Dokumenty a metodické materiály zverejnené na tejto stránke sú spracované pre sektor Verejná správa, podsektor Informačné systémy verejnej správy v súvislosti s plnením zákonných povinností v oblasti kybernetickej a informačnej bezpečnosti.
Všetky materiály sú vytvorené v kontexte metodickej prípravy dokumentácie v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie I., II. a III. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z . o KB a prislúchajúcich vyhlášok.
Vytvorené vzory a šablóny nie sú povinné na ich použitie, ani nie sú záväzné. Sú poskytnuté voľne a bezplatne, na využitie podľa potrieb konkrétnej organizácie. Vytvorené dokumenty majú aj svoj metodický rozmer, takže je ich možné použiť i pre potreby vzdelávania pracovníkov organizácií v oblasti kybernetickej a informačnej bezpečnosti.
Vytvorené dokumenty nie sú určené na ďalší predaj alebo akúkoľvek inú komerčnú či obchodnú činnosť.
MIRRI nezodpovedá za nesprávne použitie predmetných dokumentov zo strany organizácií. Správne použitie a implementácia minimálnych bezpečnostných opatrení kategórie I., II. a III. je plne v kompetencii a zodpovednosti konkrétneho subjektu (organizácie).
MIRRI si vyhradzuje právo na zmenu/úpravu tu publikovaných dokumentov alebo čiastkových textov a tabuliek, a to v potrebnom rozsahu vrátane zmien verzií dokumentov.
V prípade relevantných návrhov, týkajúcich sa úpravy, zmien alebo spracovania nových „vzorov“ dokumentácie nás kontaktujte na email kyberbezpecnost@mirri.gov.sk.
- Vzorová smernica pre riadenie informačnej bezpečnosti
Účelom tohto dokumentu je popísať základného procesného rámca riadenia informačnej a kybernetickej bezpečnosti.
Proces riadenia informačnej a kybernetickej bezpečnosti je založený na zavedení a udržiavaní hlavných princípov systému manažérstva informačnej bezpečnosti podľa požiadaviek medzinárodných noriem ISO/IEC 27001:2022 a ISO/IEC 27002:2022.
Riadenie informačnej bezpečnosti – vzor smernice (DOC, 308 kB)
Príloha 1_RACI 362_2018 (XLSX, 68 kB)
Príloha 1_RACI 179_2020 (XLSX, 96 kB)
- Vzorová stratégia kybernetickej bezpečnosti
Stratégia kybernetickej bezpečnosti je východiskový strategický dokument, ktorý komplexne určuje strategický prístup organizácie k zabezpečovaniu kybernetickej bezpečnosti a je vypracovaná v súlade s požiadavkami zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. Vzorovú stratégiu je potrebné upraviť na základe špecifických potrieb organizácie.
- Politika kybernetickej bezpečnosti a informačnej bezpečnosti pre kategóriu II a III podľa vyhlášky č. 179/2020 Z. z.,
Politika kybernetickej bezpečnosti a informačnej bezpečnosti definuje základné pravidlá a zásady pre kybernetickú a informačnú bezpečnosť. Tento dokument tvorí základný rámec riadenia kybernetickej a informačnej bezpečnosti a slúži ako základ pre vypracovanie následných interných predpisov (napr. prevádzkové predpisy, pracovné postupy a pod.). Vzorovú politiku je potrebné upraviť na základe špecifických potrieb organizácie.
Bezpečnostná politika pre kategóriu II-III (DOCX, 340 kB)
- Metodika klasifikácie informačných aktív a kategorizácie sietí a informačných systémov
Účelom tohto dokumentu je poskytnúť základné postupy pre klasifikáciu informačných aktív, kategorizáciu sietí a informačných systémov a pre riadenie aktív v organizácii v súlade s platnou legislatívou v oblasti kybernetickej bezpečnosti.
Metodika klasifikácie a kategorizácie (PDF, 596 kB)
Príloha 1 – dotazník na určenie klasifikačných stupňov (XLSX, 20 kB)
Príloha 2 – príklad vykonanej klasifikácie (XLSX, 12 kB)
- Metodika analýzy rizík a analýzy dopadov
Cieľom tohto dokumentu je poskytnúť návody a usmernenia o postupoch súvisiacich s riadením kybernetických bezpečnostných rizík. Analýza rizík má slúžiť k podrobnému rozboru stavu kybernetickej a informačnej bezpečnosti v organizácii. Cieľom analýzy rizík má byť identifikácia okolností, ktoré potenciálne môžu narušiť bezpečnosť.
Tento dokument priamo vychádza a nadväzuje na Metodiku analýzy rizík kybernetickej bezpečnosti (Metodika analýzy rizík pre uplatnenie v procesoch riadenia rizika v zmysle požiadaviek zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti), ktorá bola vydaná Národným bezpečnostným úradom.
Metodika na výkon analýzy rizík (PDF, 1,14 MB)
- Vzorová smernica analýzy rizík a analýzy dopadov
Účelom tohto dokumentu je popísať postup výkonu analýzy rizík a analýzy dopadov v organizácii.
Nakoľko je podrobný postupy výkonu analýzy rizík a analýzy dopadov bližšie popísaný v rámci dokumentu „Metodika analýzy rizík a analýzy dopadov“, cieľom tohto dokumentu je organizáciám priblížiť konkrétne kroky týkajúce sa výkonu oboch analýz. Vzorovú smernicu je potrebné upraviť na základe špecifických potrieb organizácie.
Smernica vykonu ar_bia (DOCX, 276 kB)
- Metodika spracovania bezpečnostného projektu
Bezpečnostný projekt informačného systému verejnej správy je vytvorený správcom informačného systému a tvorí súčasť bezpečnostnej dokumentácie vzhľadom na legislatívne požiadavky zákona č. 95/2019 Z. z.o informačných technológiách vo verejnej správe a prislúchajúcej vyhlášky č. 179/2020 Z. z.
Bezpečnostný projekt IS definuje formuláciu základných bezpečnostných cieľov vyplývajúcich z relevantných právnych východísk vrátane interných predpisov organizácie, technických noriem a štandardov dobrej praxe. Bezpečnostný projekt slúži na eliminovanie a minimalizovanie rizík pôsobiacich na informačný systém z hľadiska narušenia jeho bezpečnosti, spoľahlivosti a funkčnosti.
Bezpečnostný projekt ISVS (PDF, 1,09 kB)
- Vzorová smernica pre bezpečnú prevádzku IS a sietí
Účelom tohto dokumentu je poskytnúť vzorovú smernicu, ktorá obsahuje pravidlá a odporúčania pri riadení bezpečnej prevádzky IS a sietí. Smernica pokrýva nasledujúce oblasti: pravidlá prepájania systémov, riadenie zmien infraštruktúry, riadenie kapacity systémov, riadenie kryptografických opatrení, oddeľovanie sietí, základný rámec bezpečnostného monitoringu, a iné. Vzorovú smernicu je potrebné upraviť na základe špecifických potrieb organizácie.
Bezpečná prevádzka IS a sietí – smernica (DOCX, 296 kB)
- Metodika výkonu riadenia kontinuity činností (BCM)
Účelom tohto dokumentu je poskytnúť základné postupy pre riadenie kontinuity činnosti v sektore verejnej správy. Táto metodika obsahuje základné požiadavky na zabezpečenie riadenia kontinuity činnosti v organizácii po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej neočakávanej situácie. Jedná sa primárne o tieto oblasti:
- vypracovanie stratégie a krízových plánov,
- vyčlenenie adekvátnych zdrojov,
- určenie komunikačného plánu,
- určenie cieľovej doby obnovy,
- určenie cieľového bodu obnovy,
- testovanie a vyhodnocovanie jednotlivých procesov,
- určenie postupov zálohovania,
- stanovenie práv a povinností administrátorov a osôb zastávajúcich bezpečnostné roly.
Metodika výkonu BCM (PDF, 624 kB)
- Vzorová smernica riadenia kontinuity činností (BCM)
Účelom tohto dokumentu je popísať základné požiadavky na zabezpečenie riadenia kontinuity činnosti v organizácii v súlade s metodikou výkonu riadenia BCM. Vzorovú smernicu je potrebné upraviť na základe špecifických potrieb organizácie.
Príloha 3 – návrh obsahovej štruktúry plánu obnovy (DOCX, 284 kB)