Porovnanie minimálnych bezpečnostných opatrení

Postupne sa do praxe dostávajú jednotlivé zákony, predpisy a vyhlášky súvisiace s informačnou a kybernetickou bezpečnosťou. Sú však jednotné a navzájom terminologicky unifikované? Nadväzujú na seba, sú štruktúrované, vzájomne integrované a zrozumiteľné? Aplikujú požiadavky v oblasti minimálnych bezpečnostných opatrení v súlade so zavedenými medzinárodnými normami? Dodržiavajú jednotné názvoslovia, označovanie a číslovanie? Na tieto otázky sa pozrieme v rámcovom porovnaní bezpečnostných požiadaviek.

Dátum publikácie:21. 9. 2020
Autor:Ing. Stanislav Guláš, audítor ISMS, DATAsec.sk
Oblasti práva: Správne právo / Informácie, informačný systém
Právny stav od:30. 6. 2020
Právny stav do:31. 7. 2021

Zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. verzus Vyhláška č. 179/2020 Z. z.

1. Úvod

Postupne sa do praxe dostávajú jednotlivé zákony, predpisy a vyhlášky súvisiace s informačnou a kybernetickou bezpečnosťou. Sú však jednotné a navzájom terminologicky unifikované? Nadväzujú na seba, sú štruktúrované, vzájomne integrované a zrozumiteľné? Aplikujú požiadavky v oblasti minimálnych bezpečnostných opatrení v súlade so zavedenými medzinárodnými normami? Dodržiavajú jednotné názvoslovia, označovanie a číslovanie?

Na tieto otázky sa pozrieme v rámcovom porovnaní bezpečnostných požiadaviek definovaných zákonom o kybernetickej bezpečnosti č. 69/2018 Z. z. (ďalej len ZoKB) a príslušnými vyhláškami k ZoKB (najmä vyhláškou č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení) a vyhláškou č. 179/2020 Z. z. (ďalej len Vyhláška), ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

Na aké organizácie a inštitúcie sa vzťahujú minimálne bezpečnostné opatrenia Kategórie I, Kategórie II a Kategórie III, je uvedené v § 3 Vyhlášky.

Zoznam aktív, s ktorými je potrebné rátať v rámci informačných technológií verejnej správy (IT VS), je uvedený v Prílohe č. 1 k Vyhláške.

Minimálne bezpečnostné opatrenia pre jednotlivé kategórie sú predmetom Prílohy č. 2 k Vyhláške.

Obsah a štruktúra bezpečnostného projektu informačného systému verejnej správy je definovaná v Prílohe č. 3 k Vyhláške. 

V tomto rámcovom porovnaní sa zameriame len na oblasti definujúce požiadavky na minimálne bezpečnostné opatrenia. Je dôležité mať na zreteli, že podľa § 2 ods. 2 Vyhlášky pri duplicite alebo nekompatibilite minimálnych bezpečnostných opatrení rôznych kategórií, ktoré môžu byť aplikované na konkrétne informačné technológie verejnej správy, majú prednosť ustanovenia upravujúce opatrenia vyššej kategórie.

2. Porovnanie

Podľa ZoKB a nadväzujúcich vyhlášok

Podľa Vyhlášky č. 179/2020 Z. z.

a) Organizácia informačnej bezpečnosti

[§ 20 ods. 3 písm. a) ZoKB,

§ 5 vyhlášky č. 362/2018 Z. z.]

A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti

(§ 2 ods. 1príloha č. 2 písm. A. Vyhlášky)

Zhoda.

Bezpečnostné opatrenia Kategórie I

Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa aj bezpečnostné požiadavky Vyhlášky.

 

Zhoda OKREM:

Vykonanie aktualizácie Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok nie je výslovne požadované.

 

Bezpečnostné opatrenia Kategórie II

Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii II:

1. Vykonávať aktualizáciu Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.

Zhoda OKREM:

Nie je výslovne požadované vytvorenie bezpečnostného výboru.

Nie sú výslovne požadované preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia projektov.

Nie je výslovne požadované vypracovanie bezpečnostného projektu informačného systému verejnej správy.

Bezpečnostné opatrenia Kategórie III

Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii III:

1. Vytvoriť bezpečnostný výbor.

2. Preskúmavať a identifikovať bezpečnostné riziká v počiatočných fázach procesu riadenia projektov.

3. Vypracovať bezpečnostný projekt informačného systému verejnej správy.

 

Podľa ZoKB a nadväzujúcich vyhlášok

Podľa Vyhlášky č. 179/2020 Z. z.

b) Riadenie aktív, hrozieb a rizík

[§ 20 ods. 3 písm. b) ZoKB,

§ 6 vyhlášky č. 362/2018 Z. z.]

B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti

(§ 2 ods. 1príloha č. 2 písm. B. Vyhlášky)

Zhoda.

Bezpečnostné opatrenia Kategórie I

Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa aj bezpečnostné požiadavky Vyhlášky.

Zhoda OKREM:

Vykonanie analýzy rizík najmenej raz za dva roky nie je výslovne požadované.

Bezpečnostné opatrenia Kategórie II

Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii II:

1. Vykonať analýzu rizík najmenej raz za dva roky.

Zhoda OKREM:

Vykonanie analýzy rizík najmenej raz ročne nie je ...

 

 

Vážený návštevník,
prístup do tejto sekcie majú len registrovaní užívatelia portálu
s predplateným prístupom.

Prihlásiť

 

 

Nemáte prihlasovacie údaje?

Ročný prístup si môžete objednať v našom e-shope:

Výhody predplateného prístupu nájdete v časti O PORTÁLI

 


Autor: DATAsec, Ing. Stanislav Guláš

Súvisiace odborné články

Súvisiace dokumenty

Súvisiace vzory

Súvisiace príklady z praxe

Súvisiace právne predpisy ZZ SR

  • 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
  • 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
  • 436/2019 Z. z. Vyhláška o audite kybernetickej bezpečnosti a znalostnom štandarde audítora
  • 179/2020 Z. z. Vyhláška, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

Funkcie

Partner

logo_aion_50
bvp3_logo-fbi
bvp3_envipak

PORADCA PODNIKATEĽA vydavateľský a vzdelávací dom

 

Poradca podnikateľa - vydavateľský a vzdelávací dom

O portáli  

Napísali o nás  

Portál považujem za praktickú pomôcku v rámci mojej práce. Je prehľadný a intuitívny. Témy sú aktuálne a dobre spracované, vhodné priamo do praxe. Cena za ročné predplatné je priaznivá, môžem odporučiť všetkým, ktorí sa týmto oblastiam aktívne venujú, prípadne sa v nich chcú lepšie orientovať.

Klára B., Čadca

S-EPI, s.r.o. © 2010-2025, všetky práva vyhradené
úvodná strana | o bezpecnostvpraxi.sk | kontakt

cookies24x24  Súhlas s použitím cookies

Táto webová stránka používa rôzne cookies pre poskytovanie online služieb, na účely prihlásenia, poskytovania obsahu prostredníctvom tretích strán, analýzu návštevnosti a iné. V súlade s platnou legislatívou, prosíme, o potvrdenie súhlasu alebo nastavenie Vašich preferencií.

Pamätajte, že súbory cookies sú užitočné pre rôzne užívateľské nastavenia a ich odmietnutím sa môže znížiť Váš užívateľský komfort.

Viac informácií o cookies.