Dávame do pozornosti

Autor: Michal Ďorda25. AUGUSTA 2023

V lete nadobúdajú účinnosť dve legislatívne zmeny v oblasti informačnej a kybernetickej bezpečnosti. Ktoré sú to a koho sa týkajú?

Počas leta sa prijalo niekoľko väčších zmien legislatívy v oblasti informačnej a kybernetickej bezpečnosti, ktoré stoja za zmienku. Prvou z nich je, že ku 1. augustu vstúpila do účinnosti novela zákona o ITVS, ktorý rieši okrem povinností v oblasti informačných technológií verejnej správy aj špecificky bezpečnosť ITVS.
Medzi najdôležitejšie zmeny zaraďujeme rozdelenie kompetencií vedenia na úseku bezpečnosti ITVS, kedy orgán vedenia, t.j. MIRRI SR má kompetenciu metodicky usmerňovať správcov, zvyšovať povedomie správcov a môže vykonať hodnotenie zraniteľností a paralelne vládna jednotka CSIRT vykonáva pravidelné neinvazívne hodnotenia zraniteľností služby verejnej správy, zbiera, spracúva a vyhodnocuje systémové informácie ITVS a môže vykonávať nepretržité monitorovanie ITVS a pomáhať pri riešení incidentu.

Drobnou zmenou Zákona je doplnenie spôsobu vypracovania Bezpečnostného projektu, ktorý vypracuje správca vychádzajúc z bezpečnostnej stratégie kybernetickej bezpečnosti a bezpečnostných politík, zo všeobecne akceptovaných štandardov riadenia informačných technológií, ktoré vychádzajú z uznaných technických noriem a z metodických usmernení orgánu vedenia.

Všetky ostatné výrazné zmeny vo vybraných paragrafoch o bezpečnosti sa týkajú hlavne riešenia bezpečnostných incidentov, spôsobu nahlasovania na vládnu jednotku CSIRT, a riadenie bezpečnosti na zmierenie dopadu bezpečnostného incidentu.

Navyše by sme chceli dať na zreteľ dve povinnosti pre jednotlivých správcov, ktoré si myslíme, že nie sú dodržiavané a to:

  1. § 23 ods. 5 písm. d) -> zasielať najmenej jedenkrát do roka orgánu vedenia zoznam aktív.
  2. § 23 ods. 5 písm. g) -> určiť a zverejniť na svojom hlavnom webovom sídle kontaktné údaje na kontaktný bod alebo primeraný počet kontaktných bodov na nahlasovanie kybernetického bezpečnostného incidentu.

Medzi jednu zo zaujímavých zmien zaraďujeme aj pojem aktíva v § 3, ktoré je definované ako „programové vybavenie, technické zariadenie, poskytovaná služba, kvalifikovaná osoba, dobré meno orgánu riadenia a informácia, dokumentácia, zmluva a iná skutočnosť, ktorú považuje orgán riadenia za citlivú“. Nie úplne samotná definícia ladí s bežné zaužívaným pojmom, ktoré poznajú napríklad technické normy (ISO/IEC 27000), alebo samotný výkladový slovník MIRRI v dokumente Krátky úvod do informačnej a kybernetickej bezpečnosti a Malý výkladový slovník, ktoré definujú aktívum (asset) ako „čokoľvek, čo má pre organizáciu hodnotu. Aktíva sú hmotné (zariadenia, infraštruktúra, personál) a nehmotné (peniaze, informácie, know-how, dobré meno). Môžu sa stať objektom → hrozby alebo cieľom → útoku a vyžadujú si ochranu.“ Oceňujeme však záujem a prvý krát snahu o definíciu tohto pojmu, ktorý je tak kruciálne dôležitý pre následné riadenie aktív, hrozieb a rizík.

Aby toho nebolo málo, upozorňujeme však aj na novelu vykonávacej vyhlášky ku Zákon o kybernetickej bezpečnosti, V362, ktorá je od 1. septembra účinná a „očistila“ znenie §5 až §17c, ktoré teraz odpovedajú priamo oblastiam bezpečnosti v zákone. Súčasne sa povinnosti Manažéra kybernetickej bezpečnosti presunuli do § 17d. Touto zmenou budú dotknutí hlavne certifikovaný audítori kinetickej bezpečnosti, ktorí budú všetky nové auditu začínajúce po 1.9.2023 vykonávať s novým kontrolným záznamom odpovedajúcim novej štruktúre vykonávacej vyhlášky.