V predchádzajúcej časti seriálu sme sa venovali základným zmluvným požiadavkám na výkon funkcie manažéra kybernetickej bezpečnosti. Zdôraznili sme význam správneho výberu odborne spôsobilého manažéra kybernetickej bezpečnosti a potrebu jednoznačne formulovaných zmluvných ustanovení. Riešili sme aj postavenie tretích strán a povinnosti s tým spojené. V nasledujúcom príspevku sa presunieme k analytickej fáze, v ktorej sa pozrieme na vypracovanie GAP analýzy, identifikáciu aktív, klasifikáciu informácií, kategorizáciu informačných systémov a analýzu rizík. V závere sumarizujeme aktuálne legislatívne procesy a metodické usmernenia vo vzťahu ku kybernetickej bezpečnosti vo verejnej správe.
Rozdielová analýza - GAP analýza
Legislatívne požiadavky v oblasti kybernetickej bezpečnosti ukladajú organizáciám povinnosť nielen zaviesť potrebné bezpečnostné opatrenia, ale aj ich priebežne vyhodnocovať a aktualizovať. Aby bolo možné efektívne naplánovať zavedenie a aktualizáciu bezpečnostných opatrení, je nevyhnutné dôkladne poznať aktuálny stav zabezpečenia informačných aktív a súvisiacich procesov v organizácii.
Ako prvý krok sa preto odporúča vykonať analýzu existujúcich nedostatkov, označovanú ako GAP analýza (z angl. gap - medzera), ktorá je známa aj pod názvami analýza medzier alebo rozdielová analýza. Jej hlavným cieľom je identifikovať rozdiely medzi legislatívne požadovaným stavom a reálne zavedenými opatreniami v organizácii.
V prostredí verejnej správy sú v tejto súvislosti zásadné predovšetkým dva legislatívne predpisy, a to:
-
zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon o kybernetickej bezpečnosti“) a
-
zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v z. n. p. (ďalej len „zákon č. 95/2019 Z.z.“),
ako aj ich nadväzujúce vykonávacie vyhlášky - najmä: