Riadenie tretích strán: Kľúčový prvok bezpečnosti vo verejnej správe

V prostredí verejnej správy, kde sa čoraz viac procesov digitalizuje a outsourcuje, nadobúda riadenie tretích strán zásadný význam. Smernica vypracovaná v rámci Jednotného metodického rámca (JMR), poskytuje organizáciám verejnej moci návod, ako efektívne a bezpečne spravovať vzťahy s externými dodávateľmi informačných technológií a služieb.

Prečo je riadenie tretích strán dôležité?

Tretie strany majú často priamy alebo nepriamy prístup k informáciám alebo informačným systémom organizácie a častokrát poskytujú produkty, ktoré vstupujú do procesu spracovania informácií organizácie. Bez jasne definovaných pravidiel, zmluvných záväzkov a kontrolných mechanizmov môže dôjsť k:

• Úniku, ukladaniu informácií mimo organizácie alebo zneužitiu údajov
• Zlyhaniu služieb organizácie v kritických momentoch
• Nedostatočnej reakcii na bezpečnostné incidenty

Odporúčaná dokumentácia preto stanovuje minimálne požiadavky na zmluvné, technické a organizačné zabezpečenie spolupráce s tretími stranami a rovnako definuje možné typy tretích strán, s ktorými môže v rámci svojej činnosti organizácia spolupracovať.

Kľúčové oblasti

• Analýza rizík dodávateľských vzťahov
• Overenie bezpečnostných parametrov dodávateľa – najmä v existujúcich zmluvných vzťahoch
• Bezpečnostné požiadavky vo verejnom obstarávaní – už vo fáze akvizície, vývoja a údržby IS
• Zmluvné ustanovenia – vzorové klauzuly pre rôzne typy kontraktov (HW, SW, SLA, outsourcing)
• Zodpovednosť tretích strán pri incidentoch – povinnosť spolupráce pri ich odhaľovaní a riešení

Príklady z praxe

1. Zlyhanie dodávateľa pri obnove systému

V roku 2023 došlo na jednom krajskom úrade k výpadku systému po aktualizácii vykonanej externým dodávateľom. Chýbajúce zmluvné ustanovenia o reakčnom čase a zodpovednosti za obnovu systému viedli k niekoľkodňovému výpadku služieb. Po incidente úrad zaviedol nové zmluvné štandardy podľa odporúčaní.

2. Úspešná implementácia bezpečnostného dotazníka

Jedna z obcí kategórie II zaviedla pred podpisom zmluvy s IT dodávateľom povinnosť vyplniť bezpečnostný dotazník. Na základe odpovedí identifikovali riziká v oblasti správy prístupov a požiadali o ich odstránenie ešte pred začiatkom spolupráce.

3. Zdieľaná databáza dôveryhodných dodávateľov

Skupina úradov v rámci jedného regiónu vytvorila internú databázu overených dodávateľov, ktorí spĺňajú požiadavky smernice. Vďaka tomu sa skrátil čas verejného obstarávania a zvýšila sa úroveň bezpečnosti.

4. Externý MKIB (manažér kybernetickej a informačnej bezpečnosti) a SLA (service level agreement)

Organizácia, ktorá využívala služby externého manažéra kybernetickej a informačnej bezpečnosti (MKIB), implementovala do SLA zmluvy ustanovenia o povinnostiach a plnení bezpečnostných požiadaviek, rovnako ako o hlásení incidentov a zodpovednosti za ich riešenie. Tento krok výrazne zlepšil transparentnosť.

Hlavné odporúčanie pre efektívne riadenie KIB je vo výbere stratégie, plánovania, definovaní rozsahu podľa kategórie organizácie, následnom reálnom výbere tretej strany, obstaraní a podpísaní zmluvy, a vo finále procesu riadenia vzťahov s danou organizáciou.

V ďalšej časti spoznávania JMR, sa budeme venovať téme „Riadenie fyzickej bezpečnosti“.