Pred vydaním nových vyhlášok alebo samotného zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, je vhodné priblížiť si určité opatrenia a povinnosti, ktoré je potrebné čo najskôr aplikovať v rámci organizácie. Tieto opatrenia vychádzajú z výsledkov kontrol vykonaných MIRRI. Nadväzujeme na predošlý článok a Minimálne bezpečnostné opatrenia, kde je kľúčovým aspektom určenie MKB/MKIB.
Z doposiaľ vykonaných kontrol realizovaných MIRRI je možné vyhodnotiť aj najčastejšie kontrolné zistenia, ktorými sú predovšetkým nedostatočné vzdelávanie zamestnancov v oblasti bezpečnosti informačných technológií verejnej správy, neodstraňovanie zraniteľností v informačných technológiách verejnej správy, neuvedenie kontaktného miesta na nahlasovanie incidentov kybernetickej bezpečnosti, neexistencia postupov na riešenie kybernetických bezpečnostných incidentov, a neustanovenie pracovníka zodpovedného za koordináciu kybernetickej a informačnej bezpečnosti, teda manažéra kybernetickej a informačnej bezpečnosti alebo bezpečnostného výboru.
Je potrebné si uvedomiť, že konečnú zodpovednosť za bezpečnosť a ochranu kybernetickej bezpečnosti v organizácii nesie vždy a len štatutár. Centrálny portál kybernetickej bezpečnosti (CPKB) ponúka politiky pre kybernetickú bezpečnosť a ich popis. Prinášame výsledok z vygenerovaného dokumentu „Politika kybernetickej bezpečnosti a informačnej bezpečnosti pre kategóriu I. podľa vyhlášky č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.“
Aké sú povinnosti manažéra kybernetickej bezpečnosti/manažéra kybernetickej a informačnej bezpečnosti MKB/MKIB?
Určiť pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti a určenie jeho povinnosti, zodpovednosti a právomoci
Tento pracovník je zodpovedný za predchádzanie kybernetickým bezpečnostným incidentom a minimalizáciu ich vplyvu na kontinuitu prevádzkovania služieb organizácie. Musí spĺňať znalostné štandardy pre túto funkciu a byť nezávislý od riadenia prevádzky a vývoja IT služieb.
Pracovník zodpovedný za koordináciu KB a IB najmä:
- Spolupracuje pri príprave východiskového strategického dokumentu, ktorý určuje prístup k zabezpečovaniu kybernetickej a informačnej bezpečnosti, t. j. dokumentu „Stratégia kybernetickej bezpečnosti“, a zodpovedá za jeho pravidelnú revíziu a aktualizáciu.
- Spolupracuje na vyhodnocovaní bezpečnostných cieľov v súlade s periodicitou definovanou dokumentom „Stratégia kybernetickej bezpečnosti“.
- Tvorí návrhy politík, smerníc a pravidiel pre oblasť KB a IB.
- Spolupracuje na príprave rozpočtu pre KB a IB.
- Zúčastňuje sa na analýze rizík a zabezpečuje jej aktualizáciu (riziká týkajúce sa KB/IB).
- V rámci procesu klasifikácie a evidencie informácií posudzuje odôvodnenia spracovateľov informácií a odsúhlasuje zverejnenie informácií v súlade so zákonom č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov (zákon o slobode informácií) v znení neskorších predpisov.
- Predkladá návrhy a oznamuje informácie v oblasti KB/IB priamo vedeniu organizácie.
- Spolupracuje pri implementácii nových technických riešení (IT architektúra, riadenie zmien, riadenie projektov a pod.) z pohľadu vplyvu na oblasť kybernetickej a informačnej bezpečnosti.
- Dohliada na prijímanie, dodržiavanie a preverovanie účinnosti prijatých opatrení v oblasti KB a IB.
- Spolupracuje pri uzatváraní zmlúv o zabezpečení plnenia bezpečnostných opatrení a notifikačných povinností s externým dodávateľom, ktorý poskytuje služby týkajúce sa vývoja, implementácie a prevádzky informačných systémov v správe organizácie.
- Zaisťuje, že ak dôjde ku kybernetickým bezpečnostným incidentom alebo k narušeniu dôvernosti, integrity alebo dostupnosti informačných aktív, tieto incidenty budú pohotovo a účinne vyriešené a budú ohlásené v súlade s platnou legislatívou.
- Zaisťuje, že budú prijaté opatrenia minimalizujúce možnosť opakovania kybernetických bezpečnostných incidentov.
Pracovník zodpovedný za koordináciu KB a IB spolupracuje s inými oddeleniami v mnohých oblastiach. Medzi tieto oblasti patrí vyšetrovanie a forenzné analýzy. Zaoberá sa sociálnymi a personálnymi aspektmi, napr. tzv. „background checks“. Zohráva úlohu aj pri IT architektúre, najmä z pohľadu KB/IB. Odpovedá za bezpečnostné nástroje a kontroly plnenia bezpečnostných opatrení. Riadi prístupové práva, spravuje zmeny a projekty a zodpovedá za konfiguračný manažment. Zaoberá sa riadením rizík v oblasti KB/IB. Identifikuje možné dopady relevantných hrozieb a pravdepodobnosť ich uplatnenia. Vykonáva analýzy funkčného dopadu. Riadi vzťahy s dodávateľmi, pričom dbá na dodržiavanie pravidiel KB/IB. Stanovuje a kontroluje dodržiavanie týchto pravidiel zo strany zamestnancov a dodávateľov. Zvyšuje povedomie o KB/IB a zaškoľuje či preškoľuje všetkých zamestnancov a dodávateľov. Venuje sa tiež inováciám v oblasti KB, IB a podobným činnostiam.
Pracovník zodpovedný za koordináciu KB/IB je ďalej povinný:
- pravidelne reportovať stav a výkonnosť KB/IB vedeniu organizácie,
- riadiť riešenie kybernetických bezpečnostných incidentov,
- bezodkladne hlásiť závažný kybernetický bezpečnostný incident prostredníctvom Jednotného informačného systému kybernetickej bezpečnosti,
- spolupracovať s Národným bezpečnostným úradom pri riešení hláseného kybernetického bezpečnostného incidentu a na tento účel poskytnúť potrebnú súčinnosť, ako aj vlastné informácie dôležité pre riešenie kybernetického bezpečnostného incidentu,
- v čase kybernetického bezpečnostného incidentu zabezpečiť dôkaz alebo dôkazný prostriedok tak, aby mohol byť použitý v trestnom konaní,
- oznámiť orgánu činnému v trestnom konaní alebo Policajnému zboru SR skutočnosti, že bol spáchaný trestný čin, ktorého sa kybernetický bezpečnostný incident týka,
- oznámiť a preukázať Národnému bezpečnostnému úradu vykonanie reaktívneho opatrenia a jeho výsledok v prípade, ak bolo prijaté reaktívne opatrenie,
- informovať v nevyhnutnom rozsahu tretiu stranu o hlásenom kybernetickom bezpečnostnom incidente, za predpokladu, že by sa plnenie zmluvy s treťou stranou stalo nemožným.
Tento pracovník má právo od iných organizačných útvarov organizácie žiadať doplňujúce informácie, logy, akúkoľvek súvisiacu podpornú dokumentáciu, umožnenie kontroly dodržiavania prijatých bezpečnostných opatrení kybernetickej bezpečnosti a informačnej bezpečnosti.
Základné zásady a opatrenia kybernetickej bezpečnosti a informačnej bezpečnosti
Na účely organizácie kybernetickej bezpečnosti a informačnej bezpečnosti sa uplatňuje zásada: určenia pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti
- najnižších privilégií, podľa ktorej sú každému používateľovi obmedzené privilégiá v maximálnom rozsahu potrebnom na splnenie pridelených úloh,
- oddeľovania zodpovedností, podľa ktorej žiaden používateľ nemá oprávnenie pristupovať, upravovať alebo používať informačné aktíva prevádzkovateľa základnej služby bez autorizácie alebo overenia identity,
- dodržiavania a vykonávania nezávislého hodnotenia, merania a preskúmavania efektivity a účinnosti prijatých opatrení na ošetrenie rizík,
- jasného vymedzenia právomoci, povinnosti a zodpovednosti, ktoré sú súčasťou pracovnej náplne alebo obdobného opisu pracovných činností.
V oblasti organizačných zásad KB/IB je primerane aplikovaný princíp oddeľovania výkonných a kontrolných funkcií, s cieľom minimalizovať riziko zneužitia privilégií.
Základnými opatreniami sú:
- dodržiavanie všetkých pravidiel informačnej bezpečnosti definovaných Politikou kybernetickej bezpečnosti a informačnej bezpečnosti a prípadne aj inými súvisiacimi predpismi,
- nakladať s osobnými údajmi v zmysle platných právnych predpisov,
- zachovávať mlčanlivosť o všetkých chránených skutočnostiach,
- bezpečne nakladať s IKT a ochraňovať informácie vo svojej pôsobnosti,
- zodpovedne používať pridelené prístupy v súlade s touto Politikou kybernetickej bezpečnosti a informačnej bezpečnosti a inými súvisiacimi predpismi,
- povinnosť zachovávať všetky heslá a prihlasovacie kódy v tajnosti,
- zákaz zdieľania pridelených používateľských hesiel,
- neinštalovať akýkoľvek software na hociktorý prostriedok IKT bez schválenia príslušného vedúceho zamestnanca alebo pracovníka zodpovedného za koordináciu kybernetickej bezpečnosti a informačnej bezpečnosti; platí to aj pre legálne zakúpený software alebo software zadarmo (napr. freeware),
- nekopírovať a neposielať dokumenty obsahujúce interné a dôverné informácie (vrátane osobných údajov) na súkromné a iné adresy (pokiaľ to nesúvisí s oznamovacími povinnosťami vyplývajúcimi z výkonu práce).
Zdroj: „Politika kybernetickej bezpečnosti a informačnej bezpečnosti pre kategóriu I. podľa vyhlášky č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.“ – CPKB
V praxi overený dokument pre Klasifikáciu a označovanie tried dôvernosti
Označovanie informácií a informačných médií
Označovanie informácií sa VYKONÁVA len z pohľadu dôvernosti, označovanie z pohľadu dostupnosti a integrity sa nevykonáva. Informácie sa podľa stupňa dôvernosti označujú nasledovne: verejné – neoznačuje sa, interné – neoznačuje sa, chránené – „CH“ alebo „Chránené“, vysoko chránené – „VCH“ alebo „Vysoko chránené“.
Tab. 1: Pravidlá označovania informácií
|
Forma informácií |
Označovanie informácií - uvedenie stupňa dôvernosti |
|
Papierový dokument |
Každý nezviazaný list, popis fixkou, samolepiaci štítok, pečiatka (platí len pre CH a VCH). |
|
Elektronický dokument (PDF, XLSX, DOCX) |
Päta/ záhlavie dokumentu, ak je to technologicky možné. |
|
Prenosné média (CD, DVD, USB kľúče) |
Popis fixkou, samolepiaci štítok, pečiatka (platí len pre CH a VCH). |
|
Informačné systémy (aplikácie) |
Len ak je to technologicky možné (platí len pre CH a VCH). |
Za označovanie informácií v súlade so stanovenými pravidlami a v súlade so schválenými inventarizačnými zoznamami zodpovedá: a) zamestnanec, ktorý informáciu vytvoril, b) adresát alebo zamestnanec, ktorému informácia bola pridelená na vybavenie, v prípade že ide o informáciu prijatú od tretej strany. Ak zamestnanec nedokáže informáciu zaradiť do stupňa dôvernosti, rozhoduje o stupni dôvernosti MKB.
Ochrana informácií
Vlastník informácií je v odôvodnených prípadoch oprávnený rozhodnúť o použití prísnejších pravidiel (silnejších bezpečnostných mechanizmov) na manipuláciu s informáciami. Za pravidelné prehodnocovanie a aktualizáciu pravidiel uvedených v „Minimálne bezpečnostné požiadavky na ochranu informácií“ zodpovedá MKB. Za implementáciu technických bezpečnostných opatrení zodpovedá MKB (zdroje vyčleňuje štatutár). Za zavedenie organizačných bezpečnostných opatrení zodpovedajú vlastníci informácií v spolupráci so MKB.
