227/2025 Z.z.
VYHLÁŠKA
Národného bezpečnostného úradu
z 26. augusta 2025
o bezpečnostných opatreniach
Národný bezpečnostný úrad (ďalej len "úrad") podľa § 32 ods. 1 písm. b) zákona
č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
v znení neskorších predpisov (ďalej len "zákon") ustanovuje:
§ 1
Táto vyhláška ustanovuje obsah bezpečnostných opatrení, rozsah všeobecných
bezpečnostných opatrení pre siete a informačné systémy a operačné technológie a obsah
a štruktúru bezpečnostnej dokumentácie podľa § 20 zákona.
§ 2
Na účely tejto vyhlášky sa rozumie
a) aktívom hmotný alebo nehmotný komponent
informačnej architektúry, ktorý má pre prevádzkovateľa základnej služby hodnotu,
najmä služby, procesy, informácie alebo údaje,
b) primárnym aktívom aktívum, ktoré je nevyhnutné na dosiahnutie cieľov prevádzkovateľa
základnej služby,
c) podporným aktívom aktívum, na ktorom je závislé jedno alebo viacero primárnych
aktív,
d) bezpečnostnou politikou dokumentácia, ktorá určuje smerovanie prevádzkovateľa
základnej služby v oblasti kybernetickej bezpečnosti na úrovni riadenia a určuje
povinnosti, zodpovednosti, požiadavky, zákazy a zásady správania sa v jednotlivých
oblastiach kybernetickej bezpečnosti,
e) bezpečnostným štandardom súbor pravidiel spojených s kybernetickou bezpečnosťou,
ktoré jednotne interpretujú požiadavky bezpečnostných politík v konkrétnych situáciách,
určujú aktivity, hlavné pravidlá, zodpovednosti a organizáciu riadenia kybernetickej
bezpečnosti a ktorých účelom je vytvorenie jednotného prostredia pre dodržiavanie
bezpečnostných politík.
§ 3
(1) Bezpečnostné opatrenia tvoria opatrenia podľa § 20 ods. 4 zákona, ktoré
sú minimálne bezpečnostné opatrenia a
a) opatrenia pre oblasti kybernetickej bezpečnosti
podľa § 20 ods. 2 zákona, alebo
b) sektorové bezpečnostné opatrenia, ak sú ustanovené.
(2) Rozsah všeobecných bezpečnostných opatrení pre oblasti kybernetickej bezpečnosti
podľa § 20 ods. 2 zákona je uvedený v prílohe č. 1 a určuje sa na základe analýzy
rizík.
§ 4
(1) Bezpečnostná dokumentácia obsahuje
a) schválenú stratégiu kybernetickej
bezpečnosti určujúcu ciele, ktoré je potrebné v riadení kybernetickej bezpečnosti
dosiahnuť, spolu s uvedením základných princípov na ich dosiahnutie a určením právomocí
a zodpovedností za systémy manažérstva, riadenie rizík a aktualizáciu bezpečnostnej
dokumentácie,
b) schválené bezpečnostné politiky pre jednotlivé oblasti riadenia kybernetickej
bezpečnosti vrátane opisu súvisiacej organizačnej štruktúry, procesov a väzieb, pracovných
rolí, zodpovednosti a delenia právomocí a opisu rámca riadenia bezpečnostných rizík,
c) vykonanú klasifikáciu informácií podľa prílohy č. 2; ak prevádzkovateľ základnej
služby disponuje vlastnou metodikou pre klasifikáciu informácií, vykoná sa mapovanie
na klasifikačné stupne v súlade s prílohou č. 2,
d) určenie sietí a informačných systémov a operačných technológií do príslušnej kategórie
informačných a komunikačných technológií alebo operačných technológií; v prípade
nejednoznačnosti rozhodne o určení kategórie prevádzkovateľ základnej služby,
e) vykonanú analýzu rizík a určenie úrovne identifikovaných rizík, akceptovaných
rizík a zvyškových rizík pre aktíva spolu so zoznamom aktív,
f) zadokumentované určenie rozsahu a spôsobu prijatia, dodržiavania a vykonávania
bezpečnostných opatrení vrátane odôvodnenia neprijatia bezpečnostného opatrenia podľa
§ 5 ods. 1 písm. e),
g) poslednú záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti (ďalej
len "audit") podľa § 29 zákona,
h) iné dokumenty, ak to ustanovuje osobitný predpis.1)
(2) Zadokumentované určenie rozsahu a spôsobu podľa odseku 1 písm. f) obsahuje
najmä zoznam prijatých a neprijatých bezpečnostných opatrení a s nimi súvisiace schémy
a základné opisy
a) topológie a infraštruktúry operačných technológií,
b) topológie a infraštruktúry informačných a komunikačných technológií,
c) súvisiacej aplikačnej architektúry,
d) súvisiacej bezpečnostnej architektúry.
§ 5
(1) Riadenie rizík obsahuje
a) identifikáciu aktív postupmi podľa § 6,
b) identifikáciu rizík, ktorej súčasťou je aj opis prijatých a vykonávaných bezpečnostných
opatrení,
c) analýzu rizík; ak prevádzkovateľ základnej služby disponuje vlastnou bezpečnostnou
metodikou, vykoná sa mapovanie na úrovne rizika v súlade so štruktúrou uvedenou v
bezpečnostnej metodike zverejnenej na webovom sídle úradu,
d) hodnotenie rizík,
e) prijatie bezpečnostných opatrení v závislosti od identifikovaných rizík vrátane
informácie, ktoré bezpečnostné opatrenia sú prijaté a ktoré bezpečnostné opatrenia
nie sú prijaté spolu s odôvodnením,
f) preskúmavanie identifikovaných rizík najmenej raz ročne a v závislosti od výsledkov
aj aktualizáciu rizík a revíziu prijatých bezpečnostných opatrení.
(2) Súčasťou riadenia rizík je analýza funkčného vplyvu, ktorá pozostáva z
hodnotenia vplyvu na činnosť prevádzkovateľa základnej služby spôsobeného krízovým
scenárom, ktorý môže zasiahnuť zdroje a aktíva podporujúce procesy prevádzkovateľa
základnej služby alebo spôsobiť ohrozenie alebo narušenie kontinuity jeho služieb.
Súčasťou analýzy funkčného vplyvu je určenie cieľovej doby obnovy a cieľového bodu
obnovy.
(3) Určenie úrovne identifikovaného rizika sa vykoná vopred nastaveným súborom
pravidiel, ktoré umožnia určiť vopred definované úrovne rizika pre najhoršie scenáre.
Na určenie úrovne identifikovaného rizika podľa prvej vety sa použijú štandardné
a rovnaké metodické postupy.
(4) Scenáre rizík predstavujú špecifické situácie realizácie rizík v kontexte
vybraných aktív, pričom môžu byť kombináciou viacerých aktív, kybernetických hrozieb,
zraniteľností a ich následkov ako sled alebo kombinácia udalostí vedúcich od počiatočnej
príčiny k nežiaducemu následku kybernetického bezpečnostného incidentu.
(5) Pre potreby analýzy rizík sa prvky zoznamov aktív, hrozieb, zraniteľností
a následkov môžu združiť do jednotlivých skupín; tieto skupiny je možné použiť univerzálne
pre identifikované scenáre.
(6) Analýzou rizík podľa odseku 1 písm. c) sa určuje pravdepodobnosť vzniku
škodlivej udalosti, ktorá môže byť spôsobená zneužitím existujúcej zraniteľnosti
aktíva potenciálnymi hrozbami v spojitosti s existujúcimi bezpečnostnými opatreniami.
V rámci analýzy rizík sú identifikované následky pri narušení dôvernosti, integrity
alebo dostupnosti aktíva.
(7) Výsledky analýzy rizík a návrhy bezpečnostných opatrení v nadväznosti na
identifikované riziká preukázateľným spôsobom schvaľuje osoba podľa § 20 ods. 4 písm.
h) zákona.
§ 6
(1) Aktívum sa identifikuje a vedie v evidencii aktív. Evidencia aktív sa skladá
z identifikovateľných primárnych aktív a podporných aktív.
(2) Aktíva sa identifikujú tak, že sú jednoznačne určené hranice jednotlivých
sietí a informačných systémov a rozhrania medzi určenými hranicami.
(3) Evidencia aktív je centralizovane riadená a zodpovedá aktuálnemu stavu.
(4) Evidencia aktív sa môže skladať z textovej časti, tabuľkovej časti alebo
grafickej časti a jej súčasťou je aj označenie bezpečnostných funkcií podporných
aktív alebo odkazy na príslušnú časť bezpečnostnej dokumentácie týchto funkcií.
(5) Evidencia aktív obsahuje najmä identifikáciu a evidenciu
a) primárnych
aktív,
b) podporných aktív,
c) vlastníkov aktív,
d) zodpovedných osôb za identifikáciu a evidenciu aktív.
(6) Podporné aktívum, ktoré súvisí s viacerými primárnymi aktívami, preberá
najvyššiu hodnotu zo súvisiacich aktív.
§ 7
(1) Bezpečnostné opatrenia sa navrhujú, prijímajú a vykonávajú tak, aby ošetrili
všetky riziká identifikované v rámci vykonanej analýzy rizík, naplnili požiadavky
stratégie kybernetickej bezpečnosti, bezpečnostnej politiky a bezpečnostných opatrení
podľa § 3 až 6.
(2) Zmluva podľa § 19 ods. 2 zákona obsahuje najmä
a) záväzok dodávateľa
na výkon činnosti, ktorá priamo súvisí s dostupnosťou, dôvernosťou a integritou prevádzky
sietí a informačných systémov prevádzkovateľa základnej služby (ďalej len "tretia
strana") dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby,
b) vyjadrenie súhlasu tretej strany s uvedenými bezpečnostnými politikami,
c) ustanovenie o rozsahu, spôsobe a možnosti vykonávania kontrolných činností a auditu
prevádzkovateľom základnej služby u tretej strany,
d) ustanovenie o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom
bezpečnostnom incidente a o skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej
bezpečnosti a poskytnúť súčinnosť pri jeho riešení.
(3) Vzor bezpečnostnej dokumentácie a vzor zmluvy podľa § 19 ods. 2 zákona
sa zverejnia na webovom sídle úradu.
§ 8
Zmluva podľa § 19 ods. 2 zákona uzatvorená do 31. augusta 2025 ostáva v platnosti
najneskôr do doby pôvodne v nej dohodnutej; túto dobu nemožno po 31. auguste 2025
predĺžiť, ak už uzatvorená zmluva nie je v súlade s bezpečnostnými opatreniami podľa
§ 3 až 7. Týmto ustanovením nie je dotknutý § 34b ods. 5 zákona.
§ 9
Zrušuje sa vyhláška Národného bezpečnostného úradu č. 362/2018 Z.z., ktorou
sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie
a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z.z.
Roman Konečný v.r.
PRÍL.1
ROZSAH BEZPEČNOSTNÝCH OPATRENÍ PRE OBLASTI KYBERNETICKEJ BEZPEČNOSTI PODĽA
§ 20 ODS. 2 ZÁKONA
I---------I-----------------------------------------------------------------I---------------------I--------------------I
I Položka I Bezpečnostné opatrenia pre organizáciu a riadenie informačnej I Relevancia pre IKT* I Relevancia pre OT* I
I I bezpečnosti a kybernetickej bezpečnosti podľa § 20 ods. 2 písm. I----------I----------I---------I----------I
I I a) zákona prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 1. I manažér kybernetickej bezpečnosti predkladá návrhy I ÁNO I ÁNO I ÁNO I ÁNO I
I I bezpečnostných opatrení a oznamuje informácie v oblasti I I I I I
I I kybernetickej bezpečnosti priamo štatutárnemu orgánu I I I I I
I I prevádzkovateľa základnej služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 2. I je určená osoba zodpovedná za riadenie prístupu používateľov do I ÁNO I ÁNO I ÁNO I ÁNO I
I I siete a k informačnému systému a za prideľovanie a odoberanie I I I I I
I I prístupových práv používateľom, ich evidenciu a vedenie I I I I I
I I prevádzkových záznamov o každom prístupe do siete a I I I I I
I I informačného systému podľa príslušnej bezpečnostnej politiky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 3. I je definovaná a schválená štruktúra pre zavedenie, prevádzku a I ÁNO I ÁNO I ÁNO I ÁNO I
I I riadenie kybernetickej bezpečnosti vrátane pridelenia úloh, I I I I I
I I rolí ako aj určenie zodpovedností podľa právomocí na I I I I I
I I schvaľovanie bezpečnostných opatrení, dohľad, kontrolu, audit a I I I I I
I I vzdelávanie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 4. I je zabezpečená primeranosť zdrojov na riadenie kybernetickej I ÁNO I ÁNO I ÁNO I ÁNO I
I I bezpečnosti a vzdelávanie v oblasti kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 5. I je definovaný a zavedený systém vzdelávania a preškoľovania pre I ÁNO I ÁNO I ÁNO I ÁNO I
I I všetky roly týkajúce sa kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 6. I je uplatnená zásada najnižších privilégií, podľa ktorej sú I ÁNO I ÁNO I ÁNO I ÁNO I
I I každému používateľovi obmedzené privilégiá v najväčšom rozsahu I I I I I
I I potrebnom na splnenie pridelených úloh I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 7. I je uplatnená zásada oddeľovania zodpovedností, podľa ktorej I ÁNO I ÁNO I ÁNO I ÁNO I
I I žiaden používateľ nemá oprávnenie upravovať alebo používať I I I I I
I I aktíva prevádzkovateľa základnej služby bez autorizácie alebo I I I I I
I I overenia identity I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 8. I je uplatnená zásada vymedzenia právomoci, povinnosti a I ÁNO I ÁNO I ÁNO I ÁNO I
I I zodpovednosti, ktoré sú súčasťou pracovnej náplne alebo I I I I I
I I obdobného opisu pracovných činností I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 9. I je uplatnená zásada sprístupňovania informácií podľa zásady I ÁNO I ÁNO I ÁNO I ÁNO I
I I aktuálnej potreby poznať, podľa ktorej prístup k informáciám a I I I I I
I I ich vlastníctvo je obmedzené len na tie osoby, ktoré I I I I I
I I z dôvodu plnenia svojich úloh alebo povinností musia byť s I I I I I
I I takýmito informáciami oboznámené alebo ich spracúvajú I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 10. I štatutárny orgán sa preukázateľne zaväzuje dodržiavať I ÁNO I ÁNO I ÁNO I ÁNO I
I I povinnosti v oblasti kybernetickej bezpečnosti v súlade so I I I I I
I I stratégiou kybernetickej bezpečnosti a určenými bezpečnostnými I I I I I
I I politikami a postupmi I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 11. I je definovaný, schválený a zavedený vnútorný kontrolný systém I ÁNO I ÁNO I ÁNO I ÁNO I
I I pre oblasť kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre správu zraniteľností a I Relevancia pre IKT* I Relevancia pre OT* I
I I kybernetických hrozieb podľa § 20 ods. 2 písm. b) zákona I----------I----------I---------I----------I
I I prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 12. I je zabezpečená informovanosť o identifikovaných kybernetických I ÁNO I ÁNO I ÁNO I ÁNO I
I I hrozbách s cieľom prijať primerané bezpečnostné opatrenia I I I I I
I I vrátane kybernetických hrozieb špecifických pre informačné a I I I I I
I I komunikačné technológie a operačné technológie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 13. I sú získavané informácie o zraniteľnostiach používaných I ÁNO I ÁNO I ÁNO I ÁNO I
I I informačných systémov vrátane hodnotenia, do akej miery sú I I I I I
I I tieto systémy zraniteľné a prijímania vhodných opatrení na ich I I I I I
I I mitigáciu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 14. I je najmenej raz ročne vykonávané pravidelné posudzovanie I ÁNO I - I ÁNO I ÁNO I
I I zraniteľností I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 15. I je najmenej raz za 6 mesiacov vykonávané pravidelné I - I ÁNO I - I - I
I I posudzovanie zraniteľností I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 16. I sú určené priority aktualizácií na základe posúdenia rizík a I ÁNO I ÁNO I ÁNO I ÁNO I
I I analýzy vplyvov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 17. I na webovom sídle sú zverejnené kontaktné údaje pre nahlasovanie I - I ÁNO I - I ÁNO I
I I zistených zraniteľností I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre správu aktív a riadenie I Relevancia pre IKT* I Relevancia pre OT* I
I I kybernetických hrozieb a rizík podľa § 20 ods. 2 písm. c) I----------I----------I---------I----------I
I I zákona prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 18. I sú zdokumentované a prijaté pravidlá používania a postupy I ÁNO I ÁNO I ÁNO I ÁNO I
I I nakladania s aktívami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 19. I zamestnanci prevádzkovateľa základnej služby a zamestnanci I ÁNO I ÁNO I ÁNO I ÁNO I
I I tretích strán pri zmene alebo pri ukončení pracovného pomeru, I I I I I
I I zmluvy alebo obdobného zmluvného vzťahu preukázateľným spôsobom I I I I I
I I vracajú prevádzkovateľovi základnej služby všetky aktíva, ktoré I I I I I
I I mali zverené I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre riadenie udalostí a kybernetických I Relevancia pre IKT* I Relevancia pre OT* I
I I bezpečnostných incidentov podľa § 20 ods. 2 písm. d) zákona I----------I----------I---------I----------I
I I prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 20. I je zabezpečené plánovanie a testovanie riešenia kybernetických I ÁNO I ÁNO I ÁNO I ÁNO I
I I bezpečnostných incidentov aspoň raz za kalendárny rok a sú I I I I I
I I definované, prijaté a oznámené procesy, úlohy a zodpovednosti v I I I I I
I I oblasti riešenia kybernetických bezpečnostných incidentov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 21. I je zabezpečené posúdenie udalostí kybernetickej bezpečnosti a I ÁNO I ÁNO I ÁNO I ÁNO I
I I určenie ich priorít I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 22. I je definovaný systém reakcie na kybernetické bezpečnostné I ÁNO I ÁNO I ÁNO I ÁNO I
I I incidenty I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 23. I poznatky získané z riešených kybernetických bezpečnostných I ÁNO I ÁNO I ÁNO I ÁNO I
I I incidentov sú preukázateľne zohľadnené v procese riadenia I I I I I
I I kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 24. I sú zavedené a uplatňované postupy na identifikáciu, I ÁNO I ÁNO I ÁNO I ÁNO I
I I zhromažďovanie, získavanie a uchovávanie digitálnych stôp I I I I I
I I súvisiacich s kybernetickými bezpečnostnými incidentmi I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 25. I v prípade kybernetického bezpečnostného incidentu sú I ÁNO I ÁNO I ÁNO I ÁNO I
I I dodržiavané všetky stanovené bezpečnostné opatrenia a postupy I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 26. I sú definované a pravidelne, aspoň raz ročne testované pravidlá I ÁNO I ÁNO I ÁNO I ÁNO I
I I pre izoláciu kritických komponentov sietí, informačných I I I I I
I I systémov a operačných technológií počas kybernetického I I I I I
I I bezpečnostného incidentu; o vykonaní testovania sa vyhotovuje I I I I I
I I záznam, ktorý sa uchováva najmenej na obdobie od ukončenia I I I I I
I I posledného auditu do ukončenia nasledujúceho auditu alebo I I I I I
I I samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre riadenie kontinuity činností, I Relevancia pre IKT* I Relevancia pre OT* I
I I zálohovanie, obnovu systémov po havárii a krízové riadenie I----------I----------I---------I----------I
I I podľa § 20 ods. 2 písm. e) zákona prijíma prevádzkovateľ I PZS* I PKZS* I PZS* I PKZS* I
I I základnej služby tak, že: I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 27. I prijíma opatrenia tak, aby bola dostupnosť aktív počas I ÁNO I ÁNO I ÁNO I ÁNO I
I I kybernetického bezpečnostného incidentu primerane zabezpečená I I I I I
I I plánovaním, prijatím, udržiavaním a testovaním na základe I I I I I
I I cieľov procesu riadenia kontinuity činností a požiadaviek na I I I I I
I I obnovu prevádzky informačných technológií alebo operačných I I I I I
I I technológií po kybernetickom bezpečnostnom incidente I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 28. I sú udržiavané a pravidelne, aspoň raz ročne testované záložné I ÁNO I ÁNO I ÁNO I ÁNO I
I I kópie dát, softvéru a konfigurácie sietí, informačných systémov I I I I I
I I a operačných technológií, o vykonaní testovania sa vyhotovuje I I I I I
I I záznam, ktorý sa uchováva najmenej na obdobie od ukončenia I I I I I
I I posledného auditu do ukončenia nasledujúceho auditu alebo I I I I I
I I samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 29. I infraštruktúra sietí, informačných systémov a operačných I ÁNO I ÁNO I ÁNO I ÁNO I
I I technológií je zriadená s dostatočnou redundanciou I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 30. I komponenty operačných technológií sú schopné prepínať sa na I - I - I ÁNO I ÁNO I
I I núdzové napájanie a z núdzového napájania bez vplyvu na I I I I I
I I aktuálny stav zabezpečenia alebo na vopred definovaný obmedzený I I I I I
I I režim I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 31. I je zavedený a dodržiavaný princíp ukladania záloh do logicky, I ÁNO I - I ÁNO I - I
I I fyzicky a geograficky oddelených priestorov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 32. I je zavedený a dodržiavaný princíp spravovania záložných kópií I - I ÁNO I - I ÁNO I
I I údajov alebo konfigurácií, ktorý zabezpečuje tri kópie údajov I I I I I
I I alebo konfigurácií, na dvoch rozličných typoch médií, z ktorých I I I I I
I I jedna kópia je uložená v logicky, fyzicky a geograficky I I I I I
I I oddelenom priestore I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 33. I zálohy týkajúce sa operačných technológií sú oddelené v I - I - I - I ÁNO I
I I samostatnom zálohovacom systéme I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 34. I pre zálohy týkajúce sa operačných technológií je minimálne raz I - I - I - I ÁNO I
I I ročne vykonávaná kontrola funkčnosti záloh aspoň dvoch rôznych I I I I I
I I systémov; o kontrole funkčnosti záloh sa vyhotovuje záznam, I I I I I
I I ktorý sa uchováva najmenej na obdobie od ukončenia posledného I I I I I
I I auditu do ukončenia nasledujúceho auditu alebo samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre bezpečnosť pri nadobúdaní, vývoji a I Relevancia pre IKT* I Relevancia pre OT* I
I I údržbe siete, informačných systémov, aplikácií a konfigurácií I----------I----------I---------I----------I
I I podľa § 20 ods. 2 písm. f) zákona prijíma prevádzkovateľ I PZS* I PKZS* I PZS* I PKZS* I
I I základnej služby tak, že: I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 35. I je zabezpečené prepojenie procesov riadenia rizík a I ÁNO I ÁNO I ÁNO I ÁNO I
I I projektového riadenia počas celého životného cyklu projektov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 36. I sú prijaté opatrenia na zabránenie straty, poškodenia, krádeže I ÁNO I ÁNO I ÁNO I ÁNO I
I I alebo kompromitácie aktív a prerušeniu prevádzky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 37. I prístup k zdrojovému kódu, vývojovým technológiám a softvérovým I ÁNO I ÁNO I ÁNO I ÁNO I
I I knižniciam na čítanie a zápis je riadený I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 38. I sú prijaté bezpečnostné opatrenia s požadovanými bezpečnostnými I ÁNO I ÁNO I ÁNO I ÁNO I
I I nastaveniami tak, aby konfigurácia technických prostriedkov, I I I I I
I I programových prostriedkov, služieb a sietí nebola zmenená I I I I I
I I neoprávnenými osobami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 39. I sú odinštalované alebo zakázané služby neslúžiace na I - I ÁNO I - I ÁNO I
I I vykonávanie činností prevádzkovateľa základnej služby na I I I I I
I I podporných aktívach I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 40. I sú určené a aplikované základné parametre pre bezpečné I - I - I ÁNO I ÁNO I
I I konfigurácie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 41. I komponenty operačných technológií sú konfigurované podľa I - I - I ÁNO I ÁNO I
I I odporúčaných bezpečnostných nastavení uvedených dodávateľom I I I I I
I I komponentu operačných technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 42. I komponenty operačných technológií poskytujú rozhranie na I - I - I ÁNO I ÁNO I
I I prístup k aktuálne nasadeným bezpečnostným konfiguračným I I I I I
I I nastaveniam I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 43. I je pravidelne, aspoň raz ročne vykonávaná kontrola a I ÁNO I ÁNO I ÁNO I ÁNO I
I I aktualizácia konfigurácie komponentov sietí, informačných I I I I I
I I systémov a operačných technológií podľa vývoja hrozieb; o I I I I I
I I kontrole sa vyhotovuje záznam, ktorý sa uchováva najmenej na I I I I I
I I obdobie od ukončenia posledného auditu do ukončenia I I I I I
I I nasledujúceho auditu alebo samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 44. I sú určené a uplatnené pravidlá bezpečného vývoja softvéru a I ÁNO I ÁNO I ÁNO I ÁNO I
I I informačných systémov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 45. I sú pri vývoji alebo získavaní aplikácií identifikované a I ÁNO I ÁNO I - I - I
I I naplnené relevantné požiadavky na kybernetickú bezpečnosť I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 46. I riadiaci systém umožňuje zabráneniu ďalšieho prístupu spustením I - I - I ÁNO I ÁNO I
I I uzamknutia relácie po konfigurovateľnom čase nečinnosti alebo I I I I I
I I manuálnym uzamknutím; blokovanie relácie zostáva v platnosti, I I I I I
I I ak používateľ, ktorý reláciu vlastní, alebo iný oprávnený I I I I I
I I používateľ neobnoví prístup pomocou schválených identifikačných I I I I I
I I a autentifikačných postupov - toto opatrenie je relevantné pre I I I I I
I I komponenty zaradené do vrstiev* pre operačné technológie 3 a I I I I I
I I vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 47. I je zavedená a dodržiavaná schopnosť chrániť integritu relácií I ÁNO I ÁNO I ÁNO I ÁNO I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 48. I je automaticky odmietnuté použitie neplatných identifikátorov I ÁNO I ÁNO I ÁNO I ÁNO I
I I relácií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 49. I je zaručený bezpečný návrh, inštalácia a prevádzka sietí, I ÁNO I ÁNO I ÁNO I ÁNO I
I I informačných systémov a operačných technológií v rámci I I I I I
I I životného cyklu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 50. I v rámci životného cyklu vývoja operačných technológií sú návrhy I - I - I ÁNO I ÁNO I
I I a zmeny vykonané vo vyhradenom vývojovom prostredí I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 51. I sú definované a vykonávané procesy súvisiace s bezpečným I ÁNO I ÁNO I ÁNO I ÁNO I
I I programovaním softvéru s cieľom znížiť počet potenciálnych I I I I I
I I zraniteľností v softvéri I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 52. I sú definované a vykonávané procesy testovania bezpečnosti I ÁNO I ÁNO I ÁNO I ÁNO I
I I informačných systémov a operačných technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 53. I testovanie kybernetickej bezpečnosti je začlenené do životného I ÁNO I ÁNO I ÁNO I ÁNO I
I I cyklu vývoja a údržby sietí, informačných systémov a operačných I I I I I
I I technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 54. I sú riadené, monitorované a kontrolované činnosti súvisiace s I ÁNO I ÁNO I ÁNO I ÁNO I
I I vývojom programových prostriedkov a informačných systémov, I I I I I
I I ktoré sú dodávané treťou stranou I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 55. I vývojové, testovacie a produkčné prostredia sú vzájomne I ÁNO I ÁNO I ÁNO I ÁNO I
I I oddelené a zabezpečené I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 56. I dáta používané pre testovanie sú vhodne vyberané, chránené a I ÁNO I ÁNO I ÁNO I ÁNO I
I I spravované I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre postupy posudzovania účinnosti I Relevancia pre IKT* I Relevancia pre OT* I
I I opatrení, riadenie súladu a kontrolné činnosti podľa I----------I----------I---------I----------I
I I § 20 ods. 2 písm. g) zákona prijíma prevádzkovateľ základnej I PZS* I PKZS* I PZS* I PKZS* I
I I služby tak, že: I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 57. I je zaručený súlad s požiadavkami vyplývajúcimi zo všeobecne I ÁNO I ÁNO I - I - I
I I záväzných právnych predpisov, zmluvnými požiadavkami týkajúcimi I I I I I
I I sa kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 58. I riadenie kybernetickej bezpečnosti je nezávisle prehodnocované I ÁNO I ÁNO I ÁNO I ÁNO I
I I v plánovaných intervaloch alebo pri významných zmenách procesov I I I I I
I I alebo technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 59. I súlad so stratégiou kybernetickej bezpečnosti, bezpečnostnými I ÁNO I ÁNO I ÁNO I ÁNO I
I I politikami, bezpečnostnými štandardmi a normami je I I I I I
I I prehodnocovaný najmenej raz za kalendárny rok v plánovaných I I I I I
I I intervaloch alebo pri významných zmenách procesov alebo I I I I I
I I technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 60. I sú definované pravidlá pre výkon auditných činností a I ÁNO I ÁNO I ÁNO I ÁNO I
I I kontrolných činností v oblasti kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre kryptografické opatrenia a zásady I Relevancia pre IKT* I Relevancia pre OT* I
I I používania kryptografie podľa § 20 ods. 2 písm. h) zákona I----------I----------I---------I----------I
I I prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 61. I nastavením pravidiel pre použitie vhodných kryptografických I ÁNO I ÁNO I ÁNO I ÁNO I
I I metód je obmedzené potenciálne narušenie dôvernosti informácií I I I I I
I I vrátane osobných údajov a sú dodržiavané požiadavky vyplývajúce I I I I I
I I zo všeobecne záväzných právnych predpisov, požiadavky I I I I I
I I vyplývajúce zo zmlúv alebo v prípade certifikovaného subjektu I I I I I
I I normatívne požiadavky týkajúce sa kybernetickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 62. I sú definované a zavedené pravidlá efektívneho používania I ÁNO I ÁNO I ÁNO I ÁNO I
I I kryptografických mechanizmov vrátane správy kryptografických I I I I I
I I kľúčov a postupov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 63. I sú prijaté a aplikované postupy na pravidelné prehodnocovanie I ÁNO I ÁNO I ÁNO I ÁNO I
I I odolnosti zavedených kryptografických mechanizmov; I I I I I
I I prehodnocovanie odolnosti zavedených kryptografických I I I I I
I I mechanizmov sa vykonáva najmenej raz ročne a vyhotovuje sa o I I I I I
I I tom záznam, ktorý sa uchováva najmenej na obdobie od ukončenia I I I I I
I I posledného auditu do ukončenia nasledujúceho auditu alebo I I I I I
I I samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre bezpečnosť a spôsobilosti ľudských I Relevancia pre IKT* I Relevancia pre OT* I
I I zdrojov podľa § 20 ods. 2 písm. i) zákona prijíma I----------I----------I---------I----------I
I I prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 64. I sú určené pravidlá pre zaradenie osôb do jednotlivých I ÁNO I ÁNO I ÁNO I ÁNO I
I I pracovných rolí I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 65. I v pracovných zmluvách, zmluvách v súvislosti s iným obdobným I ÁNO I ÁNO I ÁNO I ÁNO I
I I pracovnoprávnym vzťahom alebo iných súvisiacich dokumentoch sú I I I I I
I I uvedené zodpovednosti za kybernetickú bezpečnosť I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 66. I pre všetky pracovné roly je poskytované primerané vzdelávanie, I ÁNO I ÁNO I ÁNO I ÁNO I
I I aby štatutárny orgán prevádzkovateľa základnej služby, I I I I I
I I zamestnanci prevádzkovateľa základnej služby a tretie strany I I I I I
I I mali primerané povedomie o kybernetickej bezpečnosti v oblasti I I I I I
I I informačných a operačných technológií; súčasťou školení sú aj I I I I I
I I praktické simulácie a cvičenia reakcie na kybernetické I I I I I
I I bezpečnostné incidenty I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 67. I zamestnanci prevádzkovateľa základnej služby a tretie strany sú I ÁNO I ÁNO I ÁNO I ÁNO I
I I preukázateľne oboznámení s bezpečnostnými politikami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 68. I aktualizované verzie bezpečnostných politík sú bezodkladne I ÁNO I ÁNO I ÁNO I ÁNO I
I I sprístupňované vrcholovému vedeniu prevádzkovateľa základnej I I I I I
I I služby, manažmentu prevádzkovateľa základnej služby, I I I I I
I I zamestnancom prevádzkovateľa základnej služby, a v potrebnom I I I I I
I I rozsahu aj tretej strane alebo ďalším zainteresovaným stranám I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 69. I sú formalizované disciplinárne procesy voči zamestnancom I ÁNO I ÁNO I ÁNO I ÁNO I
I I prevádzkovateľa základnej služby, ktorí sa dopustili porušenia I I I I I
I I ustanovení bezpečnostných politík prevádzkovateľa základnej I I I I I
I I služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 70. I zodpovednosti a povinnosti v oblasti kybernetickej bezpečnosti, I ÁNO I ÁNO I ÁNO I ÁNO I
I I ktoré zostávajú v platnosti aj pri zmene alebo pri ukončení I I I I I
I I pracovnoprávneho vzťahu alebo zmluvy tretej strany s I I I I I
I I prevádzkovateľom základnej služby podľa § 19 ods. 2 zákona, sú I I I I I
I I v rámci zmeny alebo ukončenia pracovnoprávneho vzťahu alebo I I I I I
I I zmluvy tretej strany s prevádzkovateľom základnej služby podľa I I I I I
I I § 19 ods. 2 zákona definované, presadzované a oznámené I I I I I
I I príslušným zamestnancom, tretím stranám alebo iným I I I I I
I I zainteresovaným stranám s cieľom chrániť záujmy prevádzkovateľa I I I I I
I I základnej služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 71. I sú určené, zdokumentované a pravidelne, najmenej raz za dva I ÁNO I ÁNO I ÁNO I ÁNO I
I I roky, preskúmavané a podpisované dohody o mlčanlivosti, ktoré I I I I I
I I odrážajú potreby prevádzkovateľa základnej služby pre I I I I I
I I zachovanie dôvernosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 72. I ak zamestnanci pracujú na diaľku, sú prijaté bezpečnostné I ÁNO I ÁNO I ÁNO I ÁNO I
I I opatrenia na ochranu informácií, ku ktorým sa pristupuje, ktoré I I I I I
I I sa spracúvajú alebo ktoré sa uchovávajú mimo priestorov I I I I I
I I prevádzkovateľa základnej služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 73. I sa používa viacfaktorové overovanie pre vzdialený prístup I ÁNO I ÁNO I ÁNO I ÁNO I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 74. I sú prijaté požiadavky na identifikáciu oprávnenosti I - I - I ÁNO I ÁNO I
I I pristupujúceho technického prostriedku a následne aj I I I I I
I I používateľa; toto opatrenie je relevantné pre komponenty I I I I I
I I zaradené do vrstiev* pre operačné technológie 3 a vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 75. I v prípade prístupu na inžinierske prostredia v rámci prostredia I - I - I - I ÁNO I
I I operačných technológií je zaistený prístup a overenie I I I I I
I I technológiou pre záznam a archiváciu úkonov externej I I I I I
I I organizácie; toto opatrenie je relevantné pre komponenty I I I I I
I I zaradené do vrstiev* pre operačné technológie 3 a vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre správu identít a prístupov podľa I Relevancia pre IKT* I Relevancia pre OT* I
I I § 20 ods. 2 písm. j) zákona prijíma prevádzkovateľ základnej I----------I----------I---------I----------I
I I služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 76. I pri riadení prístupov k sieťam a informačným systémom sú I ÁNO I ÁNO I ÁNO I ÁNO I
I I využívané technológie na správu a overovanie identity I I I I I
I I používateľa pred začiatkom jeho aktivity v rámci siete a I I I I I
I I informačného systému a technológie na riadenie prístupových I I I I I
I I oprávnení, prostredníctvom ktorých je riadený prístup k I I I I I
I I jednotlivým aplikáciám a údajom, prístup na čítanie údajov a I I I I I
I I zápis údajov a na zmeny oprávnení a prostredníctvom ktorých sa I I I I I
I I zaznamenáva použitie prístupových oprávnení I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 77. I zavedená a využívaná samostatná, oddelená technológia na I - I - I - I ÁNO I
I I riadenie prístupov v operačných technológiách I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 78. I je zaručené riadenie jednoznačných identifikátorov používateľov I ÁNO I ÁNO I ÁNO I ÁNO I
I I a systémov vrátane prístupových práv a oprávnení I I I I I
I I používateľských účtov a systémových účtov, počas celého I I I I I
I I životného cyklu identít I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 79. I každému používateľovi a systémovému účtu je pridelený I ÁNO I ÁNO I ÁNO I ÁNO I
I I jednoznačný identifikátor na autentizáciu na prístup do siete a I I I I I
I I informačného systému I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 80. I v pravidelných intervaloch, najmenej raz ročne, je vykonávaná I ÁNO I ÁNO I ÁNO I ÁNO I
I I kontrola prístupových účtov a prístupových oprávnení na I I I I I
I I overenie súladu schválených oprávnení so skutočným stavom I I I I I
I I vykonávania oprávnení vrátane detekcie a následného I I I I I
I I zneplatnenia nepoužívaných prístupových účtov; vyhotovuje sa o I I I I I
I I tom záznam, ktorý sa uchováva najmenej na obdobie od ukončenia I I I I I
I I posledného auditu do ukončenia nasledujúceho auditu alebo I I I I I
I I samohodnotenia I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 81. I je zavedené riadenie prístupov na základe rolí a zásady I - I ÁNO I ÁNO I ÁNO I
I I najnižších oprávnení pre používateľov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 82. I privilegované prístupové práva sú poskytované len oprávneným I ÁNO I ÁNO I ÁNO I ÁNO I
I I používateľom, komponentmi informačných a operačných technológií I I I I I
I I a službám podľa príslušnej politiky riadenia prístupov a práv I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 83. I prístup k aktívam je obmedzený v súlade s určenou s definovanou I ÁNO I ÁNO I ÁNO I ÁNO I
I I politikou riadenia prístupov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 84. I technológie a postupy bezpečnej autentizácie sú zavedené na I ÁNO I ÁNO I ÁNO I ÁNO I
I I základe požiadaviek na obmedzenie prístupu k informáciám podľa I I I I I
I I príslušnej politiky riadenia prístupov a práv I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 85. I používatelia majú prijaté primerané opatrenia na ochranu a I ÁNO I ÁNO I ÁNO I ÁNO I
I I udržiavanie pridelených autentifikačných prostriedkov vrátane I I I I I
I I nezdieľania autentifikačných prostriedkov s inými osobami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 86. I všetky prístupy do sietí, informačných systémov a operačných I - I - I ÁNO I ÁNO I
I I technológií z nedôveryhodných zdrojov sú riadené a monitorované I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 87. I siete, informačné systémy a operačné technológie umožňujú I - I ÁNO I - I ÁNO I
I I identifikáciu neoprávnených rádiofrekvenčných zariadení I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre bezpečnosť pri prevádzke sietí a I Relevancia pre IKT* I Relevancia pre OT* I
I I informačných systémov podľa § 20 ods. 2 písm. k) zákona prijíma I----------I----------I---------I----------I
I I prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 88. I prevádzkové postupy pre zariadenia na spracovanie informácií, I ÁNO I ÁNO I ÁNO I ÁNO I
I I siete a informačné systémy sú zdokumentované a sprístupnené I I I I I
I I zamestnancom podľa ich potreby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 89. I sa zabraňuje strate, poškodeniu alebo ohrozeniu aktív alebo I ÁNO I ÁNO I ÁNO I ÁNO I
I I prerušeniu prevádzky v dôsledku zlyhania a narušenia podporných I I I I I
I I služieb vrátane dodávky elektrickej energie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 90. I sa zabraňuje strate, poškodeniu, krádeži alebo kompromitácii I ÁNO I ÁNO I ÁNO I ÁNO I
I I aktív alebo prerušeniu prevádzky v súvislosti s narušením I I I I I
I I kabeláže elektrického napájania alebo dátových I I I I I
I I liniek I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 91. I sa zabraňuje úniku informácií zo zariadení, ktoré sa majú I ÁNO I ÁNO I ÁNO I ÁNO I
I I zlikvidovať alebo opätovne použiť; všetky prvky zariadení I I I I I
I I obsahujúce pamäťové médiá sa kontrolujú, čím sa zabezpečí, že I I I I I
I I informácie a licencovaný softvér sú bezpečne zmazané alebo I I I I I
I I prepísané ešte pred vyradením alebo opätovným použitím I I I I I
I I zariadení I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 92. I je dostupná kapacita podporných aktív I ÁNO I ÁNO I ÁNO I ÁNO I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 93. I systémový čas príslušných podporných aktív, ktoré spracúvajú I ÁNO I ÁNO I ÁNO I ÁNO I
I I informácie alebo podporujú ich spracovanie, je synchronizovaný I I I I I
I I so schválenými zdrojmi času, zohľadňujúcimi časové zóny I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 94. I používanie systémových obslužných programových prostriedkov, I ÁNO I ÁNO I ÁNO I ÁNO I
I I ktoré môžu byť schopné obísť systémové a aplikačné opatrenia, I I I I I
I I je obmedzené a kontrolované I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 95. I sú zavedené postupy a opatrenia na bezpečné riadenie inštalácie I ÁNO I ÁNO I ÁNO I ÁNO I
I I programových prostriedkov a informačných systémov do produkčnej I I I I I
I I prevádzky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 96. I zmeny procesov a systémov podliehajú schválenému procesu I ÁNO I ÁNO I ÁNO I ÁNO I
I I riadenia zmien I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 97. I je definovaný a zavedený proces riadenia výnimiek zo I ÁNO I ÁNO I ÁNO I ÁNO I
I I schválených bezpečnostných opatrení I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre ochranu proti škodlivému kódu a I Relevancia pre IKT* I Relevancia pre OT* I
I I nežiaducemu obsahu podľa § 20 ods. 2 písm. l) zákona prijíma I----------I----------I---------I----------I
I I prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 98. I je zavedená ochrana proti škodlivému kódu, ktorá je podporovaná I ÁNO I ÁNO I ÁNO I ÁNO I
I I primeraným budovaním povedomia používateľov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 99. I je zaručená pravidelná aktualizácia sietí, informačných I ÁNO I ÁNO I ÁNO I ÁNO I
I I systémov a operačných technológií s cieľom zabezpečiť minimálne I I I I I
I I narušenie bežnej prevádzky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 100. I prístup k externým internetovým zdrojom je riadený s cieľom I ÁNO I ÁNO I ÁNO I ÁNO I
I I znížiť vystavenie škodlivému obsahu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre systémovú bezpečnosť, sieťovú I Relevancia pre IKT* I Relevancia pre OT* I
I I bezpečnosť a komunikačnú bezpečnosť podľa § 20 ods. 2 písm. m) I----------I----------I---------I----------I
I I zákona prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 101. I sú vypracované a zavedené postupy na prenos informácií v rámci I ÁNO I ÁNO I ÁNO I ÁNO I
I I organizácie ako aj s tretími stranami pre všetky typy I I I I I
I I technických prostriedkov a médií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 102. I je používané šifrovanie na zabezpečenie údajov pri prenose I - I - I ÁNO I ÁNO I
I I vybraných údajov medzi systémami OT; identifikácia vybraných I I I I I
I I údajov prebieha pomocou klasifikácie informácií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 103. I je používané šifrovanie na zabezpečenie vybraných údajov pri I - I - I - I ÁNO I
I I prenose medzi a v rámci rôznych úrovní systémov OT; I I I I I
I I identifikácia vybraných údajov prebieha pomocou klasifikácie I I I I I
I I informácií - toto opatrenie je relevantné pre komponenty I I I I I
I I zaradené do vrstiev* pre operačné technológie 3 a vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 104. I na informačné systémy, siete a technické prostriedky, ktoré I ÁNO I ÁNO I ÁNO I ÁNO I
I I spracúvajú, uchovávajú alebo prenášajú chránené informácie, I I I I I
I I podľa klasifikácie informácií, sa aplikujú opatrenia na I I I I I
I I prevenciu úniku informácií vrátane zohľadnenia proprietárnych I I I I I
I I protokolov a dátových tokov; identifikácia vybraných informácií I I I I I
I I prebieha pomocou klasifikácie informácií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 105. I siete a technické prostriedky sietí sa zabezpečujú, spravujú a I ÁNO I ÁNO I ÁNO I ÁNO I
I I kontrolujú s cieľom chrániť informácie v informačných I I I I I
I I systémoch, programových prostriedkoch a mobilných aplikáciách I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 106. I sú určené, zavedené a monitorované bezpečnostné funkcie, úrovne I ÁNO I ÁNO I ÁNO I ÁNO I
I I služieb a požiadavky týkajúce sa sieťových služieb I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 107. I sú prijaté a udržiavané systémy detekcie narušenia, ktoré I - I - I ÁNO I ÁNO I
I I zohľadňujú proprietárne protokoly a dátové toky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 108. I pre komponenty operačných technológií je automaticky ukončovaná I - I - I ÁNO I ÁNO I
I I vzdialená relácia po stanovenom, konfigurovateľnom čase I I I I I
I I nečinnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 109. I je definovaná a zavedená segmentácia sietí, pričom informačné I ÁNO I ÁNO I ÁNO I ÁNO I
I I systémy so službami priamo prístupnými z externých sietí sa I I I I I
I I nachádzajú v samostatných sieťových segmentoch a v rovnakom I I I I I
I I segmente sú len informačné systémy s podobným účelom I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 110. I sú prijaté a udržiavané mechanizmy na smerovanie a filtráciu I - I - I ÁNO I ÁNO I
I I sieťovej prevádzky do a z externých sietí cez sieťový firewall I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 111. I je definovaná a zavedená logická segmentácia medzi operačnými I - I - I ÁNO I ÁNO I
I I technológiami, sieťami a informačnými systémami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 112. I je definovaná a zavedená fyzická segmentácia medzi operačnými I - I - I - I ÁNO I
I I technológiami, sieťami a informačnými systémami I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 113. I sú segmentované vybrané siete riadiaceho systému od ostatných I - I - I ÁNO I ÁNO I
I I sietí operačných technológií - toto opatrenie je relevantné pre I I I I I
I I komponenty zaradené do vrstiev* pre operačné technológie 3 a I I I I I
I I vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 114. I sieťový firewall pre operačné technológie je nezávislý od I - I - I ÁNO I ÁNO I
I I ostatných mechanizmov na smerovanie a filtráciu sieťovej I I I I I
I I prevádzky I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 115. I v sieťach určených pre operačné technológie je blokované I - I - I ÁNO I ÁNO I
I I odosielanie a prijímanie správ medzi používateľmi I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre monitorovanie, zaznamenávanie a I Relevancia pre IKT* I Relevancia pre OT* I
I I hlásenie udalostí podľa § 20 ods. 2 písm. n) zákona prijíma I----------I----------I---------I----------I
I I prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 116. I sú vytvárané a najmenej 12 mesiacov uchovávané relevantné I ÁNO I ÁNO I ÁNO I ÁNO I
I I prevádzkové a bezpečnostné logy, ktoré zachytávajú činnosti, I I I I I
I I výnimky, poruchy a iné relevantné prevádzkové a bezpečnostné I I I I I
I I udalosti, pričom bude zabránené zmene ich integrity a I I I I I
I I neoprávneným prístupom k nim I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 117. I záznamy o činnostiach obsahujú informáciu o pôvodcovi vykonanej I - I ÁNO I - I ÁNO I
I I činnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 118. I siete, informačné systémy, programové prostriedky a aplikácie I ÁNO I ÁNO I ÁNO I ÁNO I
I I sú monitorované z hľadiska nezvyčajného správania a sú prijaté I I I I I
I I vhodné opatrenia na vyhodnotenie kybernetických bezpečnostných I I I I I
I I udalostí I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 119. I siete, informačné systémy, programové prostriedky a aplikácie I - I ÁNO I - I ÁNO I
I I sú monitorované z hľadiska nezvyčajného správania a sú prijaté I I I I I
I I vhodné opatrenia na vyhodnotenie kybernetických bezpečnostných I I I I I
I I udalostí automatizovaným spôsobom I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 120. I sú prijaté a udržiavané mechanizmy overovania činností I - I - I ÁNO I ÁNO I
I I bezpečnostných funkcií a oznamovania nezvyčajného správania I I I I I
I I počas bežnej prevádzky, testovania a plánovanej údržby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre fyzickú bezpečnosť, bezpečnosť I Relevancia pre IKT* I Relevancia pre OT* I
I I prostredia a správu koncových zariadení podľa § 20 ods. 2 písm. I----------I----------I---------I----------I
I I o) zákona prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 121. I sú definované a používané bezpečnostné perimetre na ochranu I ÁNO I ÁNO I ÁNO I ÁNO I
I I oblastí, ktoré obsahujú aktíva používané v sieťach, I I I I I
I I informačných systémoch a operačných technológiách I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 122. I priestory, v ktorých sa nachádzajú riadiace a serverové súčasti I ÁNO I ÁNO I ÁNO I ÁNO I
I I informačných a operačných technológií, majú definované pravidlá I I I I I
I I fyzickej bezpečnosti I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 123. I fyzický prístup k vybraným aktívam infraštruktúry, ktoré sú I ÁNO I ÁNO I ÁNO I ÁNO I
I I klasifikované ako kritické alebo významné z hľadiska I I I I I
I I bezpečnosti a prevádzky, je povolený výhradne autorizovaným I I I I I
I I osobám I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 124. I je navrhnutá a zavedená fyzická bezpečnosť kancelárií, I ÁNO I ÁNO I ÁNO I ÁNO I
I I miestností a zariadení I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 125. I zabezpečené priestory sú nepretržite monitorované z hľadiska I ÁNO I ÁNO I ÁNO I ÁNO I
I I neoprávneného fyzického prístupu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 126. I sú monitorované všetky prístupy do zabezpečených priestorov a I ÁNO I ÁNO I ÁNO I ÁNO I
I I je zabezpečená dohľadateľnosť pohybu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 127. I sú monitorované a vizuálne zaznamenávané všetky prístupy do I - I ÁNO I - I ÁNO I
I I zabezpečených priestorov a je zabezpečená dohľadateľnosť pohybu I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 128. I je navrhnutá a zavedená ochrana pred fyzickými hrozbami a I ÁNO I ÁNO I ÁNO I ÁNO I
I I environmentálnymi hrozbami, ako sú prírodné katastrofy a iné I I I I I
I I úmyselné alebo neúmyselné ohrozenia informačných a operačných I I I I I
I I technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 129. I aktíva v zabezpečených priestoroch sú chránené pred poškodením I ÁNO I ÁNO I ÁNO I ÁNO I
I I a neoprávneným zásahom zo strany zamestnancov pracujúcich v I I I I I
I I týchto priestoroch a nepovolaných osôb I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 130. I sú definované a primerane presadzované pravidlá čistého stola I ÁNO I ÁNO I ÁNO I ÁNO I
I I pre listinné dokumenty a prenosné pamäťové médiá a pravidlá pre I I I I I
I I čisté obrazovky zariadení na spracovanie informácií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 131. I sú riadené riziká vyplývajúce z hrozieb fyzického prostredia a I ÁNO I ÁNO I ÁNO I ÁNO I
I I z neoprávneného fyzického prístupu k aktívam I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 132. I sa prijímajú opatrenia na zabránenie strate, poškodeniu, I ÁNO I ÁNO I ÁNO I ÁNO I
I I krádeži alebo kompromitácii zariadení používaných, prenášaných I I I I I
I I a uchovávaných mimo pracoviska a sú definované postupy, ak k I I I I I
I I takejto udalosti dôjde I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 133. I je regulované alebo zakázané používanie prenosných zariadení v I - I - I ÁNO I ÁNO I
I I kritických oblastiach operačných technológií I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 134. I je zabezpečené automatické presadzovanie konfigurovateľných I - I - I - I ÁNO I
I I obmedzení používania, ktoré zahŕňajú najmä zabránenie I I I I I
I I používaniu prenosných a mobilných zariadení, vyžadovanie I I I I I
I I autorizácie špecifickej pre daný kontext, obmedzenie prenosu I I I I I
I I kódu a údajov do/z prenosných a mobilných zariadení - toto I I I I I
I I opatrenie je relevantné pre komponenty zaradené do vrstiev* I I I I I
I I pre operačné technológie 3 a vyššie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 135. I je zabezpečené overenie, či prenosné alebo mobilné zariadenia, I - I - I - I ÁNO I
I I ktoré sa pokúšajú pripojiť k bezpečnostnej zóne, spĺňajú I I I I I
I I bezpečnostné požiadavky danej bezpečnostnej zóny I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 136. I pamäťové médiá sú riadené počas ich životného cyklu, t.j. I ÁNO I ÁNO I ÁNO I ÁNO I
I I počas ich získavania, používania, prepravy a likvidácie, v I I I I I
I I súlade s klasifikačnou schémou a požiadavkami na manipuláciu s I I I I I
I I nimi I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 137. I dáta uložené v koncových zariadeniach používateľov, spracúvané I ÁNO I ÁNO I ÁNO I ÁNO I
I I týmito zariadeniami alebo prístupné prostredníctvom nich, sú I I I I I
I I chránené I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 138. I informácie uložené v informačných systémoch, zariadeniach alebo I ÁNO I ÁNO I ÁNO I ÁNO I
I I na iných pamäťových médiách sú vymazané, ak už nie sú potrebné I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre ochranu záznamov, súkromia a I Relevancia pre IKT* I Relevancia pre OT* I
I I označovanie informácií podľa § 20 ods. 2 písm. p) zákona I----------I----------I---------I----------I
I I prijíma prevádzkovateľ základnej služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 139. I informácie sú klasifikované na základe potrieb prevádzkovateľa I ÁNO I ÁNO I ÁNO I ÁNO I
I I základnej služby a na základe požiadaviek na dôvernosť, I I I I I
I I integritu, dostupnosť a špecifických požiadaviek I I I I I
I I zainteresovaných strán I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 140. I dátové toky medzi jednotlivými bezpečnostnými zónami v rámci I - I - I ÁNO I ÁNO I
I I topológie systémov OT sú klasifikované na základe potrieb I I I I I
I I prevádzkovateľa základnej služby a na základe požiadaviek na I I I I I
I I dôvernosť, integritu, dostupnosť a špecifických požiadaviek I I I I I
I I zainteresovaných strán I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 141. I sú vypracované a zavedené postupy na označovanie informácií v I ÁNO I ÁNO I ÁNO I ÁNO I
I I súlade s prijatou klasifikačnou schémou I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 142. I je zabezpečený súlad so všeobecne záväznými právnymi predpismi I ÁNO I ÁNO I ÁNO I ÁNO I
I I a zmluvnými požiadavkami týkajúcimi sa práv duševného I I I I I
I I vlastníctva a používania patentovaných produktov I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 143. I záznamy sú primerane chránené pred stratou, zničením, I ÁNO I ÁNO I ÁNO I ÁNO I
I I falšovaním, neoprávneným prístupom a neoprávneným zverejnením I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 144. I je zabezpečené plnenie požiadaviek týkajúcich sa ochrany I ÁNO I ÁNO I ÁNO I ÁNO I
I I osobných údajov podľa osobitných predpisov a zmluvných I I I I I
I I požiadaviek I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I Položka I Bezpečnostné opatrenia pre dodávateľský reťazec podľa I Relevancia pre IKT* I Relevancia pre OT* I
I I § 20 ods. 2 písm. q) zákona prijíma prevádzkovateľ základnej I----------I----------I---------I----------I
I I služby tak, že: I PZS* I PKZS* I PZS* I PKZS* I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 145. I sú definované a zavedené procesy a postupy na riadenie I ÁNO I ÁNO I ÁNO I ÁNO I
I I kybernetických rizík spojených s používaním produktov, procesov I I I I I
I I alebo služieb tretích strán I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 146. I na riadenie informačnej bezpečnosti a kybernetickej bezpečnosti I ÁNO I ÁNO I ÁNO I ÁNO I
I I vo vzťahoch s tretími stranami je s každou treťou stranou s I I I I I
I I významným vplyvom uzatvorená zmluva podľa § 19 ods. 2 zákona I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 147. I uzatvoreniu zmluvy podľa § 19 ods. 2 zákona predchádza analýza I ÁNO I ÁNO I ÁNO I ÁNO I
I I rizík dodávateľských služieb alebo iných dodávateľských I I I I I
I I činností I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 148. I súčasťou zmluvy podľa § 19 ods. 2 zákona sú bezpečnostné I ÁNO I ÁNO I ÁNO I ÁNO I
I I požiadavky špecifické pre informačné a komunikačné technológie I I I I I
I I alebo operačné technológie I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 149. I bezpečnostné opatrenia sú uplatnené v dodávateľskom reťazci I ÁNO I ÁNO I ÁNO I ÁNO I
I I produktov a služieb, ktorý priamo súvisí s dostupnosťou, I I I I I
I I dôvernosťou a integritou prevádzky sietí a informačných I I I I I
I I systémov prevádzkovateľa základnej služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 150. I sú pravidelne, najmenej raz za dva roky monitorované, I ÁNO I ÁNO I ÁNO I ÁNO I
I I preskúmavané, vyhodnocované a riadené zmeny v postupoch a v I I I I I
I I poskytovaní služieb alebo iných činností tretích strán, ktoré I I I I I
I I priamo súvisia s dostupnosťou, dôvernosťou a integritou I I I I I
I I prevádzky sietí a informačných systémov prevádzkovateľa I I I I I
I I základnej služby I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
I 151. I sú špecifikované a zdokumentované minimálne bezpečnostné I ÁNO I ÁNO I ÁNO I ÁNO I
I I požiadavky pre používanie cloudových služieb a riadená I I I I I
I I kybernetická bezpečnosť pri používaní cloudových služieb I I I I I
I---------I-----------------------------------------------------------------I----------I----------I---------I----------I
Vysvetlivky:
*Vrstvami pre operačné technológie je nasledovné rozdelenie prostredí, ktoré majú vplyv na prevádzkované operačné
technológie:
vrstva 5 - celkové prostredie organizácie,
vrstva 4 - prostredie pre centrálnu správu operačných technológií,
vrstva 3 - prostredie pre prevádzku a riadenie výrobného procesu, najmä zálohovací server (historian), riadiace servery,
vrstva 2 - prostredie pre riadenie a automatizáciu procesov, najmä rozhranie človek-stroj (HMI), dispečerské riadenie a
zber dát (SCADA),
vrstva 1 - prostredie priameho riadenia, najmä programovateľné logické automaty (PLC),
vrstva 0 - fyzické prostredie, najmä senzory, akčné členy.
*PZS - prevádzkovateľ základnej služby,
PKZS - prevádzkovateľ kritickej základnej služby,
IKT - informačné a komunikačné technológie,
OT - operačné technológie,
Komponent informačnej architektúry - súčasť/prvok informačného systému, ktorý sa podieľa na jeho fungovaní,
Infraštruktúra operačných technológií - súbor všetkých technických, materiálnych a organizačných prostriedkov, ktoré sú
potrebné na zabezpečenie a realizáciu výroby.
PRÍL.2
KLASIFIKAČNÁ SCHÉMA
A. Kritériá klasifikácie informácií
Klasifikačné stupne
Klasifikačné stupne opisujú citlivosť informácií, údajov alebo ďalších s
nimi spojených informačných aktív (ďalej len "informačné aktíva") z pohľadu narušenia
ich dôvernosti, integrity a dostupnosti a odrážajú dôležitosť alebo hodnotu týchto
aktív pre procesy prevádzkovateľa základnej služby.
1. Z hľadiska dôvernosti sú klasifikačné stupne informačných aktív definované
ako
a) verejné informačné aktíva určené pre verejnosť, ktoré sú získateľné z verejných
zdrojov alebo z informácií, ktoré sú pripravené na tento účel alebo sú preklasifikované
z inej úrovne prostredníctvom vlastníka a zahŕňajú napríklad informácie z médií,
povinne publikované informácie alebo všeobecne dostupné informácie,
b) interné informačné aktíva, ktoré sú používané a prístupné pre všetkých používateľov
v rámci organizácie prevádzkovateľa základnej služby bez ohľadu na ich pracovnú rolu;
na sprístupnenie týchto aktív tretím stranám je potrebné schválenie zo strany vlastníka
informácie,
c) chránené informačné aktíva, ktoré sú používané a prístupné len určeným skupinám
oprávnených osôb a ktorých neautorizované odhalenie, prezradenie alebo zničenie môže
mať pre prevádzkovateľa základnej služby negatívny vplyv na poskytovanie služby;
prístup k údajom klasifikovaným ako "Chránené" je riadený pomocou zásady "potreby
vedieť" a zásady "najnižších privilégií" a je vymedzený výhradne vopred definovaným
a schváleným útvarom alebo iným jasne vymedzeným skupinám osôb; tretie strany majú
k týmto údajom prístup len v nevyhnutných a jednoznačne definovaných prípadoch schválených
vlastníkom,
d) prísne chránené informačné aktíva, ktoré sú používané a prístupné len jednotlivým
vybraným používateľom prevádzkovateľa základnej služby a ktorých neautorizované odhalenie,
prezradenie alebo zničenie môže mať s vysokou pravdepodobnosťou negatívny vplyv na
poskytovanie služby; prístup k údajom klasifikovaným ako "Prísne chránené" je riadený
pomocou zásady "potreby vedieť" a zásady "najnižších privilégií" a výhradne konkrétnym,
vopred definovaným a schváleným osobám; tretia strana má k týmto údajom prístup len
vo výnimočných a jednoznačne definovaných prípadoch schválených vlastníkom alebo
na základe ustanovení osobitných predpisov.
Ak nie je informačné aktívum explicitne klasifikované, je považované za interné.
2. Z hľadiska integrity sú klasifikačné stupne informačných aktív definované
ako
a) nízka zahŕňa informačné aktíva, ktorých chyba alebo nepresnosť výrazne neohrozí
poskytovanú službu,
b) stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa
základnej služby a ktorých chyba alebo nepresnosť môže spôsobiť vplyv na kontinuitu
poskytovanej služby, strategickú oblasť, trhové a operačné riziká,
c) vysoká zahŕňa vybrané kľúčové informačné aktíva, ktoré sú kritické pre činnosť
prevádzkovateľa základnej služby a ktorých chyba, nepresnosť bezprostredne ohrozuje
poskytovanú službu, s ňou spojené aktivity a dobrú povesť prevádzkovateľa základnej
služby.
3. Z hľadiska dostupnosti sú klasifikačné stupne informačných aktív definované
ako
a) nízka zahŕňa informačné aktíva prevádzkovateľa základnej služby, ktorých výpadok
výrazne neohrozí poskytovanú službu alebo pre ktoré existujú alternatívne postupy,
b) stredná zahŕňa informačné aktíva, ktoré sú dôležité pre činnosť prevádzkovateľa
základnej služby a ktorých zlyhanie môže mať vplyv na kontinuitu poskytovanej služby,
strategickú oblasť, trhové a operačné riziká,
c) vysoká zahŕňa vybrané informačné aktíva, ktoré sú kritické pre činnosť prevádzkovateľa
základnej služby a ktorých zlyhanie bezprostredne ohrozuje poskytovanú službu, s
ňou spojené aktivity a dobrú povesť prevádzkovateľa základnej služby.
Základné pravidlá klasifikácie informácií
1. Každá klasifikovaná informácia
má pridelený jeden klasifikačný stupeň dôvernosti, jeden klasifikačný stupeň integrity
a jeden klasifikačný stupeň dostupnosti.
2. Bezpečnostné informácie, nastavenia, postupy, smernice a ostatné úkony ohľadom
riadenia aktív sa klasifikujú rovnakým alebo vyšším klasifikačným stupňom, akým sú
označené informačné aktíva, ktorých riadenie opisujú.
3. Prevádzkovateľ základnej služby môže v rozsahu svojej pôsobnosti jednotlivé informačné
aktíva zaradiť do vyššieho stupňa.
PRÍL.3
ZOZNAM PREBERANÝCH PRÁVNE ZÁVÄZNÝCH AKTOV EURÓPSKEJ ÚNIE
Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 zo 14. decembra 2022
o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti
v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje
smernica (EÚ) 2016/1148 (smernica NIS 2) (Ú.v. EÚ L 333, 27.12.2022).
1) Napríklad § 6 ods. 2 vyhlášky Úradu na ochranu osobných údajov Slovenskej
republiky č. 158/2018 Z.z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov.