Ako na bezpečnostné zásady u koncových používateľov

Ako eliminovať negatívny vplyv človeka – zamestnanca – na kybernetickú bezpečnosť v organizácii?

Nuž, pokiaľ ste organizácia spadajúca pod zákon č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti, tak podstatnú časť toho, ako riešiť tento okruh rizík vyplývajúcich z nesprávneho či neuvedomelého používania informačných technológií zamestnancom, popisuje § 20 ods. 3 písm. c) „personálna bezpečnosť“, ktorý je detailne rozpracovaný vo vyhláške č. 362/2018 Z. z., a to v § 7.

Pokiaľ sa vás týka zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, tak vyhláška č. 179/2020 Z. z. spresňuje požiadavky zákona č. 69/2018 Z. z., a to tým, že jednoznačne vymedzuje, ktorý prevádzkovateľ Informačných technológií verejnej správy (ITVS) patrí do kategórie I, II alebo III a následne v prílohe č. 2 „Minimálne bezpečnostné opatrenia“ uvádza pre každú kategóriu minimálne opatrenia v danej oblasti, pričom v písm. C. sú popísané „Personálne opatrenia“.

Dokonca aj v zákone č. 18/2018 Z. z. o ochrane osobných údajov (známy najmä ako GDPR) sa v § 39 píše o potrebe prijať „primerané technické a organizačné opatrenia“ na zaistenie potrebnej úrovne bezpečnosti osobných údajov.

Tu si dovolíme pripomenúť, že osobné údaje sú len časť aktív organizácie. (O aktívach sme písali v inom článku „Príklady napadnutia aktív“. Iste, osobné údaje sú dôležité, ale rovnako sú dôležité všetky ďalšie informácie, ktoré organizácia spracúva pre úspešné dosiahnutie svojho cieľa – naplnenia poslania svojej existencie. A tieto informácie sú spracúvané na rôznych informačných technológiách a sú spracúvané ...