Oficiálna stránka

Doména kyberportál.slovensko.sk

Nachádzate sa na oficiálnom webovom sídle orgánu verejnej moci SK – Centrálny portál kybernetickej bezpečnosti. Odkazy na jednotlivé webové sídla orgánov verejnej moci nájdete na tomto odkaze .

Táto stránka je zabezpečená

Buďte pozorní a vždy sa uistite, že zdieľate informácie iba cez zabezpečenú webovú stránku verejnej správy SR. Zabezpečená stránka vždy začína https:// pred názvom domény webového sídla.

Domov Znalostná báza Metodické materiály pre všetky kategórie Metodické dokumenty
Znalosť

Metodické dokumenty

Aktualizované 08.08.2024 - Metodické materiály pre všetky kategórie

Dokumenty a metodické materiály zverejnené na tejto stránke sú spracované pre sektor Verejná správa, podsektor Informačné systémy verejnej správy v súvislosti s plnením zákonných povinností v oblasti kybernetickej a informačnej bezpečnosti.

Všetky materiály sú vytvorené v kontexte metodickej prípravy dokumentácie v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie I., II. a III. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z . o KB a prislúchajúcich vyhlášok.

Vytvorené vzory a šablóny nie sú povinné na ich použitie, ani nie sú záväzné. Sú poskytnuté voľne a bezplatne, na využitie podľa potrieb konkrétnej organizácie. Vytvorené dokumenty majú aj svoj metodický rozmer, takže je ich možné použiť i pre potreby vzdelávania pracovníkov organizácií v oblasti kybernetickej a informačnej bezpečnosti.

Vytvorené dokumenty nie sú určené na ďalší predaj alebo akúkoľvek inú komerčnú či obchodnú činnosť.

MIRRI nezodpovedá za nesprávne použitie predmetných dokumentov zo strany organizácií. Správne použitie a implementácia minimálnych bezpečnostných opatrení kategórie I., II. a III. je plne v kompetencii a zodpovednosti konkrétneho subjektu (organizácie).

MIRRI si vyhradzuje právo na zmenu/úpravu tu publikovaných dokumentov alebo čiastkových textov a tabuliek, a to v potrebnom rozsahu vrátane zmien verzií dokumentov.

V prípade relevantných návrhov, týkajúcich sa úpravy, zmien alebo spracovania nových „vzorov“ dokumentácie nás kontaktujte na email kyberbezpecnost@mirri.gov.sk.

  • Krátky úvod do informačnej a kybernetickej bezpečnosti a Malý výkladový slovník

Tento dokument predstavuje úvod do informačnej a kybernetickej bezpečnosti pre všetkých, ktorí sa zatiaľ s touto témou nestretli. Cieľom tohto textu je pomôcť čitateľovi zorientovať sa v problematike informačnej a kybernetickej bezpečnosti a vytvoriť si aspoň rámcovú predstavu o problémoch, ktoré táto disciplína rieši.

V informačnej a kybernetickej bezpečnosti sa používa množstvo špecifických odborných termínov, ktoré sa často používajú bez predchádzajúceho vysvetlenia a ešte aj v rozličných významoch. Na objasnenie najpodstatnejších pojmov je súčasťou tohto dokumentu aj Malý výkladový slovník.

1-Uvod-do-KIB_slovnik

  • Legislatívne požiadavky podľa vyhlášky 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

Tento dokument obsahuje súbor všetkých legislatívnych požiadaviek v kontexte Vyhlášky č. 179/2020 Z. z. pre všetky kategórie organizácií vo verejnej správe. Tento dokument nenahrádza platnú legislatívu, ale môže pomôcť pri zorientovaní sa v legislatívnych požiadavkách, ktoré sú logicky usporiadané podľa jednotlivých kategórií.

2-Legislativne-poziadavky_vyhlaska-179_2020

  • Technické a procesné nástroje a postupy na splnenie bezpečnostného minima

Bezpečnostné minimum je definované ako minimálny bezpečnostný základ, ktorý je potrebné implementovať pred samotným zaradením (identifikáciou a klasifikáciou) OVM do jednotlivých kategórií (kategória I, kategória II, kategória III) podľa vyhlášky č. 179/2020 Z. z.

Cieľom je, aby boli tieto minimálne požiadavky (bezpečnostné minimum) identifikované a implementované bezodkladne, aby bola dosiahnutá minimálna požadovaná úroveň kybernetickej odolnosti danej organizácie (OVM).

3-Bezpecnostne-minimum

  • Výber dodávateľa služieb kybernetickej bezpečnosti

Cieľom tohto dokumentu je poskytnutie metodickej pomoci pri výbere kvalitného a dôveryhodného dodávateľa. Môže sa jednať o náročnú úlohu, najmä pre štatutárov menších organizácií. Toto usmernenie má napomôcť starostom obcí a primátorom miest k úspešnému procesu výberu prostredníctvom návodu v piatich krokoch.

4-Vyber-dodavatela-sluzieb-kybernetickej-bezpecnosti

  • Metodické usmernenie pre proces verejného obstarávania auditu kybernetickej bezpečnosti a prípravu na audit kybernetickej bezpečnosti

Účelom tohto dokumentu je poskytnúť odporúčania pre proces verejného obstarávania podľa zákona č. 343/2015 Z. z. o verejnom obstarávaní auditu kybernetickej bezpečnosti a prípravu na audit kybernetickej bezpečnosti podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti.

6-Metodika_obstaranie-auditu-KB

6a-Priloha-c.1_dotaznik-na-urcenie-rozsahu-trvania-auditu

6b-Priloha-c.2_navrh-zmluvy-o-vykonani-auditu

6c-Priloha-c.-3_zoznam-opatreni-pre-pripravu-na-audit

  • Metodika pre vznik odborných pracovísk

Účelom tohto dokumentu  je poskytnúť metodický materiál pre vytvorenie adekvátne personálne a technicky vybavených odborných pracovísk. Predmetné pracoviská majú byť kreované v rámci organizačnej štruktúry príslušného orgánu verejnej moci, určených pre riadenie kybernetickej bezpečnosti a súvisiacich procesov, bezpečnostný monitoring sietí a informačných systémov, implementáciu bezpečnostných opatrení, riadenie rizík, riešenie kybernetických bezpečnostných incidentov a podobne, a to v diferenciácii pre jednotlivé OVM podľa ich zaradenia do jednotlivých kategórií.

7-Metodika-pre-vznik-odbornych-pracovisk-vo-VS

  • Metodické usmernenie pre životný cyklus bezpečného vývoja informačného systému

Je veľmi dôležité, aby bol softvérový produkt chránený pred akýmkoľvek druhom útoku, škodlivými hrozbami či zraniteľnosťami a bola zabezpečená dôveryhodnosť softvéru pre koncového používateľa.

Účelom tohto dokumentu je zhrnúť a organizácii poskytnúť osvedčené postupy týkajúce sa životného cyklu bezpečného vývoja informačného systému / aplikácie / softvéru (Secure Software Development Life Cycle – SSDLC).

SSDLC možno rozdeliť do nasledovných hlavných fáz:

  • Fáza 1: Požiadavky
  • Fáza 2: Plánovanie
  • Fáza 3: Architektúra a dizajn
  • Fáza 4: Vývoj
  • Fáza 5: Testovanie
  • Fáza 6: Prevádzka
  • Fáza 7: Vyraďovanie

8-Metodika-SSDLC

  • Metodika pre postupy pre penetračnom testovaní

Účelom tejto metodiky pre penetračné testovanie je poskytnúť komplexný a systematický prístup k vykonávaniu penetračných testov v prostredí verejnej správy, či už vykonávaných interne alebo prostredníctvom externej služby. Dokument načrtáva kroky a postupy, ktoré sa budú dodržiavať počas procesu penetračného testovania, vrátane jeho cieľov a výstupov.

Tento metodický dokument je navrhnutý tak, aby ho mohli používať profesionáli v oblasti bezpečnosti, penetrační testeri a organizácie ako referenciu na plánovanie, vykonávanie a podávanie správ o aktivitách penetračného testovania.

9-Postupy-pri-penetracnom-testovani

9a-Priloha-c.1_priklad-spravy

9b-Priloha-c.2_priklad-autorizacneho-listu

9c-Priloha-c.3_priklad-dohody-o-mlcanlivosti_NDA

  • Etické štandardy pre sektor VS

Kybernetická bezpečnosť podporuje ochranu hodnôt, ako je nepoškodzovanie, súkromie a dôvera, a preto medzi hodnotami vytvára zložitý vzťah: niektoré môžu byť podporné a iné protichodné, v závislosti od kontextu.

Aj v kyberpriestore je potrebné dodržiavať určité štandardy etického správania sa a preto slúži etický kódex ako všeobecné usmernenie, resp. štandard pre štátnu a verejnú správu. Etický kódex uľahčuje rozhodovanie človeka o tom, čo je správne a nesprávne, v pre neho nejasných situáciách. Pomáha predchádzať konfliktom, pomáha upraviť správanie jednotlivcov či skupín v súlade so záujmom spoločnosti, bezpečnostných pracovníkov v oblasti kybernetickej bezpečnosti nevynímajúc.

10-Eticke-standardy-pre-sektor-VS