Firmy, dodávatelia energií, nemocnice
Ponúkame expertné služby na zabezpečenie legislatívnych povinností kybernetickej bezpečnosti
Riešenia pre prevádzkovateľov základných služieb, kde základná služba závisí od siete alebo informačného systému a je činnosťou aspoň v jednom sektore alebo podsektore podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti
Zoznam sektorov a prevádzkovateľov služieb, na ktorých sa vzťahujú povinnosti podľa zákona o kybernetickej bezpečnosti
Ak ste ako prevádzkovateľ základnej služby registrovaný v jednotnom informačnom systéme kybernetickej bezpečnosti na stránke Národného bezpečnostného úradu, pomôžeme vám s nasledujúcimi povinnosťami:
- Vyškolíme vášho interného špecialistu alebo zabezpečíme externý výkon funkcie manažéra kybernetickej bezpečnosti
- Vypracujeme s vami nevyhnutné dokumenty podľa vyhlášky č. 362/2018 Z. z.
- bezpečnostnú dokumentáciu alebo stratégiu
- klasifikáciu informácií a kategorizáciu sietí a informačných systémov
- analýzu rizík kybernetickej bezpečnosti
- Vypracujeme, nastavíme a otestujeme postupy riešenia kybernetických bezpečnostných incidentov, ktoré budete dodržiavať
- Pomôžeme vám implementovať
- nástroj na detekciu kybernetických bezpečnostných incidentov alebo ho pre vás zabezpečíme formou služby
- nástroj na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí alebo ho pre vás zabezpečíme formou služby
- Budeme pri vás stať počas realizácie auditu kybernetickej bezpečnosti
Vyhláška č. 362/2018 Z. z. kategorizuje siete a informačné systémy prevádzkovateľa do kategórií I, II, III. Na základe tejto kategorizácie sa prevádzkovateľ dozvie, ktoré bezpečnostné opatrenia má implementovať.
Pozrite si klasifikačnú schému podľa vyhlášky
Kritériá klasifikácie informácií
Klasifikačné stupne
Klasifikačné stupne opisujú citlivosť informácií, údajov alebo ďalších s nimi spojených informačných aktív (ďalej len „informačné aktíva“) z pohľadu narušenia ich dôvernosti, integrity a dostupnosti a odrážajú dôležitosť alebo hodnotu týchto aktív pre procesy prevádzkovateľa základnej služby.
1. Z hľadiska dôvernosti sú klasifikačné stupne informačných aktív definované ako
a) verejné informačné aktíva určené pre verejnosť, ktoré sú získateľné z verejných zdrojov alebo z informácií, ktoré sú pripravené na tento účel alebo sú preklasifikované z inej úrovne prostredníctvom vlastníka a zahŕňajú napríklad informácie z médií, povinne publikované informácie alebo všeobecne dostupné informácie,
b) interné informačné aktíva, ktoré sú používané a prístupné pre všetkých používateľov v rámci organizácie prevádzkovateľa základnej služby bez ohľadu na ich pracovnú rolu; na sprístupnenie týchto aktív tretím stranám je potrebné schválenie zo strany vlastníka informácie,
c) chránené informačné aktíva, ktoré sú používané a prístupné len určeným skupinám oprávnených osôb a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať pre prevádzkovateľa základnej služby negatívny vplyv na poskytovanie služby; prístup k údajom klasifikovaným ako „chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“ a je vymedzený výhradne vopred definovaným a schváleným útvarom alebo iným jasne vymedzeným skupinám osôb; tretie strany majú k týmto údajom prístup len v nevyhnutných a jednoznačne definovaných prípadoch schválených vlastníkom,
d) prísne chránené informačné aktíva, ktoré sú používané a prístupné len jednotlivým vybraným používateľom prevádzkovateľa základnej služby a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže mať s vysokou pravdepodobnosťou negatívny vplyv na poskytovanie základnej služby; prístup k údajom klasifikovaným ako „prísne chránené“ je riadený pomocou zásady „potreby vedieť“ a zásady „najnižších privilégií“ a výhradne konkrétnym, vopred definovaným a schváleným osobám; tretie strany majú k týmto údajom prístup len vo výnimočných a jednoznačne definovaných prípadoch schválených vlastníkom alebo na základe ustanovení osobitných predpisov.
Ak nie je informačné aktívum explicitne klasifikované, je považované za interné.
2. Z hľadiska integrity sú klasifikačné stupne informačných aktív definované ako
a) nízka – zahŕňa informačné aktíva, ktorých chyba alebo nepresnosť výrazne neohrozí poskytovanú základnú službu,
b) stredná – zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej služby a ktorých chyba alebo nepresnosť môže spôsobiť dopad na kontinuitu poskytovanej základnej služby, strategickú oblasť, trhové a operačné riziká,
c) vysoká – zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa základnej služby a ktorých chyba, nepresnosť bezprostredne ohrozuje poskytovanú základnú službu, s ňou spojené aktivity a reputáciu prevádzkovateľa základnej služby.
3. Z hľadiska dostupnosti sú klasifikačné stupne informačných aktív definované ako
a) nízka – zahŕňa informačné aktíva prevádzkovateľa základnej služby, ktorých výpadok výrazne neohrozí poskytovanú službu alebo pre ktoré existujú alternatívne postupy,
b) stredná – zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa základnej služby a ktorých zlyhanie môže mať dopad na kontinuitu poskytovanej základnej služby, strategickú oblasť, trhové a operačné riziká,
c) vysoká – zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa základnej služby a ktorých zlyhanie bezprostredne ohrozuje poskytovanú základnú službu, s ňou spojené aktivity a dobrú povesť prevádzkovateľa základnej služby.
Základné pravidlá klasifikácie informácií
1. Každá klasifikovaná informácia má pridelený jeden klasifikačný stupeň dôvernosti, jeden klasifikačný stupeň integrity a jeden klasifikačný stupeň dostupnosti.
2. Bezpečnostné informácie, nastavenia, postupy, smernice a ostatné úkony ohľadom riadenia aktív sa klasifikujú rovnakým alebo vyšším klasifikačným stupňom, akým sú označené informačné aktíva, ktorých riadenie opisujú.
3. Prevádzkovateľ základnej služby môže v rozsahu svojej pôsobnosti jednotlivé informačné aktíva zaradiť do vyššieho stupňa.
4. Prevádzkovateľ základnej služby, ktorý už má vykonanú klasifikáciu informácií podľa inej štandardizačnej metódy, vykonáva na klasifikáciu informácií mapovanie na klasifikačné stupne podľa tejto prílohy.
Kritériá kategorizácie sietí a informačných systémov
Kategória I
Zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
- ktorých ohrozenie nemá žiadny negatívny dopad na poskytovanú základnú službu,
- ktoré sú klasifikované z hľadiska dôvernosti ako verejné alebo v odôvodnených prípadoch interné,
- ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom nízka alebo v odôvodnených prípadoch stredná,
- ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom nízka alebo v odôvodnených prípadoch stredná,
- pri ktorých nie je predpoklad potreby identifikácie zodpovednosti za aktivity používateľov alebo
- pri ktorých nie je potrebné vykonávať kontrolnú činnosť.
Kategória II
Zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
- ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident I. stupňa,
- ktoré sú klasifikované z hľadiska dôvernosti ako interné, chránené alebo v odôvodnených prípadoch prísne chránené,
- ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom stredná alebo v odôvodnených prípadoch vysoká,
- ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom stredná alebo v odôvodnených prípadoch vysoká,
- pri ktorých je potrebné identifikovať zodpovednosť za kritické aktivity, najmä však aktivity privilegovaných používateľov,
- pri ktorých je potrebné vykonávať kontrolnú činnosť,
- tvoriace základné registre a/alebo referenčné registre,
- zabezpečujúce vytváranie a vedenie agend, ktoré nepatria do I. bezpečnostnej kategórie,
- ktoré sú agendové informačné systémy,
- ktorými sú špecializované portály alebo
- ktoré sú nevyhnutné na rozhodovanie orgánu štátnej moci.
Kategória III
Zahŕňa informačné aktíva v pôsobnosti prevádzkovateľa základnej služby,
- ktorých ohrozenie môže spôsobiť kybernetický bezpečnostný incident II. a III. stupňa,
- ktoré sú klasifikované z hľadiska dôvernosti ako prísne chránené,
- ktoré sú klasifikované z hľadiska dostupnosti klasifikačným stupňom vysoká,
- ktoré sú klasifikované z hľadiska integrity klasifikačným stupňom vysoká,
- pri ktorých je potrebné auditovať aktivity všetkých používateľov,
- prostredníctvom ktorých sa poskytuje základná služba a ktorých výpadok alebo poškodenie spôsobí poškodenie alebo znemožnenie poskytovania základnej služby,
- ktoré sú označené ako utajované skutočnosti alebo ako tajomstvo podľa osobitných predpisov,2)
- ktoré sú nevyhnutné a potrebné z hľadiska plnenia úloh týkajúcich sa obrany a bezpečnosti štátu alebo
- ktorým je ústredný portál verejnej správy.
Ak ste v rámci klasifikácie informácií a kategorizácie sietí a informačných systémov podľa vyhlášky č. 362/2018 Z. z. zaradený do kategórie II alebo III, rozširuje sa rozsah bezpečnostných opatrení, ktoré ste povinný prijať.
Disponujeme expertnými kapacitami aj overenými nástrojmi, ktoré vám pomôžu pri implementácii, alebo poskytneme službu out-taskingu.