Novela vyhlášky o bezpečnostných opatreniach

Od 1. 9. 2023 vstúpi do účinnosti vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Aký je účel tejto vyhlášky? Čo bolo dôvodom jej novelizácie a čo sa od septembra zmení?

Regulácia v kybernetickej bezpečnosti

Rád by som napísal, že zvyčajné dôvody organizácií pre riadenie kybernetickej bezpečnosti sú pragmatického charakteru a že vedenie organizácií sa opiera o výsledky analýz rizík, odporúčania nezávislých audítorov a s cieľom prevencie strát. Žiaľ, nie je to tak. Podľa rôznych analýz a prieskumov nie pragmatický prístup, ale regulácia je hlavným dôvodom, pre ktorý subjekty vykonávajú ochranu svojich informačných aktív. Teda že organizácie vykonávajú príslušné činnosti a implementujú organizačné a technické opatrenia najmä preto, že to od nich vyžaduje zákon a že im za nesplnenie povinností zákona hrozí pokuta. Nie je to však žiadna slovenská výnimočnosť. Analýzu dôvodov a motivácií ponechajme sociológom.

Zmysel zákonov určuje konkrétna skutočnosť, ktorá vyvoláva potrebu ich prijatia. Tento zmysel sa nazýva prameň práva.Prusák, J. Teória práva. 2. vyd. Bratislava: Vydavateľské oddelenie PF UK, 2001. 188 s. ISBN 80–7160–146–2 Materiálnymi prameňmi práva sú faktory, ktoré vplývajú na tvorbu práva – napríklad ekonomické, sociálne, technologické, politické, geografické, mravné a ekologické a mnohé iné. Prameňom práva v kyberbezpečnosti je veľmi jednoznačne ekonomika a sociálne faktory, z výraznej časti aj geopolitika. Pretože bezpečnostné incidenty v modernej pretechnizovanej dobe generujú nepredstaviteľne veľké finančné straty. Spracúvanie údajov v kybernetickom priestore bežne vedie k porušovaniu základných ľudských práv, napríklad práva na súkromie, ale dokonca aj práva na ochranu zdravia a práva na ochranu života. Zároveň je však kyberpriestor novou vojenskou operačnou doménou, v ktorej reálne prebieha boj medzi znepriatelenými štátmi, v tých najnevinnejších prípadoch „iba“ formou kyberšpionáže. To všetko sú dostatočné dôvody na to, aby štátna moc regulovala práva a povinnosti subjektov v kontexte využitia kyberpriestoru.

Regulácia sa vykonáva prostredníctvom normatívnych právnych aktov, t. j. právnych noriem. Právna norma je všeobecne záväzné pravidlo správania sa, najčastejšie v podobe zákazov, príkazov, dovolení alebo povinností vyplývajúcich z právneho poriadku štátu, publikovaných prostredníctvom všeobecne záväzných právnych prepisov. Právny predpis (napríklad zákon, vyhláška a pod.) obsahuje spravidla viacero právnych noriem.

Právna norma v právnom predpise obvykle nie je súvislou časťou textu alebo explicitným vyjadrením, ale skladá sa z rôznych častí textu. Právnu normu je potrebné z textu právneho predpisu pochopiť v jej celkovom kontexte a následne ju subsumovať pod príslušnú právnu skutočnosť. Na text právneho predpisu je vhodnejšie nazerať nie ako na systematickú množinu právnych noriem, ale ako súbor formalizovaných pravidiel, z ktorých sa dajú jednotlivé právne normy extrahovať odborným výkladom.

Právne normy a ich vynucovanie reguláciou majú za cieľ dosiahnuť žiaduce správanie zúčastnených subjektov. Cieľom regulácie v kybernetickej bezpečnosti je dosiahnutie primeranej úrovne kybernetickej bezpečnosti, ochrany informácií, ochrany údajov a ochrany súkromia.

Čiastkovými úlohami tejto regulácie sú najmä:

• zavedenie jednotných metód ochrany informácií,
• zlepšenie procesov riadenia zraniteľností, hrozieb a rizík,
• vynútenie aktivít zameraných na dosiahnutie minimálnej úrovne ochrany informačných aktív,
• dosiahnutie stavu odolnosti voči zraniteľnostiam,
• zvýšenie vyspelosti procesov reakcie na kybernetické incidenty.

Nástrojom dosiahnutia týchto cieľov sú všeobecne záväzné právne prepisy, prostredníctvom ktorých je možné (niekedy aj efektívne) stanoviť pravidlá a (niekedy) dosiahnuť žiaduce správanie zúčastnených subjektov.

Zákon verzus vyhláška

Slovenský právny poriadok je tvorený viacerými druhmi právnych predpisov. Aj odborná verejnosť často nevníma rozdiely medzi vyhláškami, zákonmi a inými typmi právnych predpisov vydaných v štátom uznanej forme.

Právny predpis ustanovuje práva a povinnosti tak, aby dotvárali alebo rozvíjali sústavu práv a povinností v súlade s ich doterajšou štruktúrou v právnom poriadku a nestali sa vzájomne protirečivými.

Podrobnosti rieši zákon č. 400/2015 Z. z. o tvorbe právnych predpisov a o Zbierke zákonov Slovenskej republiky, ktorý hneď v úvodnej časti stanovuje požiadavky na vyváženosť právneho poriadku. Predpokladá súlad právneho predpisu:

• s právnym poriadkom tak, že dosahovanie cieľov sledovaných jedným právnym predpisom nebráni alebo nesťažuje dosahovanie cieľov sledovaných iným právnym predpisom,
• nižšej právnej sily s právnym predpisom vyššej právnej sily,
• s medzinárodnoprávnymi záväzkami Slovenskej republiky,
• s právom Európskej únie.

Zákon je všeobecne záväzný právny predpis prijatý zákonodarným zborom, t. j. Národnou radou SR. Zákon má nižšiu právnu silu ako ústava, sekundárne právne akty Európskej únie a niektoré medzinárodné zmluvy.

Vyhláška je potom vykonávací podzákonný právny predpis, ktorý má nižšiu právnu silu ako zákon. V právnej terminológii výraz „vykonávací“ predpis znamená, že účelom vyhlášky je upresniť ustanovenia zákona, ku ktorému je vydaná. Zo zákona č. 400/2015 Z. z. priamo vyplýva dokonca povinnosť zákonodarcu uviesť v zákone splnomocnenie na vydanie vykonávacích predpisov, ak ich návrh zákona predpokladá. Splnomocňovacie ustanovenie musí byť formulované tak, aby z jeho znenia jednoznačne vyplývalo, kto je splnomocnený na vydanie vykonávacieho právneho predpisu, aké skutočnosti a v akom rozsahu sa majú v ňom upraviť, pričom sa dbá na zabezpečenie súladu vykonávacieho právneho predpisu so zákonom.

A teraz to najpodstatnejšie, čo by som v tomto článku zrejme mal spomenúť v súvislosti s vyhláškami.

Zákony sa vyznačujú určitou mierou všeobecnosti. Preto sa významná časť ich ustanovení konkretizuje prostredníctvom vykonávacích právnych predpisov. Následne sa však vyskytne veľmi častá otázka aj medzi bezpečákmi – prečo by vyhláška nemohla zmeniť požiadavky (napríklad na bezpečnostné opatrenia) inak, ako sú uvedené v zákone? Nuž preto, že v zmysle § 4 ods. 3 zákona č. 400/2015 Z. z. vykonávacím právnym predpisom nemožno ukladať povinnosti, meniť alebo dopĺňať právnu úpravu nad rámec zákona alebo upravovať spoločenské vzťahy v zákone neupravené.

Dôvody novelizácie vyhlášky

Vyššie uvedený princíp, podľa ktorého vyhláškou nemožno ukladať povinnosti nad rámec zákona, je hlavným dôvodom novelizácie vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. V auguste 2021 totiž vstúpila do platnosti novela zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, v ktorej nastala zmena v § 20, najmä čo sa týka jeho štruktúry. Tým vznikla vnútorná nekonzistencia medzi zákonom a jeho pôvodným vykonávacím predpisom.

