Radoslav Kohut

Odborný seriál o kybernetickej bezpečnosti vo verejnej správe pokračuje časťou, ktorá sa zameriava na kontrolné a sankčné opatrenia z hľadiska legislatívneho rámca v prostredí verejnej správy s poukázaním na najčastejšie nedostatky pri samohodnotení a výkone auditov kybernetickej bezpečnosti.

V tejto časti odborného seriálu o kybernetickej bezpečnosti sa zameriame na odporúčanú štruktúru bezpečnostnej dokumentácie, ktorá tvorí základný pilier riadenia kybernetickej bezpečnosti. Cieľom je priblížiť, aké typy dokumentov by mali byť súčasťou komplexného systému riadenia bezpečnosti, ako sú vzájomne prepojené a akým spôsobom prispievajú k preukázaniu súladu s legislatívnymi požiadavkami.

V tejto časti seriálu o kybernetickej bezpečnosti sa zameriame na analýzu najnovších legislatívnych zmien, ktoré zásadným spôsobom ovplyvňujú povinnosti organizácií pôsobiacich v prostredí verejnej správy. Osobitnú pozornosť venujeme novým a aktualizovaným vyhláškam Národného bezpečnostného úradu, ako aj ich praktickým dopadom na procesy riadenia bezpečnosti informačných systémov.

Vzdelávanie zamestnancov je jedným z najúčinnejších nástrojov ochrany pred kybernetickými incidentmi. Štvrtá časť seriálu približuje legislatívne povinnosti v tejto oblasti, možnosti školení a význam certifikovaného manažéra kybernetickej bezpečnosti. Upozorňuje aj na aktuálne hrozby, ako sú phishing a ransomware. Článok ponúka praktické odporúčania pre verejnú správu, vďaka ktorým možno výrazne znížiť riziko narušenia činnosti v dôsledku kybernetických hrozieb.

V predchádzajúcej časti seriálu sme sa venovali základným zmluvným požiadavkám na výkon funkcie manažéra kybernetickej bezpečnosti. Zdôraznili sme význam správneho výberu odborne spôsobilého manažéra kybernetickej bezpečnosti a potrebu jednoznačne formulovaných zmluvných ustanovení. Riešili sme aj postavenie tretích strán a povinnosti s tým spojené. V nasledujúcom príspevku sa presunieme k analytickej fáze, v ktorej sa pozrieme na vypracovanie GAP analýzy, identifikáciu aktív, klasifikáciu informácií, kategorizáciu informačných systémov a analýzu rizík. V závere sumarizujeme aktuálne legislatívne procesy a metodické usmernenia vo vzťahu ku kybernetickej bezpečnosti vo verejnej správe.

V prvej časti seriálu o aktuálnych požiadavkách na zabezpečenie kybernetickej bezpečnosti vo verejnej správe sme priblížili základné pojmy kybernetickej bezpečnosti a zároveň sme predstavili kľúčové legislatívne zmeny, ktoré vstúpili do platnosti 1. januára 2025. V druhej časti seriálu sa zameriame na zmluvné požiadavky na manažéra kybernetickej bezpečnosti, na kroky pri zavádzaní kybernetickej bezpečnosti, ako aj na identifikáciu tretích strán.

Verejná správa je čoraz viac závislá od informačných a komunikačných technológií. Elektronické služby občanom, digitálna komunikácia medzi úradmi a elektronické spracovanie údajov prinášajú mnohé výhody, ako sú efektivita, transparentnosť, rýchlosť a dostupnosť služieb. Technologický pokrok však prináša aj nové výzvy v oblasti kybernetickej bezpečnosti, na ktoré je nevyhnutné zodpovedne reagovať. V prvej časti seriálu sa venujeme požiadavkám na zabezpečenie kybernetickej bezpečnosti z hľadiska miest a obcí.