Tab. 2: Minimálne bezpečnostné požiadavky na ochranu informácií z hľadiska dôvernosti
|
|
Klasifikačný stupeň informácií |
|||
|
Označenie |
VCH |
CH |
I |
|
|
Prístup zamestnancov k informáciám |
– schválenie vlastníka informácií + MKB – vedenie distribučného zoznamu (asistentka štatutárneho zástupcu) |
prístup na základe potreby vyplývajúcej z pracovnej náplne; ostatné prístupy vyžadujú schválenie vlastníka informácií |
prístup na základe potreby vyplývajúcej z pracovnej náplne; ostatné prístupy vyžadujú schválenie vedúceho zamestnanca |
|
|
Prístup tretích strán k informáciám |
– schválenie vlastníka informácií + MKB – záznam o sprístupnení – podľa potreby (asistentka štatutárneho zástupcu) |
schválenie vlastníka informácií |
schválenie vedúcim úseku |
|
|
Poskytovanie informácií tretím stranám |
– schválenie vlastníka informácií + MKB – vedenie distribučného zoznamu (asistentka štatutárneho zástupcu) |
schválenie vlastníka informácií |
schválenie vedúcim úseku |
|
|
Kopírovanie informácií |
– schválenie vlastníka informácií + MKB – vedenie distribučného zoznamu (asistentka štatutárneho zástupcu) |
X |
X |
|
|
Uchovávanie informácií v papierovej forme |
uchovávanie v trezore |
– uchovávanie na takom mieste, aby bol vylúčený neautorizovaný prístup (napr. uzamykateľná skriňa/zásuvka/priestor do ktorého majú prístup osoby oprávnené pristupovať k chráneným dokumentom) |
uchovávanie na takom mieste, aby bolo vylúčené náhodné zverejnenie |
|
|
Uchovávanie informácií v elektronickej forme |
– riadenie prístupu na základe mena a hesla – šifrovanie informácií – uchovávanie informačného média v trezore |
– riadenie prístupu na základe mena a hesla – šifrovanie informácií uchovávaných na notebookoch a prenosných zariadeniach, alebo uchovávanie informačného média na takom mieste, aby bola vylúčená možnosť neautorizovaného sprístupnenia (napr. uzamykateľná skriňa, uzamykateľná zásuvka alebo iný uzamykateľný priestor v miestnosti s riadeným fyzickým prístupom) |
– zabezpečenie ochrany informácií spôsobom, pri ktorom je vylúčená možnosť ich náhodného zverejnenia – odporúčaná je ochrana riadením prístupu na základe mena a hesla |
|
|
Prenos informácií |
fax |
neprípustné |
pod dohľadom pri prijímajúcom faxe |
X |
|
telefón |
neprípustné |
neprípustné |
X |
|
|
el. pošta |
šifrovanie |
– šifrovanie el. pošty zasielanej mimo spoločnosti – šifrovanie internej el. pošty obsahujúcej osobné údaje, šifrovanie ostatnej internej el. pošty je odporúčané |
X |
|
|
ostatné el. kanály |
šifrovanie |
– šifrovanie externých el. kanálov – šifrovanie interných el. kanálov pri prenose osobných údajov, pri ostatných údajoch je šifrovanie odporúčané |
X |
|
|
ústne |
– upozorniť prijímateľa, že ide o mimoriadne citlivé informácie – neodovzdávať informácie vo verejných priestoroch |
– upozorniť prijímateľa, že ide o citlivé informácie – neodovzdávať informácie vo verejných priestoroch |
X |
|
|
Vynášanie informačných médií mimo organizácie |
– schválenie vlastníka informácií + MKB – vedenie distribučného zoznamu (asistentka štatutárneho zástupcu) |
– na základe potreby vyplývajúcej z pracovnej náplne; v opačnom prípade – schválenie vlastníka informácií |
– na základe potreby vyplývajúcej z pracovnej náplne; v opačnom prípade – schválenie vedúceho zamestnanca |
|
|
Doručovanie informačných médií mimo priestorov organizácie |
– doručovanie povereným zamestnancom alebo autorizovaným kuriérom – vyžaduje sa potvrdenie o doručení s identifikáciou príjemcu – informačné médium musí byť uložené v obálke (resp. obale), ktorá obsahuje minimálne meno a adresu prijímateľa a odosielateľa, a označenie „Do vlastných rúk“ – šifrovanie informácií prenášaných v elektronickej forme |
– doručovanie povereným zamestnancom, autorizovaným kuriérom alebo doporučenou zásielkou prostredníctvom verejného prepravcu – informačné médium musí byť uložené v obálke (resp. obale), ktorá obsahuje meno a adresu prijímateľa a odosielateľa – šifrovanie informácií prenášaných v elektronickej forme |
– doručovanie zamestnancom spoločnosti, kuriérom alebo zásielkou prostredníctvom verejného prepravcu – informačné médium musí byť uložené v obálke, resp. obale |
|
|
Doručovanie informačných médií v priestoroch organizácie |
doručovanie osobne konkrétnemu zamestnancovi |
– doručovanie osobne konkrétnemu zamestnancovi alebo prostredníctvom zalepenej obálky/obalu s menom konkrétnej osoby, pre ktorú sú informácie určené – osobné údaje doručovať osobne konkrétnemu zamestnancovi |
X |
|
|
Opätovné použitie prenosného média na iný účel (elektronická forma) |
bezpečné sformátovanie média |
– vymazanie a následné prepísanie informácií – alebo – bezpečné sformátovanie média v prípade, ak je plánované použitie média mimo priestorov spoločnosti |
vymazanie informácií |
|
|
Likvidácia informácií v elektronickej forme |
– likvidované demagnetizácia informačného obsahu – alebo – fyzickým zničením nosiča informácií prekračujúcim možnosť obnovy informačného obsahu. – likvidácia sa odporúča vykonávať v spolupráci s MKB. – protokolárna likvidácia pod dohľadom povereného zamestnanca |
– likvidované bezpečným prepísaním informačného obsahu (napr. viacnásobné prepísanie informačného obsahu, použitím nízkoúrovňového formátovania) – alebo fyzickým zničením nosiča informácií prekračujúcim možnosť obnovy informačného obsahu. – likvidácia sa odporúča vykonávať v spolupráci s MKB – poznámka: správy el. pošty sa likvidujú vymazaním a následným odstránením z vymazanej pošty (Odstránené položky) |
prepísanie alebo vymazanie informačného obsahu alebo fyzické zničenie nosiča informácií, prekračujúce možnosť obnovy informačného obsahu |
|
|
Likvidácia papierových médií |
– likvidácia zničením papierového média prekračujúcim možnosť obnovy informačného obsahu (napr. skartovaním, šrotovaním, spálením) – protokolárna likvidácia pod dohľadom povereného zamestnanca |
likvidácia zničením papierového média prekračujúcim možnosť obnovy informačného obsahu (napr. skartovaním, šrotovaním, spálením) |
odporúča sa likvidovať prostredníctvom skratkovacích zariadení |
|
|
Likvidácia informačných médií (napr. disky, magnetické pásky) |
– demagnetizácia informačného obsahu alebo fyzické zničenie nosiča informácií, prekračujúce možnosť obnovy informačného obsahu (napr. skartácia) – protokolárna likvidácia pod dohľadom povereného zamestnanca |
demagnetizácia alebo prepísanie informačného obsahu alebo fyzické zničenie nosiča informácií, prekračujúce možnosť obnovy informačného obsahu (napr. skartácia) |
prepísanie alebo vymazanie informačného obsahu alebo fyzické zničenie nosiča informácií, prekračujúce možnosť obnovy informačného obsahu |
|
|
Použitie informácií na testovanie |
– nesmú sa používať v testovacom prostredí, – výnimku schvaľuje vlastník |
– nesmú sa používať v testovacom prostredí, – výnimku schvaľuje vlastník |
môžu byť použité na testovanie |
Tab. 3: Minimálne bezpečnostné požiadavky na ochranu informácií z hľadiska dostupnosti
|
Klasifikačný stupeň |
Veľmi vysoká |
Vysoká |
Stredná |
Nízka |
|
Obnova činností |
vypracované havarijné plány / plány obnovy IS |
vypracované havarijné plány / plány obnovy IS |
vypracované plány obnovy IS |
X
|
|
Záložná lokalita |
Hot-Site / Mirror-Site |
Warm-Site |
X |
X |
|
Zálohovanie |
on-line zálohovanie celého systému vrátane údajov |
on-line zálohovanie celého systému vrátane údajov |
off-line zálohovanie celého systému vrátane údajov |
zálohovanie údajov |
|
Uloženie záložných informačných médií |
geograficky dostatočne vzdialená záložná lokalita |
geograficky dostatočne vzdialená záložná lokalita |
mimo technologických priestorov, v ktorých sú spracúvané zálohované údaje |
X |
|
Náhradné zdroje elektrickej energie |
ochrana pred výpadkami el. energie naftovým agregátom a UPS |
ochrana pred výpadkami el. energie UPS |
ochrana pred výpadkami el. energie UPS |
X |
|
Ochrana voči škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
|
Správa systému zabezpečená treťou stranou |
s treťou stranou uzatvorená SLA |
s treťou stranou uzatvorená SLA |
s treťou stranou uzatvorená SLA |
s treťou stranou sa odporúča uzatvorenie SLA |
|
Ochrana technologických priestorov – server aplikácie |
ochrana proti ohňu aktívnym hasiacim systémom a ochrana proti záplavám, klimatizácia |
ochrana proti ohňu a záplavám, klimatizácia |
ochrana proti ohňu a záplavám, klimatizácia |
riadený vstup, odporúčaná klimatizácia |
|
Ochrana priestorov – klient aplikácie |
priestor s riadeným vstupom |
priestor s riadeným vstupom |
priestor s riadeným vstupom |
X |
|
Zastupiteľnosť |
zastupiteľnosť správcu / správcov systému a kritických používateľov |
zastupiteľnosť správcu / správcov systému |
zastupiteľnosť správcu / správcov systému |
X |
Tab. 4: Minimálne bezpečnostné požiadavky na ochranu informácií z hľadiska integrity
|
Klasifikačný stupeň |
Vysoká |
Stredná |
Nízka |
|
Kontrola úplnosti a presnosti údajov |
kontrola viacerých očí a automatizované kontrolné prostriedky |
kontrola viacerých očí alebo automatizované kontrolné prostriedky |
X |
|
Identifikácia zmeny prenášaných údajov |
elektronický podpis alebo iné ochranné opatrenia integrity |
X |
X |
|
Ochrana voči škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
zavedené opatrenia proti škodlivému kódu |
|
Identifikácia modifikácie údajov |
vytváranie záznamov zmien údajov |
vytváranie záznamov minimálne o prístupe k údajom |
X |
|
Kontrola záznamov |
priebežné sledovanie auditných záznamov |
sledovanie auditných záznamov v určenom intervale nepresahujúcom 5 pracovných dní |
X |
Príklady zaradenia informácií do tried dôvernosti:
- Vysoko chránené – môžu tu byť zaradené informácie spracúvané v súlade so zákonom č. 215/2004 Z. z. o ochrane utajovaných skutočností.
- Chránené – patria tu všetky údaje, ktoré sú chránené príslušnou legislatívou SR alebo je ochrana ich dôvernosti potrebná z dôvodu ochrany obchodných záujmov spoločnosti, najmä: osobné údaje zamestnancov spoločnosti (zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov),
- Interné – patria tu všetky údaje, ktoré neboli zaradené do žiadnej triedy dôvernosti (všetky nezaradené a neoznačené údaje), najmä organizačná štruktúra organizácie, interná riadená dokumentácia (štatút, smernice, postupy, formuláre...), interné materiály spoločnosti (interné oznamy, údaje na Intranete).
- Verejné – údaje sú určené na verejnú prezentáciu, patria sem najmä povinné zverejňovanie zmlúv, faktúr a pod.
LITERATÚRA:
- www.cybercompetence.sk
- Centrálny portál kybernetickej bezpečnosti. Dostupný na: https://kyberportal.slovensko.sk/
- Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
- Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.
- Vyhláška č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy