Spôsob kategorizácie a obsah bezpečnostných opatrení ITVS – rozsah a povinnosti

Článok približuje minimálne bezpečnostné opatrenia troch úrovní z jednotlivých oblastí kybernetickej a informačnej bezpečnosti stanovené pre jednotlivé subjekty verejnej správy.

Autori: Mgr. Zuzana Halásová, PhD.
Dátum publikácie: 25. 8. 2020



tt_vazby-medzi-osobami

V roku 2019 bol prijatý zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“), ktorý nadobudol účinnosť 1. mája 2019 a ktorý derogoval predchádzajúcu právnu úpravu (aj vrátane predchádzajúceho výnosu).

Nová úprava priniesla oproti pôvodnej právnej úprave systémovú zmenu dotýkajúcu sa hlavne rozšírenia povinností pre jednotlivé inštitúcie verejnej správy v oblasti správy, t. j. vedenia a riadenia informačných technológií, a to od samotného plánovania, obstarania a implementácie informačných technológií, až po monitoring a hodnotenie IT. V novej právnej úprave je zvýšenou mierou pokrytá aj oblasť bezpečnosti.

Zákon nadväzuje na zákon o kybernetickej bezpečnosti a upravuje činnosť vládnej jednotky CSIRT pri riešení a prevencii kybernetických hrozieb.

Zákon o kybernetickej bezpečnosti stanovil, že správcovia informačných systémov verejnej správy sú prevádzkovateľmi základnej služby§ 3 písm. l) zákona č. 69/2018 Z. z., čím sa na nich vzťahujú povinnosti vyplývajúce pre prevádzkovateľov základných služieb. Rozsah povinností správcu závisí od klasifikácie informácií a kategorizácie sietí a informačných systémov a tieto povinnosti sú uvedené v zákone o kybernetickej bezpečnosti.

Zákon o ITVS v ustanoveniach § 18 až § 23 upravuje bezpečnosť ITVS, pričom však výslovne diferencuje a hovorí, že povinnosti správcu upravuje zákon o kybernetickej bezpečnosti a zákon o ITVS upravuje „len“ obsah bezpečnostných opatrení vo vzťahu k ITVS a spôsob a rozsah ich prijímania a realizácie v súlade so zákonom o kybernetickej bezpečnosti. Úroveň bezpečnosti sietí a informačných systémov je teda identická, ako stanovuje zákon o kybernetickej bezpečnosti. V § 18 až § 23 zákona o ITVS v časti bezpečnosti ITVS v oblasti plánovania a organizácie sú nastavené najmä pravidlá pre zavedenie systému riadenia informačnej bezpečnosti v organizácii. K organizačne procesným podmienkam patria činnosti, ktoré majú vykonávať riadiace, výkonné a kontrolné zložky systému riadenia bezpečnosti. V ďalších častiach je regulácia koncipovaná predovšetkým s dôrazom na životný cyklus ITVS. Sú stanovené špecifické povinnosti v oblasti bezpečnosti ITVS pri plánovaní, vytváraní alebo nadobudnutí, ďalej tiež pri zavedení, prevádzke a vyradení ISVS. Na tieto ustanovenia nadväzuje aj vykonávací právny predpis vydaný na základe splnomocňovacieho ustanovenia§ 31 písm. a) a i) zákona č. 95/2019 Z. z. zákona o ITVS. Je ním vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. (ďalej len „vyhláška“), ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy a ktorá nadobudla účinnosť dňom vyhlásenia v Zbierke zákonov, a to 30. júna 2020.

Vyhláška upravuje spôsob kategorizácie a obsah bezpečnostných opatrení ITVS a podrobnosti o spôsobe zaraďovania do týchto kategórií s použitím klasifikácie informácií a kategorizácie sietí a informačných systémov podľa osobitného predpisu. Taktiež upravuje podrobnosti o bezpečnosti ITVS rozpracované v zákone o ITVS a v zákone o kybernetickej bezpečnosti, povinnosti správcu vo vzťahu k ITVS, pričom správca musí identifikovať a udržiavať svoj zoznam aktív a musí realizovať bezpečnostné opatrenia aspoň na úrovni minimálnych požadovaných bezpečnostných opatrení danej kategórie. Bezpečnostné opatrenia informačných technológií verejnej správy sú tvorené minimálnymi bezpečnostnými opatreniami troch úrovní.

Bezpečnostné opatrenia – tri úrovne

Bezpečnostné opatrenia ITVS sú tvorené minimálnymi bezpečnostnými opatreniami troch úrovní, a to konkrétne Kategóriou I., Kategóriou II. a Kategóriou III. Minimálne bezpečnostné opatrenia troch úrovní z jednotlivých oblastí kybernetickej a informačnej bezpečnosti sú bližšie špecifikované v prílohe č. 2 vyhlášky. V prípade, keď dôjde k duplicite či redundancii bez stanoveného účelu, alebo k nekompatibilite minimálnych bezpečnostných opatrení rôznych úrovní, ktoré majú byť aplikované na konkrétne ITVS, majú prednosť ustanovenia, ktoré upravujú opatrenia vyššej úrovne (§ 2 ods. 2 vyhlášky).

Príspevok je skrátený, jeho celé znenie nájdete v produkte EPI Odborné články:

Spôsob kategorizácie a obsah bezpečnostných opatrení ITVS – rozsah a povinnosti

 

Autor: Mgr. Zuzana Halásová, PhD.

Súvisiace dokumenty

Súvisiace právne predpisy ZZ SR

  • 179/2020 Z. z. Vyhláška, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy