§§§
Stroj času — právny stav ku dňu
📖 Text predpisu 🕰 História verzií 3
Graf Porovnať
362/2018 História verzií

Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Kompletný prehľad všetkých verzií tohto predpisu — aké zmeny boli vykonané jednotlivými novelami, ktoré ustanovenia boli pridané, zmenené, alebo zrušené.

Oficiálne znenie v Zbierke zákonov
Konsolidované znenie

  1. 2023-09-01

    platné od 2023-09-01 do 2025-08-31 · novela 264/2023 Z. z. →
    +121 pridaných ~62 zmenených −85 zrušených

    + Pridané ustanovenia (121)

    (2) odsek

    Cieľom procesu riadenia záplat a aktualizácií je zabezpečiť konzistentné nasadzovanie potrebných softvérových opráv a aktualizácií a plošnú aplikáciu aktualizácií na zariadenia, pre ktoré je softvérová aktualizácia či záplata vydaná.

    (3) odsek

    Úlohami procesu riadenia záplat a aktualizácií sú najmä

    a) pismeno

    identifikácia potrieb softvérových záplat a aktualizácií,

    b) pismeno

    evidencia softvérových záplat a aktualizácií a informácia o ich nasadení alebo o dôvodoch ich nenasadenia,

    c) pismeno

    rozhodnutie o vhodnom prístupe k otestovaniu softvérových záplat a aktualizácií,

    d) pismeno

    zabezpečenie implementácie softvérových záplat a aktualizácií,

    e) pismeno

    aktualizácia plánu softvérových záplat a aktualizácií.

    (4) odsek

    Neschválené aktualizácie nie sú prípustné.

    a) pismeno

    určenie zodpovednosti používateľov za prevenciu pred škodlivým kódom,

    b) pismeno

    určenie pravidiel pre inštaláciu a používanie systémov prevencie škodlivého kódu,

    c) pismeno

    monitorovanie potenciálnych ciest prieniku škodlivého kódu do prostredia sietí a informačných systémov.

    a) pismeno

    v reálnom čase vykonávajú kontrolu prístupu k digitálnemu obsahu vrátane sieťovej prevádzky, sťahovania, spúšťania alebo otvárania súborov, priečinkov na vymeniteľnom alebo vzdialenom úložisku a prístupu k webovým sídlam a cloudovým službám,

    b) pismeno

    spúšťajú pravidelné kontroly úložísk vrátane cloudových a pripojených vymeniteľných úložísk, najmenej raz ročne,

    c) pismeno

    neoprávneným používateľom je zabránené v prístupe k obsahu prostredníctvom funkcie filtrovania obsahu,

    d) pismeno

    používateľom je zamedzené v pokusoch odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu.

    a) pismeno

    prostredníctvom riadenia bezpečného prístupu medzi vonkajšími a vnútornými sieťami, a to najmä využitím nástrojov na ochranu integrity sietí, ktoré sú zabezpečené segmentáciou sietí, informačné systémy so službami priamo prístupnými z externých sietí sa nachádzajú v samostatných sieťových segmentoch a v rovnakom segmente musia byť len informačné systémy s rovnakými bezpečnostnými požiadavkami, rovnakej kategórie a s podobným účelom,

    b) pismeno

    tým, že spojenia medzi segmentmi siete, ktoré sú chránené firewallom sú povoľované na princípe zásady najnižších privilégií,

    c) pismeno

    prostredníctvom bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad s použitím dvojfaktorovej autentizácie alebo použitím kryptografických prostriedkov,

    d) pismeno

    tým, že v sieťach sú umožnené len špecifikované služby umiestnené vo vyhradených segmentoch počítačovej siete,

    e) pismeno

    tým, že spojenia do externých sietí sú smerované cez sieťový firewall,

    f) pismeno

    prostredníctvom serverov dostupných z externých sietí zabezpečovaných podľa odporúčaní výrobcu,

    g) pismeno

    udržiavaním zoznamu vstupno-výstupných bodov na hranici siete v aktuálnom stave,

    h) pismeno

    použitím automatizačných prostriedkov, ktorými sú identifikované neoprávnené sieťové spojenia na hranici s vonkajšou sieťou,

    i) pismeno

    prostredníctvom blokovania neoprávnených spojení zo zdrojov identifikovaných ako škodlivé alebo spôsobujúce hrozby, ak to nastavenie informačného systému umožňuje,

    j) pismeno

    neumožnením komunikácie a prevádzky aplikácií cez neautorizované porty,

    k) pismeno

    prostredníctvom systému monitorovania bezpečnosti, ktorý je nakonfigurovaný tak, že zaznamenáva a vyhodnocuje aj informácie o sieťových paketoch na hranici siete,

    l) pismeno

    v závislosti od prostredia implementovaním systému detekcie prienikov alebo systému prevencie prienikov na identifikáciu nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky,

    m) pismeno

    prostredníctvom smerovania odchádzajúcej používateľskej sieťovej prevádzky cez autentizovaný server filtrovania obsahu,

    n) pismeno

    prostredníctvom vyžiadania použitia dvojfaktorovej autentizácie od každého vzdialeného pripojenia do internej siete,

    o) pismeno

    vykonávaním pravidelného alebo nepretržitého posudzovania technických zraniteľností, a posudzovania technických zraniteľností zariadenia, ktoré sa vzdialene pripája do internej siete, alebo zmluvného zaručenia vrátane preukázania plnenia tejto povinnosti.

    e) pismeno

    zaručiť, že je udržovaný register softvérových komponentov,

    f) pismeno

    zaručiť validáciu postupov tak, že softvérový modul neakceptuje nesprávny a neočakávaný vstup,

    g) pismeno

    zaručiť, že vo vyvíjanom softvéri je nakonfigurovaný proces logovania, ktorý umožňuje včas zachytiť systémové a bezpečnostné udalosti, s cieľom identifikovať, analyzovať a riešiť neobvyklé udalosti a podozrivé správanie v rámci sietí a informačných systémov.

    a) pismeno

    z prípravy a vypracovania štandardov a postupov riešenia kybernetických bezpečnostných incidentov,

    b) pismeno

    z monitorovania a analyzovania udalostí v sieťach a informačných systémoch,

    c) pismeno

    z detekcie kybernetických bezpečnostných incidentov,

    d) pismeno

    zo zberu relevantných informácií o kybernetických bezpečnostných incidentoch,

    e) pismeno

    z vyhodnocovania kybernetických bezpečnostných incidentov,

    f) pismeno

    z riešenia zistených kybernetických bezpečnostných incidentov a zníženia následkov zistených kybernetických bezpečnostných incidentov a

    g) pismeno

    z vyhodnocovania spôsobov riešenia kybernetických bezpečnostných incidentov po ich vyriešení a prijatia opatrení alebo zavedenia nových postupov s cieľom minimalizovať výskyt obdobných kybernetických bezpečnostných incidentov.

    (4) odsek

    Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí, ktorý umožňuje

    a) pismeno

    zber a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,

    b) pismeno

    vyhľadávanie a zoskupovanie záznamov súvisiacich s kybernetickým bezpečnostným incidentom,

    c) pismeno

    vyhodnocovanie bezpečnostných udalostí na ich identifikáciu ako kybernetických bezpečnostných incidentov,

    d) pismeno

    revíziu konfigurácie a monitorovacích pravidiel na vyhodnocovanie bezpečnostných udalostí pri nesprávne identifikovaných kybernetických bezpečnostných incidentoch.

    (5) odsek

    Proces riešenia kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom

    a) pismeno

    pridelenia zodpovednosti a určenia postupov na zvládanie kybernetických bezpečnostných incidentov,

    b) pismeno

    zavedenia procesu získavania a uchovávania podkladov potrebných na analýzu kybernetickej bezpečnostnej udalosti a kybernetického bezpečnostného incidentu,

    c) pismeno

    prijímania opatrení na odvrátenie alebo zmiernenie vplyvu kybernetického bezpečnostného incidentu,

    d) pismeno

    zavedenia pravidelného testovania, najmenej raz ročne, procesu nahlasovania kybernetických bezpečnostných incidentov, v zmysle štandardov a postupov vypracovaných podľa odseku 2, s vedením záznamov o takomto testovaní,

    e) pismeno

    vedenia záznamov o kybernetických bezpečnostných incidentoch vrátane použitých riešení,

    f) pismeno

    prešetrovania a určenia príčin vzniku kybernetického bezpečnostného incidentu,

    g) pismeno

    aktualizácie bezpečnostnej politiky a prijatia primeraných bezpečnostných opatrení zamedzujúcich opakovanému výskytu kybernetického bezpečnostného incidentu a

    h) pismeno

    určenia fyzickej osoby zodpovednej za nahlasovanie a odovzdávanie hlásení o kybernetických bezpečnostných incidentoch.

    (6) odsek

    Súčasťou evidencie kybernetických bezpečnostných incidentov sú na zabezpečenie dôkazu alebo dôkazného prostriedku aj informácie, na základe ktorých sa identifikuje vznik a pôvod kybernetického bezpečnostného incidentu.

    § 17a Bezpečnostné opatrenia podľa [§ 20 ods. 3 písm. n)] zákona paragraf
    (1) odsek

    Dôvernosť, integrita a hodnovernosť údajov v rámci sietí a informačných systémov, prostredníctvom ktorých je poskytovaná základná služba, sa zabezpečuje pomocou kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy, pričom sa určujú pravidlá kryptografickej ochrany údajov

    a) pismeno

    pri ich prenose v rámci sietí a informačných systémov a

    b) pismeno

    pri ich uložení v rámci sietí a informačných systémov.

    (2) odsek

    Systém správy kryptografických kľúčov a certifikátov je zabezpečený počas celého životného cyklu kryptografických kľúčov a certifikátov. Správa kryptografických kľúčov a certifikátov zahŕňa najmä

    a) pismeno

    bezpečné nakladanie s kryptografickými kľúčmi a certifikátmi,

    b) pismeno

    generovanie pseudonáhodných čísel a kľúčov, zriadenie, distribúciu, vkladanie, zmenu, obmedzenie platnosti, vyberanie, ukladanie a likvidáciu kľúčov a zneplatnenie certifikátov a

    c) pismeno

    umožnenie kontroly a auditu systému správy kryptografických kľúčov a certifikátov.

    § 17b Bezpečnostné opatrenia podľa [§ 20 ods. 3 písm. o)] zákona paragraf
    (1) odsek

    Prevádzkovateľ základnej služby určí požiadavky na zabezpečenie kontinuity prevádzky pre prípad vzniku kybernetického bezpečnostného incidentu.

    (2) odsek

    Riadenie kontinuity prevádzky pozostáva najmä z

    a) pismeno

    vypracovania stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonania analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu,

    b) pismeno

    vyčlenenia adekvátnych finančných, materiálno-technických a personálnych zdrojov na zabezpečenie riadenia kontinuity činností,

    c) pismeno

    určenia komunikačného plánu na plnenie havarijných plánov a plánov obnovy spolu s kontaktnými údajmi, určeniami rolí a zodpovednosti za plnenie havarijných plánov a plánov obnovy po kybernetickom bezpečnostnom incidente,

    d) pismeno

    určenia cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

    e) pismeno

    určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby,

    f) pismeno

    testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby,

    g) pismeno

    určenia plánov havarijnej obnovy a postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu.

    (3) odsek

    Postupy zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujú najmä

    a) pismeno

    frekvenciu a rozsah jej dokumentovania a schvaľovania,

    b) pismeno

    určenie osoby zodpovednej za zálohovanie,

    c) pismeno

    časový interval, identifikáciu rozsahu údajov, dátového média zálohovania a požiadavku zabezpečenia vedenia dokumentácie o zálohovaní,

    d) pismeno

    požiadavku umiestnenia záloh v zabezpečenom prostredí s riadeným prístupom,

    e) pismeno

    požiadavku zabezpečenia šifrovania záloh obsahujúcich aktíva klasifikačného stupňa „chránené“ a „prísne chránené“,

    f) pismeno

    požiadavku na vykonávanie pravidelného preverenia záloh, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

    § 17c Bezpečnostné opatrenia podľa [§ 20 ods. 3 písm. p)] zákona paragraf
    paragraf-17c.odsek-1 odsek

    Požiadavky na audit, riadenie súladu a kontrolné činnosti, s cieľom dodržiavať a vykonávať nezávislé hodnotenie, meranie a preskúmavanie efektivity a účinnosti prijatých opatrení na ošetrenie rizík sa vykonávajú najmä pravidelným a plánovaným výkonom auditu kybernetickej bezpečnosti podľa osobitného predpisu [1b)](#poznamky.poznamka-1b) a systémom vnútorného posúdenia bezpečnosti, ktorého cieľom je poskytnutie primeraného uistenia, že stav posudzovaných skutočností je v súlade s požadovanými strategickými cieľmi, politikami, štandardami, zmluvami, predpismi a postupmi organizácie a pri identifikovaní nesúladu sú prijímané opatrenia na ich odstránenie aspoň tak, že je bezpečnostné riziko znížené na prijateľnú úroveň.

    § 17d Manažér kybernetickej bezpečnosti paragraf
    paragraf-17d.odsek-1 odsek

    Prevádzkovateľom základnej služby určený manažér kybernetickej bezpečnosti

    a) pismeno

    predkladá návrhy a oznamuje informácie v oblasti informačnej a kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,

    b) pismeno

    riadi aplikáciu bezpečnostných opatrení v rámci systémov manažérstva,

    c) pismeno

    je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a

    d) pismeno

    spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti podľa osobitného predpisu. [1c)](#poznamky.poznamka-1c)

    a) pismeno

    vypracovanie zásad riadenia prístupu k informáciám,

    b) pismeno

    riadenie prístupu používateľov,

    c) pismeno

    zodpovednosť používateľov,

    d) pismeno

    riadenie prístupu k sieťam,

    e) pismeno

    prístup k operačnému systému a jeho službám,

    f) pismeno

    prístup k aplikáciám,

    g) pismeno

    monitorovanie prístupu a používania informačného systému a

    h) pismeno

    riadenie vzdialeného prístupu.

    a) pismeno

    každému používateľovi siete a informačného systému prideľuje jednoznačný identifikátor na autentizáciu na vstup do siete a informačného systému,

    b) pismeno

    zabezpečuje riadenie jednoznačných identifikátorov používateľov vrátane prístupových práv a oprávnení používateľských účtov,

    c) pismeno

    využíva nástroj na správu a overovanie identity používateľa pred začiatkom jeho aktivity v rámci siete a informačného systému a nástroj na riadenie prístupových oprávnení, prostredníctvom ktorého je riadený prístup k jednotlivým aplikáciám a údajom, prístup na čítanie a zápis údajov a na zmeny oprávnení a prostredníctvom ktorého sa zaznamenávajú použitia prístupových oprávnení,

    d) pismeno

    v pravidelných intervaloch, najmenej raz ročne, vykonáva kontrola prístupových účtov a prístupových oprávnení na overenie súladu schválených oprávnení so skutočným stavom vykonávania oprávnení, a detekcia a následné trvalé zablokovanie nepoužívaných prístupových účtov, o čom sa vedie záznam preukázateľným spôsobom,

    e) pismeno

    určí osoba zodpovedná za riadenie prístupu používateľov do siete a k informačnému systému a za prideľovanie a odoberanie prístupových práv používateľom, ich evidenciu a vedenie prevádzkových záznamov o každom prístupe do siete a informačného systému v zmysle bezpečnostnej politiky.

    (2) odsek

    Zmluva s treťou stranou obsahuje najmä

    a) pismeno

    obdobie trvania zmluvy,

    b) pismeno

    ustanovenie záväzku tretej strany dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby a vyjadrenie súhlasu s nimi,

    c) pismeno

    ustanovenie o povinnosti tretej strany chrániť informácie poskytnuté prevádzkovateľom základnej služby tretej strane,

    d) pismeno

    ustanovenie o povinnosti tretej strany dodržiavať a prijímať bezpečnostné opatrenia,

    e) pismeno

    konkrétnu špecifikáciu a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana a vyjadrenie súhlasu s nimi,

    f) pismeno

    konkrétny rozsah činnosti tretej strany,

    g) pismeno

    zoznam pracovných rolí tretej strany, ktoré majú mať prístup k informáciám a údajom prevádzkovateľa základnej služby, s povinnosťou oznámiť prevádzkovateľovi základnej služby každú zmenu v personálnom obsadení; osoba zúčastnená na predmete plnenia podpisuje vyjadrenie o zachovávaní mlčanlivosti podľa zákona,

    h) pismeno

    ustanovenie o rozsahu, spôsobe a možnosti vykonávania kontrolných činností a auditu prevádzkovateľom základnej služby u tretej strany,

    i) pismeno

    vymedzenie podmienok a možnosti zapojenia ďalšieho dodávateľa úplne alebo čiastočne zabezpečujúceho plnenie pre prevádzkovateľa základnej služby namiesto dodávateľa,

    j) pismeno

    ustanovenia o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom bezpečnostnom incidente a o skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej bezpečnosti a poskytnúť súčinnosť pri jeho riešení,

    k) pismeno

    ustanovenia o spôsobe a forme hlásenia ďalších informácií požadovaných prevádzkovateľom základnej služby na plnenie jeho povinností vyplývajúcich zo zákona a ich vymedzenie,

    l) pismeno

    ustanovenie o spôsobe a forme hlásenia informácií majúcich vplyv na zmluvu,

    m) pismeno

    ustanovenie o sankčných mechanizmoch pri porušení zmluvy,

    n) pismeno

    ustanovenia o podmienkach a spôsobe ukončenia zmluvy,

    o) pismeno

    záväzok tretej strany po ukončení zmluvného vzťahu vrátiť, previesť alebo zničiť informácie, ku ktorým mala tretia strana počas trvania zmluvného vzťahu prístup u prevádzkovateľa základnej služby,

    p) pismeno

    záväzok tretej strany najneskôr ku dňu ukončenia zmluvného vzťahu udeliť, poskytnúť, previesť alebo postúpiť potrebné licencie, práva alebo súhlasy nevyhnutné na zabezpečenie kontinuity prevádzkovanej základnej služby na prevádzkovateľa základnej služby; tento záväzok tretej strany ostáva v platnosti aj po ukončení zmluvného vzťahu po dobu dohodnutú zmluvnými stranami, ktorá nesmie byť kratšia ako päť rokov po ukončení zmluvného vzťahu.

    (3) odsek

    Zmluva s treťou stranou obsahuje bezpečnostné opatrenia najmä pre oblasť podľa [§ 20 ods. 3 písm. d)] , [g) až i)] , [k)] a [m)] zákona.

    (4) odsek

    Vývoj a akvizícia siete a informačného systému základnej služby sa uskutočňuje s ohľadom na zaistenie kompatibility s existujúcimi sieťami a informačnými systémami a zachovanie úrovne bezpečnosti ustanovenej v stratégii.

    (5) odsek

    Evidencia uzatvorených zmlúv s treťou stranou je súčasťou bezpečnostnej dokumentácie.

    ~ Zmenené ustanovenia (62)

    paragraf-1.odsek-1 textual
    − Pôvodný text

    Táto vyhláška upravuje obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, ktoré prijíma prevádzkovateľ základnej služby podľa [§ 3 písm. l) zákona] pre informačné systémy a siete, prostredníctvom ktorých zabezpečuje základnú službu podľa [§ 3 písm. k) zákona] a pre informačné systémy a siete, ktorých výpadok alebo poškodenie môže spôsobiť poškodenie alebo znemožnenie poskytovania základnej služby.

    + Nový text

    Táto vyhláška upravuje obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, ktoré prijíma prevádzkovateľ základnej služby podľa [§ 3 písm. m) zákona] pre informačné systémy a siete, prostredníctvom ktorých zabezpečuje základnú službu podľa [§ 3 písm. l) zákona] a pre informačné systémy a siete, ktorých výpadok alebo poškodenie môže spôsobiť poškodenie alebo znemožnenie poskytovania základnej služby.

    paragraf-1.odsek-3 textual
    − Pôvodný text

    Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa [§ 20 ods. 3 zákona] v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa [§ 5 až 17] .

    + Nový text

    Všeobecné bezpečnostné opatrenia sa prijímajú a zadokumentujú v bezpečnostnej dokumentácii pre všetky oblasti podľa [§ 20 ods. 3 zákona] v závislosti od kategorizácie sietí a informačných systémov a v rozsahu podľa [§ 5 až 17d] .

    paragraf-10 structural
    paragraf-10.odsek-1 semantic
    − Pôvodný text

    Riadenie bezpečnosti sietí a informačných systémov sa zabezpečuje najmenej

    + Nový text

    Riadenie bezpečnosti prevádzky sietí a informačných systémov sa zaisťuje prostredníctvom určených pravidiel, zodpovedností a postupov na

    paragraf-10.odsek-1.pismeno-a semantic
    − Pôvodný text

    riadením prístupov používateľov k sieťam a informačným systémom podľa [§ 12] ,

    + Nový text

    riadenie zmien,

    paragraf-10.odsek-1.pismeno-b semantic
    − Pôvodný text

    prostredníctvom riadenia bezpečného prístupu medzi vonkajšími a vnútornými sieťami a informačnými systémami, a to najmä využitím nástrojov na ochranu integrity sietí a informačných systémov, ktoré sú zabezpečené segmentáciou sietí a informačných systémov; servery so službami priamo prístupnými z externých sietí sa nachádzajú v samostatných sieťových segmentoch a v rovnakom segmente musia byť len servery s rovnakými bezpečnostnými požiadavkami a rovnakej bezpečnostnej triedy a s podobným účelom,

    + Nový text

    riadenie kapacít,

    paragraf-10.odsek-1.pismeno-c semantic
    − Pôvodný text

    tým, že prepojenia medzi segmentmi a externými sieťami, ktoré sú chránené firewallom a všetky spojenia sú povoľované na princípe zásady najnižších privilégií,

    + Nový text

    inštaláciu softvéru v sieťach a informačných systémoch,

    paragraf-10.odsek-1.pismeno-d semantic
    − Pôvodný text

    prostredníctvom bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a informačného systému a vzdialený prístup, napríklad bezpečným spôsobom s použitím dvojfaktorovej autentizácie alebo použitím kryptografických prostriedkov,

    + Nový text

    inštaláciu zariadení v sieťach a informačných systémoch,

    paragraf-10.odsek-1.pismeno-e semantic
    − Pôvodný text

    tým, že sieťam alebo informačným systémom sú umožnené len špecifikované služby umiestnené vo vyhradených segmentoch siete počítačovej siete,

    + Nový text

    zaznamenávanie bezpečnostných záznamov a

    paragraf-10.odsek-1.pismeno-f semantic
    − Pôvodný text

    tým, že spojenia do externých sietí sú smerované cez sieťový firewall a v závislosti od prostredia aj cez systém detekcie prienikov,

    + Nový text

    zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

    paragraf-11 structural
    paragraf-11.odsek-1 semantic
    − Pôvodný text

    Riadenie bezpečnosti prevádzky siete a informačného systému sa zaisťuje prostredníctvom určených pravidiel a postupov na

    + Nový text

    Technické zraniteľnosti informačných systémov ako celku sa identifikujú prostredníctvom

    paragraf-11.odsek-1.pismeno-a semantic
    − Pôvodný text

    riadenie zmien,

    + Nový text

    nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí,

    paragraf-11.odsek-1.pismeno-b semantic
    − Pôvodný text

    riadenie záplat a aktualizácií,

    + Nový text

    nástroja určeného na detegovanie existujúcich zraniteľností technických prostriedkov a ich častí,

    paragraf-11.odsek-1.pismeno-c semantic
    − Pôvodný text

    riadenie kapacít,

    + Nový text

    využitia verejných zoznamov a výrobcom poskytovaných zoznamov, ktoré opisujú zraniteľnosti programových a technických prostriedkov.

    paragraf-12 structural
    paragraf-12.odsek-1 semantic
    − Pôvodný text

    Riadenie prístupov osôb k sieti a informačnému systému je založené na zásade, že používateľ má prístup len k tým aktívam a funkcionalitám v rámci siete a informačného systému, ktoré sú nevyhnutné na plnenie zverených úloh používateľa. Na to sa vypracúvajú zásady riadenia prístupu osôb k sieti a informačnému systému, ktoré definujú spôsob prideľovania a odoberania prístupových práv používateľom, ich formálnu evidenciu a vedenie úplných prevádzkových záznamov o každom prístupe do siete a informačného systému.

    + Nový text

    Požiadavkami na ochranu proti škodlivému kódu sú najmä

    paragraf-12.odsek-2 semantic
    − Pôvodný text

    Riadenie prístupov k sieťam a informačným systémom sa uskutočňuje v závislosti od prevádzkových a bezpečnostných potrieb prevádzkovateľa základnej služby, pričom sú prijaté bezpečnostné opatrenia, ktoré slúžia na zabezpečenie ochrany údajov, ktoré sú používané pri prihlásení do sietí a informačných systémov a ktoré zabraňujú zneužitiu týchto údajov neoprávnenou osobou.

    + Nový text

    Systémy na ochranu proti škodlivému kódu sú nakonfigurované tak, že

    paragraf-13 structural
    paragraf-13.odsek-1 semantic
    − Pôvodný text

    Dôvernosť, integrita, dostupnosť a hodnovernosť údajov v rámci sietí a informačných systémov, prostredníctvom ktorých je poskytovaná základná služba, sa zabezpečuje pomocou kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy, pričom sa určia pravidlá kryptografickej ochrany údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov.

    + Nový text

    Sieťová a komunikačná bezpečnosť sa zabezpečuje najmä

    paragraf-14 structural
    paragraf-14.odsek-1 semantic
    − Pôvodný text

    Riešenie kybernetických bezpečnostných incidentov pozostáva najmenej

    + Nový text

    Požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami, ktorých zamýšľané a odôvodnene predvídateľné použitie zahŕňa priame alebo nepriame logické alebo fyzické dátové pripojenie k sieťam a informačným systémom sa určujú najmä zavedením pravidiel a postupov

    paragraf-14.odsek-1.pismeno-a semantic
    − Pôvodný text

    z prípravy a vypracovania štandardov a postupov riešenia kybernetických bezpečnostných incidentov,

    + Nový text

    pre riadenie systémovej, aplikačnej a bezpečnostnej architektúry, s cieľom prijať už vo fáze návrhu primerané, špecificky navrhnuté technické a organizačné opatrenia,

    paragraf-14.odsek-1.pismeno-b semantic
    − Pôvodný text

    z monitorovania a analyzovania udalostí v sieťach a informačných systémoch,

    + Nový text

    pre riadenie systémovej, aplikačnej a bezpečnostnej architektúry, s cieľom predchádzať zníženiu účinnosti štandardne implementovaných technických a organizačných bezpečnostných opatrení,

    paragraf-14.odsek-1.pismeno-c textual
    − Pôvodný text

    z detekcie kybernetických bezpečnostných incidentov,

    + Nový text

    na zabezpečenie kontroly nad verziami softvéru a zabudovaného softvéru,

    paragraf-14.odsek-1.pismeno-d semantic
    − Pôvodný text

    zo zberu relevantných informácií o kybernetických bezpečnostných incidentoch,

    + Nový text

    pre riadenie konfigurácií, ktoré predchádzajú neschváleným a nezdokumentovaným zmenám konfigurácií, s cieľom udržovania sietí a informačných systémov v požadovanom, konzistentnom a očakávanom stave ich funkcií a

    paragraf-14.odsek-1.pismeno-e semantic
    − Pôvodný text

    z vyhodnocovania kybernetických bezpečnostných incidentov,

    + Nový text

    pre vykonávanie údržby sietí a informačných systémov, ktoré zaručia vymedzenie zodpovedností a pracovných postupov, ktorých cieľom je minimalizácia hrozieb vyplývajúcich z neúmyselných chýb alebo úmyselnej manipulácie pri údržbe sietí a informačných systémov.

    paragraf-14.odsek-2 semantic
    − Pôvodný text

    Na riešenie kybernetických bezpečnostných incidentov sa vypracúvajú a pravidelne aktualizujú štandardy a postupy riešenia kybernetických bezpečnostných incidentov, ktoré obsahujú najmenej

    + Nový text

    Požiadavky na metodiku softvérového vývoja sú určené s cieľom najmä

    paragraf-14.odsek-2.pismeno-a semantic
    − Pôvodný text

    postup pri internom nahlasovaní kybernetických bezpečnostných incidentov,

    + Nový text

    začleniť bezpečnostné požiadavky a kritériá do každej fázy procesu vývoja softvéru, a to vrátane aplikačnej architektúry a koncepcií použiteľnosti softvérového produktu,

    paragraf-14.odsek-2.pismeno-b textual
    − Pôvodný text

    postup pri hlásení kybernetických bezpečnostných incidentov podľa [§ 24 ods. 1 zákona] ,

    + Nový text

    zaručiť, že sa použijú najnovšie a najbezpečnejšie verzie nástrojov a komponentov na vývoj softvéru,

    paragraf-14.odsek-2.pismeno-c textual
    − Pôvodný text

    postup pri riešení jednotlivých typov kybernetických bezpečnostných incidentov a spôsob ich vyhodnocovania a

    + Nový text

    zaručiť, že sa použijú len softvérové knižnice a komponenty, ktoré pochádzajú od dôveryhodných dodávateľov a sú aktívne podporované,

    paragraf-14.odsek-2.pismeno-d textual
    − Pôvodný text

    spôsob evidencie kybernetických bezpečnostných incidentov a použitých riešení.

    + Nový text

    zaručiť, že je kód udržateľný, konzistentný, čitateľný, efektívny a bezpečný,

    paragraf-14.odsek-3 semantic
    − Pôvodný text

    Proces detekcie kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.

    + Nový text

    Ak prevádzkovateľ základnej služby vykonáva softvérový vývoj prostredníctvom tretích strán, požiadavky podľa odseku 2 primerane prenáša na tretiu stranu zmluvou.

    paragraf-15.odsek-1 textual
    − Pôvodný text

    Monitorovanie bezpečnosti sietí a informačných systémov sa uskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho bezpečnostný dohľad nad sieťami a informačnými systémami zaznamenávaním prevádzky týchto sietí a informačných systémov, a to najmenej v rozsahu

    + Nový text

    Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa uskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami zaznamenávaním prevádzky týchto sietí a informačných systémov, a to najmenej v rozsahu

    paragraf-17 structural
    paragraf-17.odsek-1 semantic
    − Pôvodný text

    Prevádzkovateľ základnej služby určí požiadavky na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu.

    + Nový text

    Riešenie kybernetických bezpečnostných incidentov pozostáva najmä

    paragraf-17.odsek-2 semantic
    − Pôvodný text

    Riadenie kontinuity procesov pozostáva najmenej z

    + Nový text

    Na riešenie kybernetických bezpečnostných incidentov sa vypracúvajú a pravidelne aktualizujú štandardy a postupy riešenia kybernetických bezpečnostných incidentov, ktoré obsahujú najmä

    paragraf-17.odsek-2.pismeno-a semantic
    − Pôvodný text

    vypracovania stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonania analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu,

    + Nový text

    postup pri internom nahlasovaní kybernetických bezpečnostných incidentov,

    paragraf-17.odsek-2.pismeno-b textual
    − Pôvodný text

    vyčlenenia adekvátnych finančných, materiálno-technických a personálnych zdrojov na zabezpečenie riadenia kontinuity činností,

    + Nový text

    postup pri hlásení kybernetických bezpečnostných incidentov podľa [§ 24 ods. 1 zákona] ,

    paragraf-17.odsek-2.pismeno-c semantic
    − Pôvodný text

    určenia komunikačného plánu na plnenie havarijných plánov a plánov obnovy spolu s kontaktnými údajmi, určeniami rolí a zodpovednosti na plnenie havarijných plánov a plánov obnovy po kybernetickom bezpečnostnom incidente,

    + Nový text

    postup pri riešení jednotlivých typov kybernetických bezpečnostných incidentov a spôsob ich vyhodnocovania a

    paragraf-17.odsek-2.pismeno-d semantic
    − Pôvodný text

    určenia cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po uplynutí ktorej je po kybernetickom bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb,

    + Nový text

    spôsob evidencie kybernetických bezpečnostných incidentov a použitých riešení.

    paragraf-17.odsek-3 semantic
    − Pôvodný text

    Postupy zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujú najmenej

    + Nový text

    Proces detekcie kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.

    paragraf-2.odsek-1.pismeno-a textual
    − Pôvodný text

    schválenú bezpečnostnú stratégiu kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej bezpečnosti,

    + Nový text

    schválenú stratégiu kybernetickej bezpečnosti a bezpečnostné politiky kybernetickej bezpečnosti,

    paragraf-3 structural
    paragraf-3.odsek-1 textual
    − Pôvodný text

    Bezpečnostná stratégia kybernetickej bezpečnosti určuje ciele, ktoré je potrebné na základe výsledkov analýzy rizík kybernetickej bezpečnosti dosiahnuť, spolu s uvedením základných princípov na ich dosiahnutie a určením právomocí a zodpovedností za riadenie kybernetickej bezpečnosti, riadenie rizík kybernetickej bezpečnosti a aktualizáciu bezpečnostnej dokumentácie.

    + Nový text

    Stratégia kybernetickej bezpečnosti určuje ciele, ktoré je potrebné na základe výsledkov analýzy rizík kybernetickej bezpečnosti dosiahnuť, spolu s uvedením základných princípov na ich dosiahnutie a určením právomocí a zodpovedností za systémy manažérstva, [1)](#poznamky.poznamka-1) riadenie rizík kybernetickej bezpečnosti a aktualizáciu bezpečnostnej dokumentácie.

    paragraf-3.odsek-2 textual
    − Pôvodný text

    Bezpečnostná stratégia kybernetickej bezpečnosti môže byť prijatá samostatne alebo aj ako jedna z bezpečnostných politík kybernetickej bezpečnosti.

    + Nový text

    Stratégia môže byť prijatá samostatne alebo aj ako jedna z bezpečnostných politík.

    paragraf-3.odsek-3 textual
    − Pôvodný text

    Na základe bezpečnostnej stratégie kybernetickej bezpečnosti sa prijímajú bezpečnostné politiky kybernetickej bezpečnosti podľa [prílohy č. 1] .

    + Nový text

    Na základe stratégie sa prijímajú bezpečnostné politiky podľa [prílohy č. 1] .

    paragraf-5 structural
    paragraf-5.odsek-1 textual
    − Pôvodný text

    Na účely organizácie kybernetickej bezpečnosti sa uplatňuje najmenej zásada

    + Nový text

    Na organizáciu kybernetickej bezpečnosti sa uplatňuje najmä zásada

    paragraf-5.odsek-1.pismeno-a semantic
    − Pôvodný text

    určenia manažéra kybernetickej bezpečnosti, ktorý

    + Nový text

    najnižších privilégií, podľa ktorej sú každému používateľovi obmedzené privilégiá v najväčšom rozsahu potrebnom na splnenie pridelených úloh,

    paragraf-5.odsek-1.pismeno-b textual
    − Pôvodný text

    najnižších privilégií, podľa ktorej sú každému používateľovi obmedzené privilégiá v maximálnom rozsahu potrebnom na splnenie pridelených úloh,

    + Nový text

    oddeľovania zodpovedností, podľa ktorej žiaden používateľ nemá oprávnenie upravovať alebo používať aktíva prevádzkovateľa základnej služby bez autorizácie alebo overenia identity,

    paragraf-5.odsek-1.pismeno-c semantic
    − Pôvodný text

    oddeľovania zodpovedností, podľa ktorej žiaden používateľ nemá oprávnenie pristupovať, upravovať alebo používať aktíva prevádzkovateľa základnej služby bez autorizácie alebo overenia identity,

    + Nový text

    vymedzenia právomoci, povinnosti a zodpovednosti, ktoré sú súčasťou pracovnej náplne alebo obdobného opisu pracovných činností,

    paragraf-5.odsek-1.pismeno-d semantic
    − Pôvodný text

    dodržiavania a vykonávania nezávislého hodnotenia, merania a preskúmavania efektivity a účinnosti prijatých opatrení na ošetrenie rizík,

    + Nový text

    sprístupňovania informácií podľa zásady aktuálnej potreby poznať, podľa ktorej prístup k informáciám a ich vlastníctvo je obmedzené len na tie osoby, ktoré z dôvodu plnenia svojich úloh alebo povinností musia byť s takýmito informáciami oboznámené alebo ich spracúvajú.

    paragraf-6.odsek-1 textual
    − Pôvodný text

    Riadenie aktív, hrozieb a rizík je proces spojený s finančnými, zmluvnými a inventarizačnými funkciami na podporu riadenia životného cyklu informačných technológií a konfiguračných položiek. Účelom riadenia aktív, hrozieb a rizík je zabezpečiť ochranu aktív podľa ich hodnoty.

    + Nový text

    Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti je proces spojený s finančnými, zmluvnými a inventarizačnými funkciami na podporu riadenia životného cyklu informačných technológií a konfiguračných položiek. Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti musí zabezpečiť ochranu aktív podľa ich hodnoty.

    paragraf-7.odsek-1.pismeno-h textual
    − Pôvodný text

    z vykonania poučenia o manipulácii s informáciami pre osoby, ktoré vykonávajú činnosť alebo sa oboznamujú s informáciami podľa osobitného predpisu. [1)](#poznamky.poznamka-1)

    + Nový text

    z vykonania poučenia o manipulácii s informáciami pre osoby, ktoré vykonávajú činnosť alebo sa oboznamujú s informáciami podľa osobitného predpisu. [1a)](#poznamky.poznamka-1a)

    paragraf-8 structural
    paragraf-8.odsek-1 semantic
    − Pôvodný text

    Na riadenie dodávateľských služieb, akvizície, vývoja a údržby informačných systémov sa pri uzatvorení zmluvy s treťou stranou podľa [§ 19 ods. 2 zákona] analyzujú riziká dodávateľských služieb, akvizície, vývoja a údržby informačných systémov spôsobom podľa [§ 6] .

    + Nový text

    Riadenie prístupov osôb k sieti a informačnému systému je založené na zásade, že používateľ má prístup len k tým aktívam a funkcionalitám v rámci siete a informačného systému, ktoré sú nevyhnutné na plnenie zverených úloh používateľa. Na tento účel sa vypracúvajú zásady riadenia prístupu osôb k sieti a informačnému systému, ktoré definujú spôsob prideľovania a odoberania prístupových práv používateľom, ich evidenciu a vedenie prevádzkových záznamov o každom prístupe do siete a informačného systému.

    paragraf-8.odsek-2 semantic
    − Pôvodný text

    Zmluva s treťou stranou obsahuje najmenej

    + Nový text

    Riadenie prístupov k sieťam a informačným systémom sa uskutočňuje v závislosti od prevádzkových a bezpečnostných potrieb prevádzkovateľa základnej služby, pričom sú prijaté bezpečnostné opatrenia, ktoré slúžia na zabezpečenie ochrany údajov, ktoré sú používané pri prihlásení do sietí a informačných systémov a ktoré zabraňujú zneužitiu týchto údajov neoprávnenou osobou.

    paragraf-8.odsek-3 semantic
    − Pôvodný text

    Zmluva s treťou stranou obsahuje bezpečnostné opatrenia najmenej pre oblasť podľa [§ 20 ods. 3 písm. e), f)] , [h)] , [j) a k)] zákona.

    + Nový text

    Riadenie prístupov osôb k sieti a informačnému systému zahŕňa najmä

    paragraf-8.odsek-4 semantic
    − Pôvodný text

    Vývoj a akvizícia siete a informačného systému základnej služby sa uskutočňuje s ohľadom na zaistenie kompatibility s existujúcimi sieťami a informačnými systémami a zachovanie úrovne bezpečnosti ustanovenej v bezpečnostnej stratégii.

    + Nový text

    Pri riadení prístupov k sieťam a informačným systémom sa

    paragraf-9 structural
    paragraf-9.odsek-1 semantic
    − Pôvodný text

    Technické zraniteľnosti informačných systémov ako celku sa identifikujú prostredníctvom

    + Nový text

    Na riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami sa pri uzatvorení zmluvy s treťou stranou podľa [§ 19 ods. 2 zákona] analyzujú riziká dodávateľských služieb, spôsobom podľa [§ 6] .

    − Zrušené ustanovenia (85)

    g) pismeno

    prostredníctvom serverov dostupných z externých sietí zabezpečovaných podľa odporúčaní výrobcu,

    h) pismeno

    udržiavaním zoznamu všetkých vstupno-výstupných bodov na hranici siete v aktuálnom stave,

    i) pismeno

    použitím automatizačných prostriedkov, ktorými sú identifikované neoprávnené sieťové spojenia na hranici s vonkajšou sieťou,

    j) pismeno

    prostredníctvom blokovania neoprávnených spojení zo známych adries označených ako škodlivé alebo spôsobujúce známe hrozby, ak to nastavenie informačného systému umožňuje,

    k) pismeno

    neumožnením komunikácie a prevádzky aplikácií cez neautorizované porty,

    l) pismeno

    prostredníctvom systému monitorovania bezpečnosti, ktorý je nakonfigurovaný tak, že zaznamenáva a vyhodnocuje aj informácie o sieťových paketoch na hranici siete,

    m) pismeno

    implementovaním systému detekcie prienikov alebo systému prevencie prienikov na identifikáciu nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky,

    n) pismeno

    prostredníctvom smerovania odchádzajúcej používateľskej sieťovej prevádzky cez autentizovaný server filtrovania obsahu,

    o) pismeno

    prostredníctvom vyžiadania použitia dvojfaktorovej autentizácie od každého vzdialeného pripojenia do internej siete,

    p) pismeno

    vykonávaním pravidelného alebo nepretržitého posudzovania technických zraniteľností, najmä identifikácie možnej prítomnosti škodlivého kódu zariadenia, ktoré sa vzdialene pripája do internej siete, alebo zmluvného zaručenia vrátane preukázania plnenia tejto povinnosti.

    d) pismeno

    pravidelné zálohovanie a testovanie obnovy informácií zo záloh,

    e) pismeno

    ochranu pred škodlivým kódom,

    f) pismeno

    inštaláciu softvéru v sieťach a informačných systémoch,

    g) pismeno

    inštaláciu zariadení v sieťach a informačných systémoch a

    h) pismeno

    zaznamenávanie a vyhodnocovanie prevádzkových a bezpečnostných záznamov.

    (3) odsek

    Riadenie prístupov osôb k sieti a informačnému systému zahŕňa najmenej

    a) pismeno

    vypracovanie zásad riadenia prístupu k informáciám,

    b) pismeno

    riadenie prístupu používateľov,

    c) pismeno

    zodpovednosť používateľov,

    d) pismeno

    riadenie prístupu k sieťam,

    e) pismeno

    prístup k operačnému systému a jeho službám,

    f) pismeno

    prístup k aplikáciám,

    g) pismeno

    monitorovanie prístupu a používania informačného systému a

    h) pismeno

    riadenie vzdialeného prístupu.

    (4) odsek

    V rámci riadenia prístupov k sieťam podľa odseku 3 písm. d) sa

    a) pismeno

    každému používateľovi siete a informačného systému prideľuje jednoznačný identifikátor na autentizáciu na vstup do siete a informačného systému,

    b) pismeno

    zabezpečuje riadenie jednoznačných identifikátorov používateľov vrátane prístupových práv a oprávnení používateľských účtov,

    c) pismeno

    využíva nástroj na správu a overovanie identity používateľa pred začiatkom jeho aktivity v rámci siete a informačného systému a nástroj na riadenie prístupových oprávnení, prostredníctvom ktorého je riadený prístup k jednotlivým aplikáciám a údajom, prístup na čítanie a zápis údajov a na zmeny oprávnení a prostredníctvom ktorého sa zaznamenávajú použitia prístupových oprávnení (prevádzkové záznamy),

    d) pismeno

    v pravidelných intervaloch vykonáva kontrola prístupových účtov a prístupových oprávnení na overenie súladu schválených oprávnení so skutočným stavom oprávnení a detekciu a následné zmazanie nepoužívaných prístupových účtov,

    e) pismeno

    určí osoba zodpovedná za riadenie prístupu používateľov do siete a k informačnému systému a za prideľovanie a odoberanie prístupových práv používateľom, ich formálnu evidenciu a vedenie úplných prevádzkových záznamov o každom prístupe do siete a informačného systému v zmysle príslušnej bezpečnostnej politiky.

    (2) odsek

    Systém správy kryptografických kľúčov a certifikátov je zabezpečený počas celého životného cyklu kryptografických kľúčov a certifikátov. Správa kryptografických kľúčov a certifikátov zahŕňa najmenej:

    a) pismeno

    bezpečné nakladanie s kryptografickými kľúčmi a certifikátmi,

    b) pismeno

    generovanie pseudonáhodných čísel a kľúčov, zriadenie, distribúciu, vkladanie, zmenu, obmedzenie platnosti, vyberanie, ukladanie a likvidáciu kľúčov a zneplatnenie certifikátov,

    c) pismeno

    umožnenie kontroly a auditu.

    f) pismeno

    z riešenia zistených kybernetických bezpečnostných incidentov a zníženia následkov zistených kybernetických bezpečnostných incidentov a

    g) pismeno

    z vyhodnocovania spôsobov riešenia kybernetických bezpečnostných incidentov po ich vyriešení a prijatia opatrení alebo zavedenie nových postupov s cieľom minimalizovať výskyt obdobných kybernetických bezpečnostných incidentov.

    (4) odsek

    Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí, ktorý umožňuje

    a) pismeno

    zber a vyhodnocovanie informácií o kybernetických bezpečnostných incidentoch,

    b) pismeno

    vyhľadávanie a zoskupovanie záznamov súvisiacich s kybernetický bezpečnostným incidentom,

    c) pismeno

    vyhodnocovanie bezpečnostných udalostí na ich identifikáciu ako kybernetických bezpečnostných incidentov,

    d) pismeno

    revíziu konfigurácie a monitorovacích pravidiel na vyhodnocovanie bezpečnostných udalostí pri nesprávne identifikovaných kybernetických bezpečnostných incidentoch.

    (5) odsek

    Proces riešenia kybernetických bezpečnostných incidentov sa zabezpečuje prostredníctvom

    a) pismeno

    pridelenia zodpovednosti a určenia postupov na zvládanie kybernetických bezpečnostných incidentov,

    b) pismeno

    zavedenia procesu získavania a uchovávania podkladov potrebných na analýzu kybernetickej bezpečnostnej udalosti a kybernetického bezpečnostného incidentu,

    c) pismeno

    prijímania opatrení na odvrátenie alebo zmiernenie dopadu kybernetického bezpečnostného incidentu,

    d) pismeno

    zavedenia procesu nahlasovania kybernetických bezpečnostných incidentov,

    e) pismeno

    vedenia záznamov o kybernetických bezpečnostných incidentoch vrátane použitých riešení,

    f) pismeno

    prešetrovania a určenia príčin vzniku kybernetického bezpečnostného incidentu aktualizáciou bezpečnostnej politiky a prijatia primeraných bezpečnostných opatrení zamedzujúcich jeho opakovanému výskytu a

    g) pismeno

    určenia osoby zodpovednej za nahlasovanie a odovzdávanie hlásení o kybernetických bezpečnostných incidentoch do jednotného informačného systému kybernetickej bezpečnosti, ktoré nastali alebo sa prejavili v rámci siete alebo informačného systému základnej služby.

    (6) odsek

    Súčasťou evidencie kybernetických bezpečnostných incidentov sa na zabezpečenie dôkazu alebo dôkazného prostriedku evidujú aj informácie identifikujúce kybernetický bezpečnostný incident ako napríklad lokalita, hostname, MAC adresy, IP adresy, identifikačné údaje všetkých zariadení a zúčastnených osôb a dátum, čas manipulácie s údajmi a vymedzenie miesta ich uloženia.

    (5) odsek

    Zhoda sietí a informačných systémov základnej služby s požiadavkami na zabezpečenie kybernetickej bezpečnosti týchto sietí a informačných systémov, monitorovanie účinnosti bezpečnostných opatrení a vyhodnotenie aktuálnosti bezpečnostnej dokumentácie sa zisťuje prostredníctvom auditu kybernetickej bezpečnosti.

    e) pismeno

    určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby,

    f) pismeno

    testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby,

    g) pismeno

    určenia plánov havarijnej obnovy a postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu.

    a) pismeno

    frekvenciu a rozsah jej dokumentovania a schvaľovania,

    b) pismeno

    určenie osoby zodpovednej za zálohovanie,

    c) pismeno

    časový interval, identifikáciu rozsahu údajov, dátového média zálohovania a požiadavku zabezpečenia vedenia dokumentácie o zálohovaní,

    d) pismeno

    požiadavku umiestnenia záloh v zabezpečenom prostredí s riadeným prístupom,

    e) pismeno

    požiadavku zabezpečenia šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené,

    f) pismeno

    požiadavku na vykonávanie pravidelného preverenia záloh, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

    1. bod

    má možnosť predkladať návrhy a oznamovať informácie v oblasti kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,

    2. bod

    zabezpečuje aplikáciu bezpečnostných opatrení v systéme riadenia kybernetickej bezpečnosti,

    3. bod

    je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií a

    4. bod

    spĺňa znalostné štandardy na funkciu manažéra kybernetickej bezpečnosti podľa osobitného predpisu,

    e) pismeno

    jasného vymedzenia právomoci, povinnosti a zodpovednosti, ktoré sú súčasťou pracovnej náplne alebo obdobného opisu pracovných činností.

    a) pismeno

    obdobie trvania zmluvy,

    b) pismeno

    ustanovenie záväzku tretej strany dodržiavať bezpečnostné politiky prevádzkovateľa základnej služby a vyjadrenie súhlasu s nimi,

    c) pismeno

    ustanovenie o povinnosti chrániť všetky informácie poskytnuté prevádzkovateľom základnej služby tretej strane,

    d) pismeno

    ustanovenie o povinnosti dodržiavať a prijímať bezpečnostné opatrenia treťou stranou,

    e) pismeno

    konkrétnu špecifikáciu a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana a vyjadrenie súhlasu s nimi,

    f) pismeno

    konkrétny rozsah činnosti tretej strany,

    g) pismeno

    zoznam pracovných rolí tretej strany, ktoré majú mať prístup k informáciám a údajom prevádzkovateľa základnej služby, s povinnosťou oznámiť prevádzkovateľovi základnej služby každú zmenu v personálnom obsadení; osoba zúčastnená na predmete plnenia podpisuje vyjadrenie o zachovávaní mlčanlivosti podľa [§ 12 ods. 1 zákona] ,

    h) pismeno

    ustanovenie o rozsahu, spôsobu a možnosti vykonávania kontrolných činností a auditu prevádzkovateľom základnej služby v tretej strane,

    i) pismeno

    vymedzenie podmienok a možnosti zapojenia ďalšieho dodávateľa úplne alebo čiastočne zabezpečujúceho plnenie pre prevádzkovateľa základnej služby namiesto dodávateľa,

    j) pismeno

    ustanovenia o povinnosti informovať prevádzkovateľa základnej služby o kybernetickom bezpečnostnom incidente a o všetkých skutočnostiach majúcich vplyv na zabezpečovanie kybernetickej bezpečnosti,

    k) pismeno

    ustanovenia o spôsobe a forme hlásenia ďalších informácií požadovaných prevádzkovateľom základnej služby na plnenie jeho povinností vyplývajúcich zo zákona a ich vymedzenie,

    l) pismeno

    ustanovenie o spôsobe a forme hlásenia všetkých informácií majúcich vplyv na zmluvu,

    m) pismeno

    ustanovenie o sankčných mechanizmoch pri porušení zmluvy,

    n) pismeno

    ustanovenia o podmienkach a spôsobe ukončenia zmluvy,

    o) pismeno

    záväzok tretej strany po ukončení zmluvného vzťahu vrátiť, previesť alebo aj zničiť všetky informácie, ku ktorým má tretia strana počas trvania zmluvného vzťahu prístup prevádzkovateľovi základnej služby,

    p) pismeno

    záväzok tretej strany po ukončení zmluvného vzťahu udeliť, poskytnúť, previesť alebo postúpiť všetky potrebné licencie, práva alebo súhlasy nevyhnutné na zabezpečenie kontinuity prevádzkovanej základnej služby na prevádzkovateľa základnej služby; tento záväzok tretej strany ostáva v platnosti aj po ukončení zmluvného vzťahu po dobu dohodnutú zmluvnými stranami, ktorá nesmie byť kratšia ako päť rokov po ukončení zmluvného vzťahu.

    (5) odsek

    Evidencia všetkých uzatvorených zmlúv s treťou stranou je súčasťou bezpečnostnej dokumentácie podľa [§ 2 ods. 1 písm. c)] .

    a) pismeno

    nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí,

    b) pismeno

    nástroja určeného na detegovanie existujúcich zraniteľností technických prostriedkov a ich častí,

    c) pismeno

    využitia verejných a výrobcom poskytovaných zoznamov, ktoré opisujú zraniteľnosti programových a technických prostriedkov.

  2. 2019-01-01

    platné od 2019-01-01 do 2023-08-31

    Verzia bez detailného záznamu zmien.

  3. Vyhlásené znenie

    Pôvodné znenie Oficiálne

    Žiadne detailné podklady o zmenách pre túto verziu.

Skopírované!