Bezpečnostné opatrenia

Bezpečnostné opatrenia sú úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti počas životného cyklu sietí a informačných systémov. Cieľom bezpečnostných opatrení je predchádzať kybernetickým bezpečnostným incidentom a minimalizovať ich vplyv na kontinuitu prevádzkovania služby. Zároveň sa príjimajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a zodpovedať reálnemu stavu.

Bezpečnostné opatrenia sú:

  • všeobecné – realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačné systémy,
  • sektorové – realizované na základe špecifík kategorizácie sietí a informačných systémov ústredného orgánu v rozsahu svojej pôsobnosti v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.  

Klasifikácia informácií a kategorizácia sietí a informačných systémov sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť.

Oblasti, pre ktoré sa bezpečnostné opatrenia prijímajú sú:

  • organizácie informačnej bezpečnosti
  • riadenia aktív, hrozieb a rizík
  • personálnej bezpečnosti
  • riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov
  • technických zraniteľností systémov a zariadení
  • riadenia bezpečnosti sietí a informačných systémov
  • riadenia prevádzky
  •  riadenia prístupov
  • kryptografických opatrení
  •  riešenia kybernetických bezpečnostných incidentov
  • monitorovania, testovania bezpečnosti a bezpečnostných auditov
  • fyzickej bezpečnosti a bezpečnosti prostredia
  • riadenia kontinuity procesov

Bezpečnostné opatrenia musia zahŕňať:

  • detekciu kybernetických bezpečnostných incidentov
  • evidenciu kybernetických bezpečnostných incidentov
  • postupy riešenia a riešenie kybernetických bezpečnostných incidentov
  • určenie kontaktnej osoby pre príjimanie a evidenciu hlásení
  • pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania
Dátum prvého uverejnenia , posledná aktualizácia