SAMOHODNOTENIE

Ak Vaša spoločnosť patrí medzi tie, ktorých sa týka Zákon o kybernetickej bezpečnosti (ZoKB), Národný bezpečnostný úrad (NBÚ) Vám zašle oznámenie o zaradení do registra prevádzkovateľov základných služieb (Táto povinnosť vyplýva zo ZoKB, § 17).

Dostali ste od NBÚ oznámenie o zaradení do Registra prevádzkovateľov základných služieb?

Oznámenie posiela Sekcia regulácie a dohľadu NBÚ na hlavičkovom papieri a mohol Vám prísť v období od mája 2018 do súčasnosti. Odporúčame Vám skontrolovať došlú poštu alebo registratúru.

Pre lepšie pochopenie Vašej situácie, by sme Vás chceli veľmi pekne poprosiť o vyplnenie nasledujúcich informácií. Tie budú slúžiť pre prípadnú spoluprácu v oblasti auditu alebo samohodnotenie podľa ZoKB.

Keďže ste dostali oznámenie o zaradení do Registra prevádzkovateľov základných služieb, určite viete, že zákon Vám ukladá množstvo povinností. Jednou z nich je aj určenie manažéra kybernetickej bezpečnosti, ktorý je pri návrhu, prijímaní a presadzovaní bezpečnostných opatrení nezávislý od štruktúry riadenia, prevádzky a vývoja služieb informačných technológií a ktorý spĺňa znalostné štandardy pre výkon pozície manažéra kybernetickej bezpečnosti.

Máte formálne určeného a menovaného manažéra kybernetickej bezpečnosti podľa Zákona č. 69/2018?

Povinnosť určenia manažéra kybernetickej bezpečnosti tu:
69/2018 Z.z. - Zákon o kybernetickej bezpečnosti a... - SLOV-LEX

Ak máte manažéra kybernetickej bezpečnosti, určite Vám bude vedieť povedať, či máte vypracovanú aj kategorizáciu podľa vyhlášky č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Máte vypracovanú kategorizáciu podľa vyhlášky č. 362/2018?

Kategorizácia je definovaná vo Vyhláške 362/2018 v Prílohe č. 2 písmeno B. Kritériá kategorizácie sietí a informačných systémov:
362/2018 Z.z. - Vyhláška Národného bezpečnostného ú... - SLOV-LEX

Výborne! Je skvelé, že máte vypracovanú kategorizáciu podľa vyhlášky č. 362/2018.

Je niektorý z vašich informačných systémov zaradený v kategórií III podľa ZoKB?

Kategorizácia je definovaná vo Vyhláške 362/2018 v Prílohe č. 2 písmeno B. Kritériá kategorizácie sietí a informačných systémov:
362/2018 Z.z. - Vyhláška Národného bezpečnostného ú... - SLOV-LEX

Ak nemáte vypracovanú kategorizáciu podľa vyhlášky č. 362/2018 alebo ju vypracovanú máte, ale neviete, či je niektorý z Vašich informačných systémov zaradený v kategórií III podľa ZoKB, je ťažké povedať, či môžete vykonať samohodnotenie alebo potrebujete audit. Odporúčame Vám odpovedať na sériu 9 otázok, ktoré vychádzajú priamo z vyhlášky 362/2018. V nej je presne definované, kedy informačný systém patrí do kategórie III.

Chcete na tieto otázky odpovedať sami alebo máte záujem o pomoc od spoločnosti auditori.it?

Kategorizácia je definovaná vo vyhláške 362/2018 v Prílohe č. 2 písmeno B. Kritériá kategorizácie sietí a informačných systémov:
362/2018 Z.z. - Vyhláška Národného bezpečnostného ú... - SLOV-LEX

Odpovedzte na nasledujúcu sériu 9 otázok a počítajte, koľkokrát ste odpovedali áno.

1. Môže ohrozenie aktív spôsobiť kybernetický incident II. a III. stupňa, teda:
• používa váš systém viac ako 50 000 používateľov?
• môže Váš systém byť nedostupný na viac ako 2 hodiny v jednom kraji?
• môže výpadkom systému vzniknúť škoda viac ako 500 000 €
• môže výpadkom systému prísť ku usmrteniu 100 osôb alebo zraneniu 3500 osôb?
• môže výpadkom systému prísť ku narušeniu verejného poriadku v kraji?
2. Máte informačné aktíva klasifikované ako prísne chránene z hľadiska dôvernosti?
3. Máte informačné aktíva klasifikované ako vysoké z hľadiska dostupnosti?
4. Máte informačné aktíva klasifikované ako vysoké z hľadiska integrity?
5. Máte vo svojej inštitúcií tak kritický systém, kde je potrebné auditovať aktivity všetkých používateľov?
6. Máte ktorýkoľvek informačný systém, ku ktorému neexistuje náhradný spôsob realizácie základnej služby a pri jeho výpadku, tak neviete základnú službu vôbec poskytovať?
7. Spracúvate informácie, ktoré sú označené ako utajované skutočnosti alebo tajomstvo podľa iného osobitného predpisu?
8. Prevádzkujete systém, ktorý je nevyhnutný z hľadiska úloh obrany a bezpečnosti štátu?
9. Je ktorýkoľvek systém ústredným portálom verejnej správy?

Z Vašich odpovedí vyplýva, že nespĺňate požiadavky na samohodnotenie a musíte vykonať audit podľa ZoKB, §29 ods. (1).

Spoločnosť auditori.it Vám veľmi rada pomôže s výkonom auditu kybernetickej bezpečnosti certifikovaným audítorom kybernetickej bezpečnosti.

Z Vašich odpovedí vyplýva, že pre Vás platí možnosť vykonať samohodnotenie podľa §34 ZoKB.

Samohodnotenie môžete vykonať ako prvý auditný cyklus podľa dátumu zaradenia Vašej spoločnosti do registra prevádzkovateľa základnej služby. Spoločnosť auditori.it Vám s ním veľmi rada pomôže.

Ak neviete posúdiť kategóriu informačných systémov vo Vašej spoločnosti alebo potrebujete pomoc pri odpovedaní na otázky,

navrhujeme Vám kontaktovať špecialistov na problematiku informačnej a kybernetickej bezpečnosti a nechať si odborne poradiť.

Preverte si u svojho manažéra kybernetickej bezpečnosti, či máte vypracovanú kategorizáciu podľa vyhlášky č. 362/2018.

V prípade, že potrebujete pomoc, spoločnosť auditori.it Vám rada poskytne poradenstvo a služby.

Keďže nemáte určeného manažéra kybernetickej bezpečnosti, mali by ste si ho čo najskôr zabezpečiť. Túto pozíciu je možné obsadiť aj formou outsourcingu skúseného experta.

Máte záujem o externého manažéra kybernetickej bezpečnosti podľa Zákona č. 69/2018?

Povinnosť určenia manažéra kybernetickej bezpečnosti tu:
69/2018 Z.z. - Zákon o kybernetickej bezpečnosti a... - SLOV-LEX

Keďže máte záujem o externého manažéra kybernetickej bezpečnosti,

ponúkame Vám možnosť si ho zabezpečiť prostredníctvom spoločnosti auditori.it.

Upozorňujeme Vás, že ak nemáte manažéra kybernetickej bezpečnosti, porušujete zákon č. 69/2018 v § 24 ods. 4 a NBÚ Vám môže udeliť pokutu.

Navrhujeme Vám, spojiť sa s našimi expertmi a prebrať Vaše možnosti v oblasti kybernetickej bezpečnosti.

Keďže neviete, či máte určeného manažéra kybernetickej bezpečnosti, a ste registrovaný PZS, určite by bolo vhodné sa spojiť so špecialistami na informačnú a kybernetickú bezpečnosť. Práve manažér kybernetickej bezpečnosti je jedným z dôležitých ľudí v oblasti riešenia bezpečnostných opatrení.

V prípade, že potrebujete pomoc, spoločnosť auditori.it Vám rada poskytne poradenstvo a služby.

Oznámenie od NBÚ Vám neprišlo, no Vy si stále nie ste istý či patríte lebo nepatríte medzi prevádzkovateľov základných služieb? Je možné, že zlyhali poštové služby alebo nefungovalo doručovanie do eSchránky. Pre istotu si to preverte.

Ste zaradený v registri prevádzkovateľov základných služieb na web stránke NBÚ v Jednotnom informačnom systéme kybernetickej bezpečnosti?

Aktuálny register uvedený na web stránke NBÚ nájdete tu:
https://www.nbu.gov.sk/wp-content/uploads/kyberneticka-bezpecnost/prevadzkovatelia-ZS-prvy-bod.htm

Oznámenie Vám neprišlo, ale našli ste sa v zozname na webovej stránke NBÚ? Je vysoko pravdepodobné, že nastal nejaký problém, ktorý by ste mali čo najrýchlejšie riešiť.

Odporúčame Vám kontaktovať spoločnosť auditori.it, ktorá Vám veľmi rada pomôže s vyriešením tejto situácie.

Keďže Vám neprišlo oznámenie a ani nie ste uvedený na webovej stránke NBÚ, navrhujeme Vám vykonať interné hodnotenie, čí spĺňate parametre pre zaradenie medzi prevádzkovateľov základných služieb (PZS). Ak by ste boli PZS, je viac ako pravdepodobné, že budete musieť riešiť viacero ďalších povinností plynúcich zo zákona.

V prípade, že potrebujete pomoc, spoločnosť auditori.it Vám rada poskytne poradenstvo a služby.

Keďže neviete, či Vám prišlo oznámenie o zaradení do Registra prevádzkovateľov základných služieb, navrhujeme Vám vykonať interné hodnotenie, či spĺňate parametre pre zaradenie medzi prevádzkovateľov základných služieb (PZS). Ak by ste boli PZS, je viac ako pravdepodobné, že budete musieť riešiť viacero ďalších povinností plynúcich zo zákona.

V prípade, že potrebujete pomoc, spoločnosť auditori.it Vám rada poskytne poradenstvo a služby.