Autori:
Ing. Stanislav Guláš, audítor ISMS
DATAsec.sk
Právny stav od: 30. 6. 2020
Právny stav do: 31. 7. 2021
Dátum publikácie: 21. 9. 2020
Prameň: EPI Odborné články / epi - 2020
Oblasti práva: Správne právo / Informácie, informačný systém
Zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. verzus Vyhláška č. 179/2020 Z. z.
1. Úvod
Postupne sa do praxe dostávajú jednotlivé zákony, predpisy a vyhlášky súvisiace s informačnou a kybernetickou bezpečnosťou. Sú však jednotné a navzájom terminologicky unifikované? Nadväzujú na seba, sú štruktúrované, vzájomne integrované a zrozumiteľné? Aplikujú požiadavky v oblasti minimálnych bezpečnostných opatrení v súlade so zavedenými medzinárodnými normami? Dodržiavajú jednotné názvoslovia, označovanie a číslovanie?
Na tieto otázky sa pozrieme v rámcovom porovnaní bezpečnostných požiadaviek definovaných zákonom o kybernetickej bezpečnosti č. 69/2018 Z. z. (ďalej len ZoKB) a príslušnými vyhláškami k ZoKB (najmä vyhláškou č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení) a vyhláškou č. 179/2020 Z. z. (ďalej len Vyhláška), ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
Na aké organizácie a inštitúcie sa vzťahujú minimálne bezpečnostné opatrenia Kategórie I, Kategórie II a Kategórie III, je uvedené v § 3 Vyhlášky.
Zoznam aktív, s ktorými je potrebné rátať v rámci informačných technológií verejnej správy (IT VS), je uvedený v Prílohe č. 1 k Vyhláške.
Minimálne bezpečnostné opatrenia pre jednotlivé kategórie sú predmetom Prílohy č. 2 k Vyhláške.
Obsah a štruktúra bezpečnostného projektu informačného systému verejnej správy je definovaná v Prílohe č. 3 k Vyhláške.
V tomto rámcovom porovnaní sa zameriame len na oblasti definujúce požiadavky na minimálne bezpečnostné opatrenia. Je dôležité mať na zreteli, že podľa § 2 ods. 2 Vyhlášky pri duplicite alebo nekompatibilite minimálnych bezpečnostných opatrení rôznych kategórií, ktoré môžu byť aplikované na konkrétne informačné technológie verejnej správy, majú prednosť ustanovenia upravujúce opatrenia vyššej kategórie.
2. Porovnanie
| Podľa ZoKB a nadväzujúcich vyhlášok
| Podľa Vyhlášky č. 179/2020 Z. z.
|
| a) Organizácia informačnej bezpečnosti
[§ 20 ods. 3 písm. a) ZoKB,
§ 5 vyhlášky č. 362/2018 Z. z.]
| A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
(§ 2 ods. 1 a príloha č. 2 písm. A. Vyhlášky)
|
| Zhoda.
| Bezpečnostné opatrenia Kategórie I
Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa aj bezpečnostné požiadavky Vyhlášky.
|
|
Zhoda OKREM:
Vykonanie aktualizácie Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok nie je výslovne požadované.
| Bezpečnostné opatrenia Kategórie II
Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii II:
1. Vykonávať aktualizáciu Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.
|
| Zhoda OKREM:
Nie je výslovne požadované vytvorenie bezpečnostného výboru.
Nie sú výslovne požadované preskúmania a identifikácie bezpečnostných rizík v počiatočných fázach procesu riadenia projektov.
Nie je výslovne požadované vypracovanie bezpečnostného projektu informačného systému verejnej správy.
| Bezpečnostné opatrenia Kategórie III
Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii III:
1. Vytvoriť bezpečnostný výbor.
2. Preskúmavať a identifikovať bezpečnostné riziká v počiatočných fázach procesu riadenia projektov.
3. Vypracovať bezpečnostný projekt informačného systému verejnej správy.
|
| Podľa ZoKB a nadväzujúcich vyhlášok
| Podľa Vyhlášky č. 179/2020 Z. z.
|
| b) Riadenie aktív, hrozieb a rizík
[§ 20 ods. 3 písm. b) ZoKB,
§ 6 vyhlášky č. 362/2018 Z. z.]
| B. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti
(§ 2 ods. 1 a príloha č. 2 písm. B. Vyhlášky)
|
| Zhoda.
| Bezpečnostné opatrenia Kategórie I
Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa aj bezpečnostné požiadavky Vyhlášky.
|
| Zhoda OKREM:
Vykonanie analýzy rizík najmenej raz za dva roky nie je výslovne požadované.
| Bezpečnostné opatrenia Kategórie II
Záver: Kto má spracované bezpečnostné opatrenia podľa ZoKB, spĺňa bezpečnostné požiadavky Vyhlášky ČIASTOČNE. Pre splnenie súladu je potrebné implementovať identifikované oblasti označené „OKREM“ v Kategórii II:
1. Vykonať analýzu rizík najmenej raz za dva roky.
|
| Zhoda OKREM:
Vykonanie analýzy rizík najmenej raz ročne nie je výslovne požadované.
| Bezpečnostné opatrenia ...
|
Vážený návštevník,
prístup do tejto sekcie majú len registrovaní užívatelia portálu
s predplateným prístupom.
Prihláste sa kliknutím na nasledujúci odkaz:
 |
| Prístup k EPI Právnym systémom
a ostatným online produktom
si môžete zakúpiť v našom e-shope:
| Máte otázky?
V prípade, že potrebujete viac informácií, môžete nás kedykoľvek kontaktovať
|
Registračný formulár nájdete na tomto odkaze: REGISTRÁCIA
V prípade, že ste registrovaný na portáli www.epi.sk, www.pp.sk, www.vssr.sk, www.danovecentrum.sk, www.mzdovecentrum.sk, www.manazerskecentrum.sk, www.profivzdelavanie.sk alebo www.zakon.sk môžete na prihlásenie použiť prihlasovacie meno a heslo z týchto portálov.
Autor: DATAsec, Ing. Stanislav Guláš
Súvisiace eurokódex komentované ustanovenia
Súvisiace právne predpisy ZZ SR
- 69/2018 Z. z. Zákon o kybernetickej bezpečnosti
- 362/2018 Z. z. Vyhláška, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
- 436/2019 Z. z. Vyhláška o audite kybernetickej bezpečnosti a znalostnom štandarde audítora
- 179/2020 Z. z. Vyhláška, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
Súhlas s použitím cookies
Vlastné nastavenie cookies