Podľa nového znenia sa bezpečnostné opatrenia prijímajú a realizujú najmä pre oblasť:

1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
2. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
3. personálnej bezpečnosti,
4. riadenia prístupov,
5. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
6. bezpečnosti pri prevádzke informačných systémov a sietí,
7. hodnotenia zraniteľností a bezpečnostných aktualizácií,
8. ochrany proti škodlivému kódu,
9. sieťovej a komunikačnej bezpečnosti,
10. akvizície, vývoja a údržby informačných sietí a informačných systémov,
11. zaznamenávania udalostí a monitorovania,
12. fyzickej bezpečnosti a bezpečnosti prostredia,
13. riešenia kybernetických bezpečnostných incidentov,
14. kryptografických opatrení,
15. kontinuity prevádzky,
16. auditu, riadenia súladu a kontrolných činností.

V pôvodnom znení zákona platnom do 31. 7. 2011 boli bezpečnostné opatrenia požadované najmä pre oblasť:

1. organizácie informačnej bezpečnosti,
2. riadenia aktív, hrozieb a rizík,
3. personálnej bezpečnosti,
4. riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,
5. technických zraniteľností systémov a zariadení,
6. riadenia bezpečnosti sietí a informačných systémov,
7. riadenia prevádzky,
8. riadenia prístupov,
9. kryptografických opatrení,
10. riešenia kybernetických bezpečnostných incidentov,
11. monitorovania, testovania bezpečnosti a bezpečnostných auditov,
12. fyzickej bezpečnosti a bezpečnosti prostredia,
13. riadenia kontinuity procesov.

Vyhláška sa odvolávala na pôvodné ustanovenia zákona v znení účinnom do 31. 7. 2021. Keďže vyhláška v tom čase nebola novelizovaná spolu so zákonom, po novelizácii ustanovení v § 20 ods. 3 zákona sa vyhláška od 1. 8. 2021 odkazovala na nesprávne ustanovenia.

Zdôrazňujem – obsahovo sa v novom ustanovení § 20 ods. 3 zákona nezmenilo nič. Zmenila sa len jeho štruktúra. Ak vám niekto bude tvrdiť opak, buď klame, alebo nerozumie veci, o ktorej rozpráva.

Národný bezpečnostný úrad následne začiatkom marca 2023 predložil do medzirezortného pripomienkového konania návrh zmien a doplnení vyhlášky č. 362/2018 Z. z. Cieľom návrhu bolo upraviť vykonávací predpis tak, aby korešpondoval s normatívnym textom uvedeným v § 20 zákona v znení z 1. 8. 2021. Návrhom sa na základe aplikačnej praxe upravili niektoré ustanovenia vyhlášky, najmä z terminologického hľadiska a z hľadiska typickej štruktúry bezpečnostných opatrení. Súčasne išlo o legislatívno-technickú úpravu niektorých ustanovení vyhlášky tak, aby sa dosiahla konzistentnosť vnútorných odkazov.

K návrhu vyhlášky boli v medzirezortnom pripomienkovom konaní vznesené určité pripomienky. Mnohé (ako už býva zvykom) aj nezmyselné, nekompetentné a mimo rozsahu navrhovanej novelizácie. Ale to je už iná téma, s ktorou sa budú musieť raz vyrovnať legislatívci.

Aké zmeny boli vykonané?

Najjednoduchší spôsob, akým môže aj laik zistiť, čo je na niektorom právnom predpise novelizované oproti jeho predchádzajúcej verzii, je otvoriť si ho v elektronickej zbierke zákonov. To, čo je v novelizovanom predpise nové, alebo zmenené, je vyznačené zelenou farbou. A za nové alebo zmenené (podčiarkujem) sa chápe čo i len jediné zmenené slovo v príslušnom ustanovení.

Cielene tu referencujem časovú verziu predpisu ktorá bude účinná od 1. 9. 2023.

Vyhláška NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení neurčuje kategórie opatrení (na rozdiel od vyhlášky č. 179/2020 Z. z. ÚPVII, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy), ale kategórie sietí a informačných systémov. Kategorizácia systémov je založená na klasifikácii informačných aktív.

V závislosti od kategórie systému sú potom určené minimálne požiadavky na bezpečnostné opatrenia. Táto metóda stanovenia bezpečnostných opatrení je nepochybne prehľadnejšia.

Po novelizácii vyhlášky NBÚ č. 362/2018 Z. z. sú požiadavky na jednotlivé opatrenia mapované nasledujúcim spôsobom v prílohe č. 3:

Farebne sú vyznačené tie požiadavky na bezpečnostné opatrenia, pri ktorých v príslušnej kategórii nastala v rámci novelizácie vyhlášky zmena.

Pre porovnanie, pôvodná (v čase vzniku tohto článku platná) vyhláška NBÚ č. 362/2018 Z. z. definuje v prílohe č. 3 požiadavky na jednotlivé opatrenia nasledujúcim spôsobom:

Presun v štruktúre predpisu neznamená novú povinnosť

Je potrebné opätovne zdôrazniť, že v § 20 ods. 3 zákona bola v znení od 1. 8. 2021 vykonaná zmena štruktúry, bez toho, aby boli pridané akékoľvek nové povinnosti. Niektoré pridané ustanovenia vo vyhláške môžu vzbudzovať dojem, že pribudli povinnosti, avšak toto skreslenie je spôsobené tým, že niektoré bezpečnostné opatrenia boli v znení zákona do 31. 7. 2021 subsumované v inom pôvodnom ustanovení a v novom znení vyhlášky sú tieto opatrenia rozdelené do samostatných ustanovení. Prípadne došlo len k úprave názvu požiadavky alebo presunu požiadavky bez zmeny jej názvu pod iné číslo ustanovenia. Týka sa to, napríklad, nasledujúcich oblastí opatrení:

Samostatne vymedzené povinnosti

V štruktúre tabuľky v prílohe 3 vyhlášky pribudli dve samostatne vymedzené opatrenia. Taktiež to však nie sú nové zákonné povinnosti:

• požiadavka na audit, riadenie súladu a kontrolné činnosti podľa § 20 ods. 3 písm. p) zákona – pôvodne bola ošetrená v § 20 ods. 3 písm. k) zákona (monitorovanie, testovanie bezpečnosti a bezpečnostné audity),
• požiadavka na určenie manažéra kybernetickej bezpečnosti podľa § 20 ods. 4 písm. a) zákona – toto opatrenie je však uvedené medzi minimálnymi požiadavkami v § 20 ods. 4 písm. a) zákona.

Skúsenosti z aplikačnej praxe

Nové znenie vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení má za cieľ prispôsobiť právny predpis aplikačnej praxi a zároveň vykonať legislatívno-technickú úpravu niektorých ustanovení vyhlášky tak, aby sa dosiahla konzistentnosť vnútorných odkazov, ako aj odkazov na ustanovenia zákona.

Pri práci na návrhu textu sme sa snažili opraviť aj niektoré chyby, ktoré sa, samozrejme, vyskytnú pri každom legislatívnom procese. Paradoxne – najčastejšie bývajú chyby vnesené do predpisu vo fáze medzirezortného pripomienkového konania, ktoré približujúcim sa dátumom „uzávierky“ pri vysporadúvaní pripomienok generuje aj nechcené omyly. V MPK je tiež niekedy vysporiadanie pripomienky v rozporových konaniach doslova až vecou diplomacie. Výsledkom vyjednávania býva kompromisný text, ktorý s pôvodne navrhovaným ustanovením už nemá veľa spoločné.

Pre odbornú verejnosť je väčšina požiadaviek úplne samozrejmá, avšak pri laickej interpretácii môžu byť potenciálne nejednoznačné. V praxi sa následne často vyskytnú chybné výklady vyhlášky alebo dokonca aj vedome skreslená argumentácia vyhláškou na podporu predaja vlastných výrobkov a služieb.

V tejto súvislosti je potrebné si uvedomiť, že cieľom zákona o kybernetickej bezpečnosti a jeho vykonávacích predpisov nie je vynútiť vlastníctvo konkrétnych nástrojov, ale zaručiť určité spôsobilosti subjektov. Nedajte sa pomýliť. Vysvetlím tento problém na dvoch príkladoch.

Prvý sa týka požiadavky § 20 ods. 3 písm. k) zákona (zaznamenávanie udalostí a monitorovanie) upresnenej v § 15 vyhlášky. Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov uskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami zaznamenávaním prevádzky týchto sietí a informačných systémov. Zámerom ustanovenia § 15 vyhlášky určite nebolo vynútiť zo strany štátu implementáciu konkrétnych nástrojov typu SIEM (Security Information and Event Monitoring), XDR (Extended Detection and Response) alebo akýchkoľvek podobných. Myslené je však dosiahnutie spôsobilosti na zaznamenávanie udalostí a monitorovanie sietí a informačných systémov.

Spôsoby riešenia tejto požiadavky sú viaceré. Od fyzickej implementácie v priestoroch prevádzkovateľa cez virtuálne služby na požiadanie, využívanie služieb centier bezpečnostných operácií (tzv. SOC – Security Operations Center) až po zdieľanie zdrojov medzi prevádzkovateľmi z rovnakého odvetvia. Preferovaným (a veľmi efektívnym) spôsobom je v súčasnosti práve využitie profesionálnych SOC služieb, ktoré poskytujú možnosť pripojiť konkrétne chránené prostredie do monitorovacieho systému, vrátane poskytovania nepretržitej služby centrálneho dohľadu, vyhodnocovania zraniteľností a hrozieb, ako aj riešenia prípadných kybernetických incidentov. Tým si prevádzkovateľ vlastne jedným krokom splní aj inú povinnosť, podľa § 20 ods. 3 písm. m) zákona, o riešení kybernetických bezpečnostných incidentov.

Iný, podobne chybný výklad sa týka ustanovenia § 6 ods. 2 vyhlášky o tom, že inventár aktív súvisiacich so zariadeniami na spracovanie informácií a informačnými prostriedkami má byť centrálne zaznamenaný. To skutočne neznamená, že by zákonodarca vyžadoval od PZS zakúpenie alebo vývoj robustného centralizovaného softvérového riešenia na riadenie rizík. Licenčné poplatky profesionálnych riešení sa môžu vyšplhať aj do státisícov. Myslené je však dosiahnutie spôsobilosti udržiavať komplexný prehľad o informačných aktívach. Ak to PZS zvládne vykonať ceruzkou na štvorčekovom papieri alebo v zdieľanom excelovskom zošite, je to výhradne jeho rozhodnutie. Audítor bude posudzovať vyspelosť procesu a spôsobilosť PZS udržiavať prehľad o svojich informačných aktívach, nie existenciu akéhokoľvek nástroja.

Posudzovanie spôsobilostí

Fakt, že nie vlastníctvo konkrétnych nástrojov, ale výhradne spôsobilosti sú určujúce pre hodnotenie úrovne kybernetickej bezpečnosti u prevádzkovateľa, vyplýva aj z platnej Metodiky auditu kybernetickej bezpečnosti. S cieľom objektivizácie rozhodnutia o súlade, čiastočnom súlade alebo nesúlade sa audítor typicky snaží identifikovať úroveň vyspelosti príslušného procesu.

Jednotlivé́ komponenty môžu nadobúdať hodnoty vyspelosti podľa modelu reprezentácie CMMI (z angl. Capability Maturity Model Integration). V tomto modeli sú úrovne vyspelosti dosiahnutých bezpečnostných cieľov (alebo úrovne bezpečnostných opatrení) hodnotené v nasledujúcej stupnici:

Na záver malá rada – nebojte sa opýtať priamo v zdroji. Národný bezpečnostný úrad poskytuje odborné stanoviská k otázkam vyplývajúcim z aplikačnej praxe v oblasti ochrany utajovaných skutočností, šifrovej služby, kybernetickej bezpečnosti a dôveryhodných služieb. Ak vám nie je niečo jasné z požiadaviek zákona či vyhlášok, za opýtanie nič nedáte. Úrad odpovie na každú otázku. V anonymizovanej forme ju zverejní aj na svojom webovom sídle, aby prípadne pomohla ostatným prevádzkovateľom. Nepochybne je užitočnejšie položiť otázku na aplikačnú prax zákonodarcovi, než sa spoliehať na známych, ktorí nemusia mať bezpodmienečne správny pohľad na pôvodný zámer. Napokon – aj niektoré zmeny textu pri novelizácii vyhlášky boli inšpirované práve položenými otázkami.

Poznámka redakcie:

§ 1 vyhlášky č. 362/2018 Z. z.

Autor: Ing. Ivan Makatura, CRISC, CDPSE