Všeobecné predstavenie

Každý z nás sa spolieha na kritickú infraštruktúru, ako sú elektrárne, dodávky vody, energie, sietí, doprava alebo finančné služby. Zabezpečenie týchto a ďalších kritických funkcií je nevyhnutné na udržanie fungovania našej spoločnosti. Sú však aktivity, ktoré útočia na tieto základné istoty formou kybernetických útokov. Odpoveďou na tieto aktivity je zavádzanie Kybernetickej bezpečnosti ochraňujúcej systémy, siete, programy a údaje pred digitálnymi útokmi.

Koho sa o týka

Prečo je to dôležité

Medzi oblasťami kritickej infraštruktúra existujú silné závislosti. Ak je napadnutá jedna oblasť, v krátkej dobe sú postihnuté aj ostatné a štát môže byť ohrozený až stav znefunkčnenia jeho základné funkcií.

Požiadavky

Zavedenie účinnej kybernetickej ochrany je požadované cez legislatívne požiadavky:
Zákon č. 69/2018 Z. z.
Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
Vyhláška č. 436/2019 Z. z.
Vyhláška Národného bezpečnostného úradu o audite kybernetickej bezpečnosti a znalostnom štandarde audítora
Vyhláška č. 362/2018 Z. z.
Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
Vyhláška č. 166/2018 Z. z.
Vyhláška Národného bezpečnostného úradu o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov
Vyhláška č. 165/2018 Z. z.
Vyhláška Národného bezpečnostného úradu, ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
Vyhláška č. 164/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)

Čo sa zmenilo v prístupe k riadeniu bezpečnosti.

Doposiaľ spoločnosti, ktoré mali implementované základné prvky bezpečnosti ako Firewall, AV, riadenie prístupov, kryptovanie sa považovali bezpečné. Dnes tomu však nie je. Z dôvodu vysokej intenzity kybernetických útokov vzrástla aj požiadavka na kybernetickej bezpečnosti. Sú to hlavne oblasti schopnosti detekcie incidentov, ich riešenie a prvky biznis kontinuity. Vyžaduje si to peniaze ale hlavne vyškolených odborníkov kybernetickej bezpečnosti.

Základné požiadavky poskytovateľov základnej služby

• Určenie manažéra kybernetickej bezpečnosti (MKB)
• Riadenie rizík a zavedenie účinných bezpečnostných procesov vrátane Implementácie bezpečnostných opatrení
• Zmluvné ošetrenie tretích strán
• Vykonanie auditu v prípade základnej služby

Úspešný prístup ku kybernetickej bezpečnosti má viacero vrstiev ochrany aplikovaných na počítače, siete, programy alebo údaje. Implementácia týchto vrstiev sa nedá vykonávať izolovane. Je nevyhnutné, aby sa v spoločnosti navzájom dopĺňali ľudia, procesy a technológie tak, aby vytvorili skutočne účinnú obranu pred kybernetickými útokmi v zmysle požiadaviek zákona.

Naša spoločnosť má zavedený implementačný štandard, ktorý reflektuje na momentálny stav úrovne a spôsobu riadenia kybernetickej bezpečnosti na Slovensku a pritom striktne plní požiadavky zákona. Nevytvára izolovaný systém na riadenie kybernetickej bezpečnosti ale dopĺňa zavedené systémy informačnej bezpečnosti podľa ISO 27001, čím výrazne šetrí náklady na implementáciu a skracuje dobu zosúladenia sa so zákonnými požiadavkami. Obdobne ako americký štandard pre kybernetickú bezpečnosť NIST CSF celý rozsah kybernetickej bezpečnosti rozčleňuje do jednotlivých funkčných oblastí (Identifikácia, Zabezpečenie, Detekcia, Reakcia a Obnova). Také členenie ponúka spoločnostiam pochopenie a uchopiteľnosť systému a možnosť riadenia jednotlivých oblastí

Príklad súladu kybernetickej bezpečnosti v členení cez základné funkcie KB

Dobrá prax odporúča pred samotnou implementáciou začať s GAP analýzou, ktorá slúži na objektívne vyhodnotenie úrovne kybernetickej bezpečnosti v spoločnosti.

Vypracovanie a aktualizácia riadiacej, prevádzkovej dokumentácie a návrh a realizácia opatrení pozostáva:

Bezpečnostná dokumentácia:

• bezpečnostnú stratégiu kybernetickej bezpečnosti,
• bezpečnostné politiky kybernetickej bezpečnosti,
• klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
• návrh - zadokumentované vymedzenie rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení; konkrétny obsah môže byť odvodený z princípov niektorého z rámcov riadenia bezpečnostnej architektúry.

Smernice vo vzťahu ku kybernetickej bezpečnosti:

• smernica na riadenie informačnej bezpečnosti,
• smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,
• smernicu pre používanie IT systémov a služieb,
• smernicu pre správu a prevádzku IT systémov a služieb,
• smernicu pre riadenie prístupových práv,
• smernicu pre klasifikáciu a kategorizáciu informačných aktív,
• smernicu pre zálohovanie a archiváciu,
• ďalšie bezpečnostné politiky.

Bezpečnostná stratégia kybernetickej bezpečnosti sa definuje v rozsahu:

• bezpečnostných cieľov z hľadiska kybernetickej bezpečnosti, určených aj na základe vykonanej analýzy rizík,
• spôsobu vyhodnocovania bezpečnostných cieľov, kritérií vyhodnocovania dosahovania bezpečnostných cieľov, spôsobov priebežného hodnotenia ich primeranosti a spôsobov kontroly postupov využívaných na dosahovanie bezpečnostných cieľov,
• úlohy štatutárneho orgánu prevádzkovateľa základnej služby pri zabezpečovaní kybernetickej bezpečnosti a vyhlásenie o záväzku o podpore kybernetickej bezpečnosti,
• všeobecných a špecifických zodpovedností a povinností v oblasti kybernetickej bezpečnosti a určenie príslušných bezpečnostných rolí potrebných na riadenie kybernetickej bezpečnosti vrátane
• určenia rozsahov činností, kompetencií a úloh; rozdelenie rolí na riadiacu zložku, výkonnú zložku a kontrolnú zložku, pričom riadiaca zložka je priamo riadená prevádzkovateľom základnej služby a kontrolná zložka je nezlučiteľná so všetkými ostatnými zložkami,
• základného rámca na riadenie aktív podľa § 6, od ktorých závisí činnosť sietí a informačných systémov,
• základného rámca riadenia rizík podľa § 6 v súvislosti s aktívami, od ktorých závisí činnosť sietí a informačných systémov a určenie bezpečnostných opatrení podľa oblastí v zmysle § 20 ods. 3 zákona v závislosti od identifikovaných rizík,
• rozsahu a periodicity overovania stavu kybernetickej bezpečnosti prostredníctvom auditu kybernetickej bezpečnosti vrátane zhodnotenia súladu bezpečnostnej stratégie a bezpečnostných politík s požiadavkami zákona, iného všeobecne záväzného právneho predpisu, vnútorných predpisov a zmluvnými záväzkami,
• postupu a zodpovedností pri revízii bezpečnostnej dokumentácie schvaľovanej prevádzkovateľom základnej služby vrátane periodicity pravidelných revízií a jej aktualizácií po každej zmene majúcej na ňu vplyv, ako aj z dôvodov mimoriadnych revízií.

Bezpečnostná politika kybernetickej bezpečnosti (stanovenie základných cieľov a zodpovedností) v rozsahu:

• organizácia bezpečnosti:
• riadenie bezpečnostných rizík:
• riadenie informačných aktív:
• pravidlá správania a dobrej praxe:
• riadenie dodávateľských vzťahov:
• riadenie vývoja a údržby v oblasti informačno-komunikačných technológií:
• riadenie a prevádzka informačno-komunikačných technológií:
• riadenie súladu:
• riadenie kontinuity procesov a činností:

Bezpečnostné opatrenia sa prijímajú hlavne pre oblasť:

• organizácie informačnej bezpečnosti,
• riadenia aktív, hrozieb a rizík,
• personálnej bezpečnosti,
• riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,
• technických zraniteľností systémov a zariadení,
• riadenia bezpečnosti siete, informačných a komunikačných systémov,
• riadenia prevádzky,
• riadenia prístupov,
• kryptografických opatrení,
• riešenia kybernetických bezpečnostných incidentov,
• monitorovania, testovania bezpečnosti a bezpečnostných auditov,
• fyzickej bezpečnosti a bezpečnosti prostredia,
• riadenia kontinuity procesov.

Prijatie bezpečnostné opatrenia podľa prílohy č. 3. Vyhlášky na základe klasifikácie aktív a informačných systémov (klasifikácia podľa prílohy č. 2 Vyhlášky) .
Klasifikáciu informácií a kategorizáciu sietí a informačných systémov podľa § 20 ods. 2 Zákona o KB
Riadenie aktív pozostáva z identifikácie a evidencie všetkých:
Riadenie rizík, Metodika riadenia, Mitigačné opatrenia, vyhodnocovanie efektívnosti opatrení
Vyškolenie personálu v oblasti kybernetickej bezpečnosti

Benefity

• Implementácia KB so sebou prináša systematické riadenie rizík, čím sa náklady na opatrenia vynakladajú cielene podľa závažnosti rizík
• Zvýšenie kybernetická odolnosť
• Výrazne znížiť počet incidentov v spoločnosti
• Jasné rozdelenie zodpovednosti
• Poskytuje motiváciu k neustálemu zlepšovaniu
• Zabezpečenie súladu so zákonnými požiadavkami

GAP analýza slúži na objektívne vyhodnotenie úrovne kybernetickej bezpečnosti v spoločnosti. Z dôvodu objektívnosti a opakovateľnosti posúdenia úrovne boli použité nasledovné rámce:

• ISO/IEC 27001 Implementácia ISMS
• ISO/IEC 27002 Best practices ISMS
• ISO/IEC 27005 Riadenie rizík
• Zákon č. 69/2018 Z. z a doplňujúce vyhlášky

RACI matica – priradenie zodpovednosti

Počas analýzy sa identifikujú vlastníci IT procesov (Cobit RACI) a podľa metódy CMM (Capability Maturity Model) určuje zrelosť jednotlivých procesov.

Príklad definovanie RACI matice:

Hodnotenie zrelosti procesov

Hodnotenie zrelosti procesov bolo vykonané podľa metódy CMM (Capability Maturity Model) v členení podľa funkčných oblastí, ale aj podľa cieľových skupín vlastníkov a používateľov informačného systému.

Výstupy z GAP analýzy

Výstupy z GAP analýzy obsahujú v zrozumiteľnej forme úroveň informačnej bezpečnosti v spoločnosti v nasledovnom rozsahu:
Príklad plnenia požiadaviek v členení cez základné funkcie kybernetickej bezpečnosti

Príklad plnenia požiadaviek v členení cez požiadavky ZoKB

Príklad plnenia požiadaviek v členení cez požiadavky CIS CSC 20 - Opcia

Príklad plnenia požiadaviek z pohľadu NIST CSF, ZoKB CIS CSC20

Vypracovanie akčného plánu definuje odporučené aktivity na dosiahnutie súladu. Tieto aktivity sú klasifikované cez atribúty kritičnosti. Časový návrh implementácie definuje poradie implementácie odporučení a definuje celkový čas implementácie.

GAP analýza je efektívny spôsob ako naplánovať implementáciu kybernetickej bezpečnosti z pohľadu definovania zdrojov a časového plánu implementácie.

GAP sa aplikuje sa štandardne pri agendách informačnej bezpečnosti, kybernetickej bezpečnosti, Biznis kontinuite alebo ochrane osobných údajov.

Benefity

• Implementácia KB so sebou prináša systematické riadenie rizík, čím sa náklady na opatrenia vynakladajú cielene podľa závažnosti rizík
• Zvýšenie kybernetická odolnosť
• Výrazne znížiť počet incidentov v spoločnosti
• Jasné rozdelenie zodpovednosti
• Poskytuje motiváciu k neustálemu zlepšovaniu
• Zabezpečenie súladu so zákonnými požiadavkami

Dodávatelia hrajú významnú úlohu pri zabezpečovaní poskytovania základnej služby. Táto zodpovednosť je definovaná zákonom a vyhláškou. Poskytovateľ má povinnosť uistiť sa o dodržiavaných opatreniach auditom.

Ponúkame vykonanie auditu dodávateľa

• Poskytovateľovi základnej služby v zmysle zákona
• Dodávateľovi PZS, pokiaľ sa chce uistiť, že je v súlade s požiadavkami zákona

Metodika Auditu je identická ako pri audit kybernetickej bezpečnosti, len rozsah je obmedzený v zmysle zákona.

Benefity

• Pre PZS je to splnenie zákonnej povinnosti
• Pre dodávateľa uistenie sa o súlade a predchádzanie sankčných pokút zo strany PZS

AUDIT KYBERNETICKEJ BEZPEČNOSTI PODĽA ZÁKONA Č. 69/2018 Z.Z.

Predmetom ponuky je overenie plnenia povinností podľa zákona č. 69/2018 Z. z. Zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

Cieľom overenia je poskytnúť spoločnosti Štatistický úrad Slovenskej republiky a NBU, ako regulačnému orgánu, primeranú istotu v oblastiach:
Plnenie povinností podľa zákona a posudzuje sa zhoda prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby pre jednotlivé siete a informačné systémy základnej služby a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

Auditom sa identifikujú nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby s cieľom prijať opatrenia na ich odstránenie a nápravu a na predchádzanie kybernetickým bezpečnostným incidentom.

Audit pozostáva z nasledovných častí:

• príjem a spracovanie žiadosti
• určenie harmonogramu a spôsobu auditu podľa prílohy č. 3 vyhlášky 463/2019 z.z.
• určenie metód auditu podľa prílohy č. 4 vyhlášky 463/2019 z.z.
• preskúmanie bezpečnostnej dokumentácie a spracovanie kontrolného záznamu podľa Pr. č. 4 vyhlášky 463
• záverečná správa o výsledkoch auditu

+++PLUS+++ PLUS+++ PLUS+++ PLUS+++ PLUS+++ PLUS+++ PLUS+++ PLUS+++ PLUS+++

Okrem štandardných výstupov definovaných zo zákona a vyhlášky poskytujeme zákazníkom výstup vo forme plnenia jednotlivých oblastí kybernetickej bezpečnosti v členení podľa CSF NIST.
Tento prístup poskytuje jednoduchým a vizuálnym spôsobom prezentovať skutočný stav kybernetickej bezpečnosti v jednotlivých funkčných oblastiach. Takto sa stáva report uchopiteľný aj pre manažment spoločnosti bez hlbších znalostí informačnej a kybernetickej bezpečnosti.
Tento benefit je auditovanej spoločnosti poskytovaný v základnej cene auditu.

Benefity

• Hodnotenie podľa CSF NIST možno aplikovať ako rozšírenie auditu podľa 69/2018 Z.z pre každý sektor a veľkosť spoločnosti bez navýšenia ceny auditu.
• Rámec je flexibilný k rôznym produktom na trhu
• Štandard je šetrný k zdrojom, je viazaný striktne na riadenie rizík
• Aplikovaná zásada merateľnosti a zlepšovania počas implementácie aj počas prevádzky
• Tento spôsob vytvára komunikačnú maticu medzi jednotlivými oddeleniami posudzovanej organizácie poprípade s tretími stranami

Podľa zákona č. 69/2018 Z. z. PZS majú zákonnú povinnosť personalizovať rolu Manažéra kybernetickej bezpečnosti.

PZS majú dve možnosti, buď poskytnú dôveru vlastnému zamestnancovi a po pár rokoch získajú kvalitného MKB, alebo túto pozíciu zabezpečia dodávateľsky a môžu očakávať okamžité výsledky v riadení kybernetickej odolnosti spoločnosti.  

V rámci kybernetickej bezpečnosti je potrebné u PZS vykonávať rozsiahlu agendu, ktorá patrí do zodpovednosti Manažéra kybernetickej bezpečnosti a ktorého povinnosti sú definované Zákonom o kybernetickej bezpečnosti č. 69/2018 Z. z..

Kto je Manažér kybernetickej bezpečnosti?

Je to špecialista pre oblasť informačnej bezpečnosti, kybernetickej bezpečnosti a PRIVACY. Táto funkcia si okrem orientácie na oblasť kybernetickej bezpečnosti vyžaduje aj hlboké odborné znalosti, skúsenosti z legislatívy a schopnosť riadiť riziká.

Základné úlohy Manažéra kybernetickej bezpečnosti.

Ponúkame Vám nastavenie efektívneho systému kybernetickej bezpečnosti postaveného na skúsenostiach a reálnych výsledkoch.

Bavíme sa stále o rizikách. Vymenovanie nekompetentného manažéra kybernetickej bezpečnosti sa stáva rizikom. Splníte si zákonnú povinnosť ale kybernetická odolnosť ostane na rovnakom bode.