovení uvedené celé oblasti bezpečnostných opatrení, ktoré je možné vykonať rôznymi nástrojmi, mechanizmami alebo postupmi. Dá sa dokonca tvrdiť, že v § 20 ods. 3 nie sú uvedené bezpečnostné opatrenia, ale tzv. bezpečnostné ciele. Tie by mali umožniť organizácii splniť všetky ciele hlavných činností, a to implementáciou procesov a systémov s náležitým zvážením kybernetických bezpečnostných rizík týkajúcich sa organizácie, jej partnerov a zákazníkov. Plnenie týchto oblastí bezpečnostných opatrení je možné dosiahnuť zmenou spôsobilostí, najmä zmenami zvyklostí, postupov, procedúr alebo technológií a architektúry. Je však výhradne na rozhodnutí prevádzkovateľa základných služieb, aký rozsah bezpečnostných opatrení sa rozhodne implementovať vo svojom prostredí. Podstatou neskoršieho posúdenia zo strany audítora je efektivita bezpečnostných opatrení, teda v konečnom dôsledku posudzovanie úrovne dosiahnutých spôsobilostí.

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti v § 20 ods. 3 stanovuje, že bezpečnostné opatrenia sa prijímajú najmä pre určité oblasti. V nasledujúcej tabuľke je uvedené mapovanie a prelínanie jednotlivých oblastí v znení zákona účinnom pred a po 1. 8. 2021:

Znenie od 1. 8. 2021	Znenie od 1. 1. 2019 do 31. 7. 2021	Zmena
a)   organizácie kybernetickej bezpečnosti a informačnej bezpečnosti	a) organizácie informačnej bezpečnosti	Požiadavka na vytvorenie roly manažéra KB je naviac riešená v § 20 ods. 4 písm. a).
b)    riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti	b) riadenia aktív, hrozieb a rizík	Z oblasti bolo vyňaté riadenie aktív, to je však natívnou súčasťou procesu riadenia rizík.
c)    personálnej bezpečnosti	c) personálnej bezpečnosti	Bez zmeny
d)    riadenia prístupov	h) riadenia prístupov	Bez zmeny
e)    riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami	d) riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov	Akvizícia, vývoj a údržba informačných sietí a informačných systémov sa presúva do samostatného ustanovenia v písm. j).
f)    bezpečnosti pri prevádzke informačných systémov a sietí	g) riadenia prevádzky	Zmena je len v názve oblasti opatrení.
g)    hodnotenia zraniteľností a bezpečnostných aktualizácií	e) technických zraniteľností systémov a zariadení	Bez zmeny
h)    ochrany proti škodlivému kódu	N/A (pôvodne e) technických zraniteľností systémov a zariadení	Rozdelenie pôvodného písm. e) oblasť technických zraniteľností systémov a zariadení.
i)     sieťovej a komunikačnej bezpečnosti	f) riadenia bezpečnosti sietí a informačných systémov	Zmena len v názve oblastí opatrení.
j)    akvizície, vývoja a údržby informačných sietí a informačných systémov	N/A (pôvodne d) riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov	Rozdelenie pôvodného písm. d) riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov)
k)    zaznamenávania udalostí a monitorovania	N/A (pôvodne čiastočne j) riešenia kybernetických bezpečnostných incidentov	Rozdelenie pôvodného písm. j) riešenia kybernetických bezpečnostných incidentov.
l)     fyzickej bezpečnosti a bezpečnosti prostredia	l) fyzickej bezpečnosti a bezpečnosti prostredia	Bez zmeny
m)  riešenia kybernetických bezpečnostných incidentov	j) riešenia kybernetických bezpečnostných incidentov	Bez zmeny
n)    kryptografických opatrení	i) kryptografických opatrení	Bez zmeny
o)    kontinuity prevádzky	m) riadenia kontinuity procesov	Zmena len v názve oblasti opatrení.
p)    auditu, riadenia súladu a kontrolných činností	k) monitorovania, testovania bezpečnosti a bezpečnostných auditov	Zmena v názve a zároveň presun jednej oblasti opatrení do novej.

 

Prečo vôbec došlo k zmene názvov oblastí v znení zákona č. 69/2018 Z. z. platnom od 1. 8. 2021? Dobrým úmyslom legislatívcov NBÚ bolo zladiť názvoslovie používané v zákone o kybernetickej bezpečnosti a v zákone č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, presnejšie vo vyhláške Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy. Malý krok pre jeden ústredný orgán štátnej správy, veľký (ústretový) krok pre Slovensko. Je to mierne zjemnenie právnej dvojkoľajnosti, ktorú zaviedol Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu vydaním vyhlášky č. 179/2020 Z. z. Súvisí to s problematikou tzv. sektorových bezpečnostných opatrení.

Podľa § 19 ods. 1 zákona č. 69/2018 Z. z. je prevádzkovateľ základnej služby povinný prijať a dodržiavať všeobecné bezpečnostné opatrenia najmenej v rozsahu bezpečnostných opatrení podľa § 20 a sektorové bezpečnostné opatrenia, ak sú prijaté. Ako som vyššie citoval § 20 ods. 1 Zákona, bezpečnostnými opatreniami sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Bezpečnostné opatrenia sú buď všeobecné, vyplývajúce z § 20 ods. 3 Zákona, (spresnené vyhláškou NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení), alebo sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti. Na vydanie všeobecne záväzného právneho predpisu, ktorým ustanovia sektorové bezpečnostné opatrenia v rozsahu svojej pôsobnosti sú ústredné orgány splnomocnené v § 32 ods. 2 Zákona. Avšak cieľom sektorových bezpečnostných opatrení má byť riešenie špecifík kybernetického priestoru v sektore v rámci pôsobnosti príslušného ústredného orgánu. Nie nahradenie všeobecných bezpečnostných opatrení, ale prípadné doplnenie všeobecných bezpečnostných opatrení sektorovými opatreniami. Dôvodom existencie takéhoto ustanovenia Zákona je úmysel zákonodarcu riešiť reálne špecifiká niektorých odvetví, napríklad energetiky, leteckej dopravy, zdravotníctva, alebo priemyselnej výroby.

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy efektívne nedefinuje žiadne špecifiká sektoru Verejná správa a teda v porovnaní s vyhláškou NBÚ č. 362/2018 Z. z. neprináša žiadne požiadavky na bezpečnostné opatrenia navyše.

Aby som toto svoje tvrdenie zdôvodnil na príklade: v zmysle § 29 ods. 2 Zákona je Prevádzkovateľ základnej služby povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v rozsahu stanovenom podľa všeobecne záväzného právneho predpisu, ktorý vydá Národný bezpečnostný úrad. Audítor kybernetickej bezpečnosti posudzuje primárne zhodu prijatých bezpečnostných opatrení požiadavky daných vyhláškou NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Až následne audítor posudzuje sektorové bezpečnostné opatrenia (ak sú prijaté). V prípade vyhlášky č. 179/2020 Z. z. však niet čo posudzovať. Žiadne špecifiká verejnej správy v kontexte kybernetického priestoru nejestvujú.

V sérii článkov sa pokúsim priblížiť podstatu oblastí bezpečnostných opatrení vyžadovaných zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti v znení neskorších predpisov.

 

Autor: Ing. Ivan Makatura, CRISC, CDPSE