Plán rozvoja bezpečnostného povedomia – vzor smernice

1. Úvod

Tento článok a vzor smernice „Plán rozvoja bezpečnostného povedomia“ je spracovaný v najjednoduchšej forme, vo Worde a je určený pre bežných používateľov, spracovateľov a tvorcov bezpečnostnej dokumentácie v oblasti riadenia informačnej a kybernetickej bezpečnosti v bežných firmách rôznych veľkostí, pre bezpečnostných manažérov, interných a externých audítorov informačnej a kybernetickej bezpečnosti, pre pracovníkov zodpovedných za oblasť spracovania a udržiavania bezpečnostnej dokumentácie kybernetickej bezpečnosti, systému riadenia informačnej bezpečnosti, ako aj pre záujemcov o túto problematiku.

Pre naplnenie požiadaviek platnej legislatívy v oblasti vzdelávania v rámci kybernetickej (a informačnej) bezpečnosti je povinnosťou organizácie (relevantného prevádzkovateľa základnej služby, resp. subjektu verejnej správy) zabezpečiť túto povinnosť v súlade najmä s:

• § 20 ods. 3 písm. c) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“),
• § 20 ods. 3 písm. d) ZoKB,
• § 7 vyhlášky č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška č. 362/2018 Z. z.“),
• § 8 vyhlášky č. 362/2018 Z. z,
• § 2 ods. 1 vyhlášky č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy (ďalej len „vyhláška č. 179/2020 Z. z.“),
• prílohou č. 2 k vyhláške č. 179/2020 Z. z. písm. C, pričom:
  • pre kategóriu I. minimálnych bezpečnostných opatrení platí: „Ustanoviť plán rozvoja bezpečnostného povedomia, ktorý obsahuje formu, obsah a rozsah potrebných školení a vykonať bezpečnostné vzdelávanie na zvýšenie bezpečnostného povedomia najmenej každé tri roky.“ a „Zabezpečenie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, vykonávaných školení a ďalších činností spojených s prehlbovaním bezpečnostného povedomia.“
  • Pre kategóriu II. minimálnych bezpečnostných opatrení platí: „Zavedenie procesu zvyšovania bezpečnostného povedomia zamestnancov s cieľom ich oboznamovania s aktuálnymi bezpečnostnými hrozbami v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti, ako aj opatreniami a postupmi zavedenými v organizácii správcu na ich elimináciu najmenej raz za dva roky.“
  • Pre kategóriu III. minimálnych bezpečnostných opatrení platí: „Systematické zvyšovanie bezpečnostného povedomia tak, že pokrýva všetky oblasti ustanovené touto vyhláškou, zákonom a osobitnými predpismiZákon č. 69/2018 Z. z. Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov) (Ú. V. EÚ L 119, 4. 5. 2016). a najnovšími poznatkami v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu pracovného zaradenia najmenej raz ročne.“
• V rámci systému riadenia informačnej bezpečnosti (ISMS) podľa normy STN ISO/IEC 27001:2014 sa oblasti vzdelávania týka kapitola 7.3 Povedomie, ďalej tiež príloha A.7 Personálna bezpečnosť (najmä A.7.2.2), ako aj A.12.2.1 Opatrenia proti škodlivému softvéru.

V rámci vyhlášky č. 362/2018 Z. z. je v § 7 kľúčové písmeno b) „zo zavedenia plánu rozvoja bezpečnostného povedomia a vzdelávania spočívajúceho v oboznámení používateľov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov s bezpečnostnými politikami a v pravidelnom zvyšovaní ich bezpečnostného povedomia počas trvania pracovnoprávneho vzťahu alebo iného obdobného pracovného alebo zmluvného vzťahu“ a písmeno d) „z hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov“.

Účelom návrhu priloženej smernice „Plán rozvoja bezpečnostného povedomia“ je ponúknuť čitateľom príklad tvorby tohto dôležitého dokumentu. Samotná smernica vytvára v organizácii základ pre riadenie bezpečnostného povedomia pracovníkov a zamestnancov (interných aj externých) a poskytuje možnosti na tvorbu ďalšej súvisiacej bezpečnostnej dokumentácie. Spolu s ďalšími bezpečnostnými dokumentmi a vnútornými predpismi zavedenými v organizácii stanovuje strategický prístup organizácie k problematike systematického vzdelávania v oblasti kybernetickej a informačnej bezpečnosti.

2. Smernica „Plán rozvoja bezpečnostného povedomia“

Návrh smernice „Plán rozvoja bezpečnostného povedomia“ je spracovaný vo WORD-e a jej vzor je súčasťou tohto odborného článku. Z pohľadu informačnej i kybernetickej bezpečnosti vychádza táto smernica z legislatívy v oblasti kybernetickej bezpečnosti (najmä zákona č. 69/2018 Z. z., vyhlášky č. 362/2018 Z. z. a vyhlášky č. 179/2020 Z. z.) a tiež z odborných noriem v oblasti ISMS (najmä ISO/IEC 27001).

Priložená smernica načrtáva postupy a pravidlá v oblasti riadenia vzdelávania (rozvoj a zvyšovanie bezpečnostného povedomia) tak, ako je vhodné ich implementovať do praktického života organizácie. Jej cieľom je zabezpečiť, aby sa zvyšovanie bezpečnostného povedomia stalo bežnou pracovnou súčasťou zamestnancov.

3. Záver

Uvedený vzor návrhu smernice „Plán rozvoja bezpečnostného povedomia“ je spracovaný na základe skúseností získanými praxou autora počas práce v oblasti informačnej a kybernetickej bezpečnosti, auditov ISMS a praxou pri preverovaní súladu aktuálneho stavu (realizácia rozdielových analýz) s požiadavkami definovanými v normách v oblasti ISMS a v legislatíve v oblasti kybernetickej bezpečnosti.