Popis
Bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie – bezpečnostného projektu, ktorý musí byť aktuálny a musí zodpovedať reálnemu stavu.
Bezpečnostný projekt popisuje úlohy, procesy, role a technológie v organizačnej, personálnej a technickej oblasti, ktorých cieľom je zabezpečenie kybernetickej bezpečnosti sietí a informačných systémov. Bezpečnostné opatrenia realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti sa prijímajú s cieľom predchádzať kybernetickým bezpečnostným incidentom a minimalizovať vplyv kybernetických bezpečnostných incidentov na kontinuitu prevádzkovania služby. Bezpečnostné opatrenia sú všeobecné, realizované v závislosti od klasifikácie informácií a kategorizácie sietí a informačných systémov a v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti pre všetky siete a informačne systémy a sektorové, ktoré sa realizujú na základe špecifík kategorizácie sietí a informačných systémov v súlade s bezpečnostnými štandardami v oblasti kybernetickej bezpečnosti.
Klasifikácia informácií a kategorizácia sietí a informačných systémov sa vykonáva na základe významnosti, funkcie a účelu informácií a informačných systémov s ohľadom na dôvernosť, integritu, dostupnosť, kvalitu služby a kontrolnú činnosť.
Bezpečnostné opatrenia sa prijímajú najmä pre oblasť:
- organizácie informačnej bezpečnosti,
- riadenia aktív, hrozieb a rizík,
- personálnej bezpečnosti,
- riadenia dodávateľských služieb, akvizície, vývoja a údržby informačných systémov,
- technických zraniteľností systémov a zariadení,
- riadenia bezpečnosti sietí a informačných systémov,
- riadenia prevádzky,
- riadenia prístupov,
- kryptografických opatrení,
- riešenia kybernetických bezpečnostných incidentov,
- monitorovania, testovania bezpečnosti a bezpečnostných auditov,
- fyzickej bezpečnosti a bezpečnosti prostredia,
- riadenia kontinuity procesov.
Bezpečnostné opatrenia musia zahŕňať najmenej:
- detekciu kybernetických bezpečnostných incidentov,
- evidenciu kybernetických bezpečnostných incidentov,
- postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
- určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
- pripojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania.