LP/2017/948 Metodika pre spoločné postupy a podporu, prevencie a pripravenosti organizácie pre systematické zabezpečenie informačnej bezpečnosti

Zoznam pripomienok

Autor Text pripomienky Typ Stav Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 4 - Bezpečnostné tímy. V druhom odseku „Úlohy“, v druhej odrážke a prvej pododrážke navrhujeme jednoznačne špecifikovať pojem „logy je možné kontrolovať“, nakoľko podľa súčasnej legislatívy je organizácia povinná relevantné logy zbierať a vyhodnocovať. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 3.1.1 - Úroveň organizácie. Znenie uvedeného bodu sa odvoláva na prílohu ÚDAJE 1, ktorá však v materiáli absentuje. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 2 - Účel dokumentu. V treťom odseku navrhujeme zvážiť vypustenie bodu 2, nakoľko implementácia štruktúry riadenia informačnej bezpečnosti na rezortnej, sektorovej a národnej úrovni sa netýka zvýšenia bezpečnosti organizácie. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu - 7.1 Analýza rizík. Znenie celého bodu je potrebné zosúladiť s STN ISO/IEC 27005 Riadenie rizík informačnej bezpečnosti a s výnosom č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy v znení neskorších predpisov. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 3.2 - Príprava technických spôsobilostí a komunikačných kanálov. Navrhujeme prepracovať znenie celého bodu. Pri jeho koncipovaní sa zrejme vychádzalo z predpokladu, že pre riešenie bezpečnostného incidentu bude pre organizáciu postačujúce nahlásenie incidentu. Za prevádzku a bezpečnosť svojich informačných systémov je však zodpovedná organizácia, preto pri koncipovaní tejto metodiky je potrebné vychádzať zo základného princípu, že bezpečnostný incident je povinná identifikovať a riešiť organizácia. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 3.3.1 - Riešenie bezpečnostných incidentov v rámci organizácie. Podľa štvrtého odseku piatej odrážky proces riešenia bezpečnostných incidentov v organizácii musí zahŕňať zaistenie a uchovanie digitálnych stôp; za účelom jednoznačnosti metodiky považujeme za potrebné definovať uvedené pojmy. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 3.1 - Zber údajov o infraštruktúre organizácie. V bode 3.1 navrhujeme vypustiť odseky 2 a 3, upravujúcich využitie podkladov pri riadení rizík, detekcií zraniteľných služieb a koordináciu riešenia bezpečnostných incidentov na národnej sektorovej/rezortnej úrovni, ako aj na účely vytvorenia komplexných konfiguračných databáz na úrovni rezortu/sektora a na národnej úrovni. Odôvodnenie: Znenie posledných dvoch odsekov nesúvisí so zberom údajov o infraštruktúre organizácie a navyše nie je v súlade so štandardmi ISO radu 27K. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 2 - Účel dokumentu. V treťom odseku (v časti týkajúcej sa potreby systematického zvýšenia bezpečnosti organizácie) navrhujeme na konci doplniť nové dva body v nasledovnom znení: „4. Zabezpečovať zvyšovanie odbornej úrovne špecialistov v oblasti informačnej bezpečnosti. 5. Systematicky zvyšovať bezpečnostné povedomie všetkých zamestnancov organizácie.“. Odôvodnenie: Podľa smernice Európskeho parlamentu a Rady (EÚ) 2016/1148 zo 6. júla 2016 o opatreniach na zabezpečenie vysokej spoločnej úrovne bezpečnosti sietí a informačných systémov v Únii ide o dôležité opatrenia v oblasti zvyšovania bezpečnosti organizácie, ktoré však v metodike absentujú, preto ich navrhujeme doplniť. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 4 - Bezpečnostné tímy. V druhom odseku „Úlohy“ navrhujeme vypustiť nasledovný text uvedený v prvej odrážke a prvej pododrážke „je potrebné zabezpečiť, aby ku každému prvku vo vlastníctve inštitúcie disponoval administrátorským prístupom aspoň jeden interný zamestnanec bezpečnostného tímu“. Odôvodnenie: Uvedený postup je v rozpore so zásadou priamej zodpovednosti za prevádzku informačného systému a nie je ani v súlade so zásadami informačnej bezpečnosti – viď ISO 27002. Navyše vo väčšej organizácii je takéto opatrenie aj fyzicky nerealizovateľné. Obyčajná pripomienka Odoslaná Detail
SOCPOIST (Sociálna poisťovňa, Ul. 29 augusta č. 8 a 10, 813 63 Bratislava 1) K bodu 1 - Definícia významu kľúčových slov. Podľa posledného odseku bodu 1 na účely metodiky sa termíny informačná bezpečnosť a kybernetická bezpečnosť budú považovať za synonymá. Vzhľadom na to, že informačná bezpečnosť a kybernetická bezpečnosť majú odlišný vecný význam, máme za to, že ani na účely tejto metodiky nie je možné ich považovať za synonymá. Z uvedeného dôvodu navrhujeme v bode 1 posledný odsek vypustiť. Obyčajná pripomienka Odoslaná Detail
ÚDZS (Úrad pre dohľad nad zdravotnou starostlivosťou) Všeobecná pripomienka Periodicita úlohy „vykonávať penetračné testy“ nie je definovaná v Metodike jednotne. Odôvodnenie: Napr. v bode 7 Posúdenie bezpečnosti je frekvencia opakovania penetračného testovania uvedená rôzne. Obyčajná pripomienka Odoslaná Detail
ÚDZS (Úrad pre dohľad nad zdravotnou starostlivosťou) Všeobecná pripomienka Povinnosť úlohy „vykonávať externé penetračné testy“ nie je definovaná v Metodike jednotne. Odôvodnenie: Napr. popis typu úlohy v bode 5 Tímy CSIRT a popis typu úlohy v bode 7 Posúdenie bezpečnosti je definovaný rozdielne Obyčajná pripomienka Odoslaná Detail
ÚDZS (Úrad pre dohľad nad zdravotnou starostlivosťou) Všeobecná pripomienka - zásadná Mandatórna implementácia organizačných, materiálnych a personálnych opatrení na zabezpečenie mechanizmov posúdenia informačnej bezpečnosti odporúčaných v Metodike môže mať vplyv na rozpočet verejnej správy. Odôvodnenie: Keďže na realizáciu mechanizmov môžu byť využívaní aj zmluvní špecialisti z komerčnej sféry, ktorých využitie je finančne náročné, aplikácia uvedených mechanizmov v praxi bude mať dopad na finančné náklady úradu. Zásadná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 3.1.1 , strana 7, v bode „Osoba s riadiacimi právomocami pre eskaláciu bezpečnostného incidentu resp. koordináciu riešenia rozsiahleho bezpečnostného incidentu“, štvrtý odsek: „ musí mať právomoc v prípade potreby vypnúť / zablokovať / vykonať zmenu / obmedziť prevádzku služieb poskytovaných prostredníctvom externých sietí“ navrhujeme pred slovné spojenie „externých sietí“ uviesť slovné spojenie „interných a“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 3.2.2 strana 10, „Úroveň rezortu/sektora“ nám v bode „Automatizované ohodnotenie zraniteľností na základe verzie a konfigurácie software“ nie je zrejmé, akým spôsobom sa bude vyhodnocovať zraniteľnosť „na základe verzie“ a „konfigurácie software“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V Kapitole 2 „Účel dokumentu“, tretí odsek, navrhujeme „návrh na systematické zvýšenie bezpečnosti organizácie“ doplniť o bod č. 5 - „Školenie informačnej bezpečnosti pre zamestnancov (používateľov IKT)“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 3.2.3 „Národná úroveň“ navrhujeme doplniť výpočet činností vykonávaných národnou autoritou o „Školenie manažérov informačnej bezpečnosti“ . Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 5 v časti „Personálne zabezpečenie“, 19. riadok veta „V rámci personálneho zabezpečenia vládneho CSIRT tímu by mala národná autorita zabezpečiť aspoň trinástich interných zamestnancov“, nám nie je zrejmé, z čoho predkladateľ materiálu vychádzal pri stanovení počtu „aspoň trinástich interných zamestnancov“ . Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 5 v časti „Úlohy rezortný/sektorový CSIRT tím“, strana 20, navrhujeme doplniť vymenované služby, ktoré má zabezpečiť Rezortný/sektorový CSIRT tím o nasledovné: „Školenie manažérov informačnej bezpečnosti a členov bezpečnostných tímov organizácií.“ Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 5 v časti „Úlohy vládny CSIRT tím“ , strana 22, 4. riadok „Disponovať kapacitami na súčasné riešenie minimálne troch rozsiahlych incidentov“ navrhujeme namiesto „minimálne troch rozsiahlych incidentov“ uviesť „minimálne piatich rozsiahlych incidentov“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 3.2.4 „Klasifikačná schéma bezpečnostných incidentov“ ma strane 12 navrhujeme úlohu „Vytvoriť bezpečnostný tím s nasledujúcimi spôsobilosťami“ doplniť o 5. bod – „Riešenie a analýza bezpečnostných incidentov“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) V kapitole 4 „Bezpečnostné tímy“ v odseku „Ohodnotenie zraniteľností na základe verzie a konfigurácie software“ nám nie je zrejmé, akým spôsobom sa bude vyhodnocovať zraniteľnosť „na základe verzie“ a „konfigurácie software“. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) Odporúčame doplnenie metodiky o úlohy trvalého vzdelávania v hierarchickom usporiadaní podľa uvedených oblastí a stupňa znalostí vybraných pracovníkov na rezortnej úrovni, ktorí budú zabezpečovať príslušné úlohy rezortu v uvedenej oblasti informačnej bezpečnosti. Poznámka: aj po vytvorení konkurenčne schopných mzdových podmienok (80% priemeru v súkromnej sfére), bude zložité takýchto pracovníkov získať a zostane hlavne nutnosť si pracovníkov vychovať resp. vychovávať a udržiavať ich vzdelaných. Ak je známe všeobecne, že oblasť IT je najdynamickejšie sa rozvíjajúca oblasť, tak pre oblasť bezpečnosti to platí násobne viac. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) Odporúčame doplniť metodiku o formalizovanie pravidelných úloh ( v prípade Úradu pre verejné obstarávanie na rezortnej úrovni) s povinnosťami zasielania príslušných informácií na CSIRT vypracovaním príslušných elektronických formulárov, ktoré by sa po vyplnení zašifrované zasielali určeným osobám. Obyčajná pripomienka Odoslaná Detail
ÚVO (Úrad pre verejné obstarávanie) Odporúčame doplniť úlohy v metodike pre formalizovanie všetkej relevantnej dokumentácie z pohľadu obsahu na účely efektívneho naplánovania auditu, ktorá má byť spracovaná a aktualizovaná za príslušný rezort, uvedené v kapitole 7.2.1. Obyčajná pripomienka Odoslaná Detail
MZVaEZSR (Ministerstvo zahraničných vecí a európskych záležitostí Slovenskej republiky) Bez pripomienok. Obyčajná pripomienka Odoslaná Detail
ÚGKKSR (Úrad geodézie, kartografie a katastra Slovenskej republiky) Bez pripomienok Obyčajná pripomienka Odoslaná Detail
NBÚSR (Národný bezpečnostný úrad) K celému materiálu Materiál žiadame stiahnuť z legislatívneho procesu, ako neopodstatnený, nesystémový a odporujúci návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „návrh zákona o kybernetickej bezpečnosti“). Odôvodnenie Účel dokumentu, jeho štruktúra a obsah nemajú charakter metodiky, keďže sa v ňom nenachádzajú odporúčania a postupy pre zlepšenie informačnej bezpečnosti, ale úlohy a povinnosti pre organizácie, rezorty/sektory a národnú úroveň. Predkladaná metodika tak upravuje otázky, ktoré možno upraviť len všeobecne záväzným právnym predpisom. V tejto súvislosti je potrebné uviesť, že v súlade s ustanovením § 34 kompetenčného zákona, schváleným programovým vyhlásením vlády Slovenskej republiky na roky 2016-2020, Koncepciou kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 a Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020 vypracoval Národný bezpečnostný úrad v úzkej spolupráci s Úradom podpredsedu vlády Slovenskej republiky pre investície a informatizáciu návrh zákona o kybernetickej bezpečnosti, ktorý je v súčasnosti po schválení vládou v Národnej rade Slovenskej republiky pod číslom parlamentnej tlače 763 v druhom čítaní. Návrh zákona o kybernetickej bezpečnosti upravuje na základe uvedených koncepčných materiálov a kompetenčného zákona otázky, ktorými sa zaoberá predkladaná metodika, pričom táto nie je všeobecne záväzným právnym predpisom a predkladá ju štátny orgán, ktorý nie je ústredným orgánom štátnej správy pre kybernetickú bezpečnosť. Vzhľadom na vyššie uvedené máme zato, že predkladateľ nedisponuje kompetenciou, aby metodickým pokynom usmerňoval procesy a postupy a ukladal úlohy na národnej úrovni v oblasti kybernetickej bezpečnosti. Národný bezpečnostný úrad považuje túto pripomienku za zásadnú. Zásadná pripomienka Odoslaná Detail
AZZZ SR (Asociácia zamestnávatelských zväzov a združení Slovenskej republiky) k predloženému návrhu nemá pripomienky Obyčajná pripomienka Odoslaná Detail
MŽPSR (Ministerstvo životného prostredia Slovenskej republiky) K bodu 7.1 – K nastaveniu úrovne ochrany popri kvalitatívnej analýze rizík navrhujeme zvážiť aj použitie kvantitatívnej analýzy rizík napríklad určením výšky spôsobených škôd organizácii narušením dôvernosti a integrity informácie, alebo dlhodobou nedostupnosťou systému / aktíva. Prvá úroveň - škoda sa odhaduje na: A) menej ako 100 000 Euro na organizáciu a / alebo B) Investícia do dvoch človeko-mesiacov na zvládnutie incidentu Druhá úroveň - škoda sa odhaduje na: A) viac ako 100 000 Euro ale menej ako 1 000 000 Euro na organizáciu a / alebo B) investícia do šesť človeko-mesiacov ale menej ako päť človeko-rokov na zvládnutie incidentu a / alebo C) aktívum je definované ako databáza, na ktorú je aplikovaná stredná úroveň ochrany podľa príslušných štandardov a / alebo D) existencia vážneho nebezpečenstva napr. ohrozenia zdravia Ďalšie úrovne Obyčajná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Kap. 2 - Žiadame text prvého odstavca zosúladiť s textom úlohy podľa bodu 3.3. Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti SR na roky 2015 – 2020 a obsah celého dokumentu zosúladiť so zadaním podľa bodu č. 3.3: Akčného plánu. Odôvodnenie: Textu úlohy podľa kap. 2 predloženého materiálu znie: vypracovať metodiku prevencie a pripravenosti pre organizácie verejnej správy pre zabezpečenie z pohľadu informačnej bezpečnosti. Text predmetnej úlohy podľa dokumentu Akčný plán..... znenie: Vytvoriť metodiku pre spoločné postupy a podporu (hotline) za účelom zabezpečenia prevencie a pripravenosti proti narušeniu informačných aktív kritickej infraštruktúry. Z textu vyplýva, že úloha v znení podľa predloženého materiálu sa zásadne líši od zadania podľa Akčného plánu. Podľa bodu 3.3. Akčného plánu...úloha má byť riešená v súčinnosti s NBÚ a MV SR. Na uvedené poukazujeme aj z dôvodu, že ešte nebolo vládou schválené zmeny uznesenia vlády, ktorá uvedenú úlohu upravovala, aj keď uvedené už bolo predmetom medzirezortného pripomienkového konania. Obyčajná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Nový vládny návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, ktorý je momentálne v druhom čítaní predložený na rokovanie NR SR pod parlamentnou tlačou č. 763 v Čl. I v § 14 uvádza, žiadateľ o akreditáciu jednotky CSIRT podľa § 13 dokumentáciou preukazuje, že jednotka CSIRT má požadované technické, technologické a personálne vybavenie podľa všeobecne záväzného právneho predpisu, ktorý vydá Národný bezpečnostný úrad. Navrhovaný materiál však určuje vyššie uvedené v rámci Metodiky, pričom uvedené sa podľa nového návrhu zákona o kybernetickej bezpečnosti má riešiť prostredníctvom všeobecne záväzného právneho predpisu, ktorý má vydávať iný subjekt ako predkladateľ metodiky. Na základe vyššie uvedeného navrhujeme uvedený materiál stiahnuť a prepracovať uvedený materiál, ktorý by neobsahoval ustanovenia, ktoré sa majú riešiť prostredníctvom vyhlášky vydávanej Národným bezpečnostným úradom. Zásadná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Kap. 1 Žiadame doplniť definície v materiáli použitých pojmov, resp. uvádzať zdroj definície ich významu, najmä: informačná bezpečnosť, kybernetická bezpečnosť, informačná bezpečnosť informačného systému, bezpečnosť informačného systému, informačné aktívum, kybernetický útok, bezpečnosť organizácie, systém riadenia informačnej bezpečnosti organizácie, bezpečnostný baseline organizácie, zabezpečenie národného kybernetického priestoru, garant kybernetickej bezpečnosti. Odôvodnenie: Predmetný dokument sa týka oblasti, ktorej vecnú aj procesnú stánku, ako aj kompetencie a pôsobnosť dotknutých subjektov upravujú príslušné predpisy. Bez jednoznačného, jednotného a správneho chápania významu použitých pojmov v previazanosti na relevantné predpisy nastane chaos v aplikácii tohto dokumentu. Za relevantné zdroje definícií použitých pojmov považujeme predovšetkým: zákon č. 275/2006 Z. z. o ISVS, zákon č. 305/2013 Z .z. o e-Governmente, Výnos MF SR č. 55/2014 Z. z. o štandardoch pre ISVS, Výnos MV SR č. 525/2011 Z. z. o štandardoch pre elektronické informačné systémy na správu registratúry, Národnú koncepciu informatizácie verejnej správy, Koncepciu kybernetickej bezpečnosti SR na roky 2015 – 2020 a Terminologický slovník krízového riadenia (http://www.vlada.gov.sk/data/files/6835_terminologicky-slovnik-krizoveho-riadenia-aktualna-verzia-od-24022017.pdf ) Zásadná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Žiadame jednoznačne vymedziť predmet, rozsah riešenia a východiskový legislatívny rámec. Odôvodnenie: Z textu jednoznačne nevyplýva: - o akú bezpečnosť sa jedná – informačnú bezpečnosť, kybernetickú bezpečnosť, informačnú aj kybernetickú bezpečnosť, bezpečnosť informačných systémov, informačnú bezpečnosť ISVS v zmysle zákona 275/2006 Z. z. o ISVS? - vo vzťahu k akým aktívam: – informačným aktívam organizácií všeobecne? – informačným aktívam kritickej infraštruktúry všeobecne, ako by mohlo byť zrejmé zo znenia úlohy z Akčného plánu? – informačným aktívam kritickej infraštruktúry v sektore, resp. podsektore verejnej správy? - čo sa rozumie pod pojmom organizácia? Predkladateľom materiálu je ÚPVII. Podľa § 4)ods. 2, písm. f) zákona č. 275/2006 Z. z. o ISVS ÚPVII riadi a koordinuje informačnú bezpečnosť ISVS. Rozsah pôsobnosti a kompetencií ÚPVII v oblasti kybernetickej bezpečnosti vo vzťahu k ISVS t. č. vyplýva iba z § 35 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy. Na základe uvedeného žiadame, aby sa predmetný materiál zaoberal riešením informačnej bezpečnosti v rozsahu kompetencií podľa zákona č. 275/2006 Z. z. o ISVS a riešením kybernetickej bezpečnosti v rozsahu kompetencií podľa zákona 575/2001 Z. z., t .j. informačných systémov verejnej správy podporujúcich: · služby verejnej správy - § 2, ods. 1), písm. r) zákona č. 275/2006 Z. z. o ISVS (najmä podpora výkonu kompetencií štátnych orgánov), · služby vo verejnom záujme - § 2, ods. 1), písm. x zákona č. 275/2006 Z. z. o ISVS (najmä podpora výkonu kompetencií samosprávnych orgánov), · verejné služby - § 2, ods. 1), písm. y) zákona č. 275/2006 Z. z. o ISVS, (podpora ostatných aktivít štátnych a samosprávnych inštitúcií). Štátne orgány môžu konať iba na základe ústavy, v jej medziach a v rozsahu a spôsobom ktorý ustanoví zákon (čl. 2, ods. 2) zákona č. 460/1992 Zb. Ústava SR). Zásadná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Vlastný materiál Kap. 1 Nesúhlasíme s názorom podľa ktorého pojmy informačná bezpečnosť a kybernetická bezpečnosť sú považované za synonymá. Odôvodnenie: Rozdielnosť významu týchto pojmov vyplýva aj z ich používania vo vládou schválených dokumentoch, ako aj v platnej, resp. pripravovanej legislatíve (napr.: Koncepcia kybernetickej bezpečnosti, Národná koncepcia informatizácie verejnej správy, zákon č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy, zákon č. 110/2004 Z. z .o fungovaní Bezpečnostnej rady SR, Návrh vládneho zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov). Podľa Terminologického slovníka krízového riadenia pod: - informačnou bezpečnosťou sa rozumie: bezpečnosť informačného prostredia, - informačným prostredím sa rozumie: prostredie pozostávajúce z informácií, prostriedkov a štruktúr na vykonávanie informačných činností, ako aj pravidiel upravujúcich tieto procesy. Pojem informačné činnosti definuje § 2, ods. 1), písm. c) zákona č. 275/2006 Z. z., pojem informačný systém definuje § 2, ods. 1), písm. a) zákona č. 275/2006 Z. z. Pod informačnou bezpečnosťou rozumieme bezpečnosť entít informačného prostredia, ktorými sú: informácie a prostriedky, štruktúry a pravidlá na vykonávanie operácií s informáciami. Za cieľ informačnej bezpečnosti považujeme ochranu informácií pred hrozbami a zraniteľnosťami vedúcimi k narušeniu spoľahlivosti, dostupnosti, dôvernosti a integrity, autentickosti a nepopierateľnosti informácií. Je potrebné sa zaoberať: - bezpečnosťou prostriedkov (nie len elektronických) a štruktúr na vykonávanie informačných činností, - pravidlami na vykonávanie informačných činností. V rámci informačnej bezpečnosti za predmet kybernetickej bezpečnosti považujeme elektronické časti prostriedkov informačného prostredia a informácie v elektronickej podobe, ako aj pravidlá správania sa v kybernetickom priestore vo vzťahu k entitám informačného prostredia. Podľa Terminologického slovníka krízového riadenia pod: - kybernetickou bezpečnosťou sa rozumie: bezpečnosť kybernetického priestoru., - kybernetickým priestorom sa rozumie: globálny, dynamický, otvorený systém, ktorý tvoria aktivované prvky kybernetického priestoru, osoby vykonávajúce aktivity v tomto systéme, ako aj vzťahy a interakcie medzi týmito entitami. Globálny kybernetický priestor je otvorený, jeho časť môže byť izolovaná a uzavretá. Jedná sa o priestor, v ktorom činnosť je podmienená využívaním elektroniky a elektromagnetického spektra. Zasahuje do pozemného, námorného, vzdušného aj kozmického priestoru, prechádza cez všetky informačné prostredia nachádzajúce sa v týchto priestorových doménach, môže ovplyvniť ich elektronické časti v dosahu elektromagnetického spektra. Za predmet riadenia kybernetickej bezpečnosti považujeme (v súlade so schválenou Koncepciou kybernetickej bezpečnosti) bezpečný, chránený, primerane otvorený kybernetický priestor s garantovanou úrovňou: - bezpečnosti aktív kybernetického priestoru, - ochrany určených aktív hospodársko-spoločenského života spoločnosti pred hrozbami naplniteľnými aktivitami v kybernetickom priestore. Za spoločnú úlohu kybernetickej bezpečnosti a informačnej bezpečnosti považujeme: vo vzájomnej súčinnosti zaistenie bezpečnosti elektronických subsystémov aktív informačného prostredia v rámci konkrétneho spoločensko-ekonomického prostredia. Zásadná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Kapitole 1. žiadame jasne a jednoznačne vymedziť dotknuté subjekty. Odôvodnenie: Podľa kapitoly 1., časť- Definície dotknutými subjektmi sú: organizácie s vyššími požiadavkami na bezpečnosť, t. j. organizácie ktoré sú: ústrednými orgánmi štátnej správy spracovávajúce citlivé informácie, sú prvkami kritickej infraštruktúry, alebo z povahy svojej činnosti existuje vyššia pravdepodobnosť, že budú cieľom útoku. Predmetnú špecifikáciu dotknutých subjektov považujeme za nezrozumiteľnú a zmätočnú, rovnako aj obr. 1, kde sú uvedené subjekty: rezort/sektor, odvetvie, organizácia. Z ďalšieho textu odstavca vyplýva, že dotknutými subjektmi navrhovanej metodiky sú niektoré: orgány verejnej moci (poznamenávame, že na PZ sa nevzťahuje zákon č. 275/2006 Z .z. o ISVS, ani zákon o e-Governmente), niektoré štátne inštitúcie (Kancelária NR, Kancelária prezidenta, rozpočtové organizácie MF SR a NASES (nie sú orgánmi verejnej moci, podľa zákona 275/2006 Z .z. o ISVS nie sú správcami IS VS) a prevádzkovatelia prvkov kritickej infraštruktúry. Tým vzniká zvláštne - nesystémové zoskupenie dotknutých štátnych aj neštátnych subjektov, bez kvalifikovaného, systémovo akceptovateľného zdôvodnenia ich výberu. Táto skutočnosť vnáša do systému riadenia informačnej bezpečnosti, ako aj kybernetickej bezpečnosti chaos. Prehlbuje sa existujúci systémový nedostatok, vyvolaný nejednotnou terminológiou v legislatíve, platnej pre oblasť informatizácie (zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy, zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente). Nie je jasné čo sa rozumie pod pojmom rezort, čo pod pojmom sektor (sú považované za synonymá?), čo pod pojmom odvetvie, čo pod pojmom organizácia? Aký je medzi nimi vzťah ? Odporúčame ústredný orgán štátnej správy vnímať ako dvojjediný subjekt, t. j. v pozícii orgánu verejnej moci, ale aj v pozícii organizácie všeobecne. V texte dokumentu, ako dotknutý subjekt, vystupuje aj organizačný útvar ústredného orgánu štátnej správ. Táto skutočnosť nemá oporu v zákone. Nositeľom kompetencií, práv a povinností navonok je ústredný orgán štátnej správy, nie jeho organizačný útvar. Zásadná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Celkovo k materiálu Žiadame obsah predloženého materiálu zosúladiť s aktuálnym právnym stavom a s jeho názvom. Odôvodnenie: Z názvu vlastného materiálu vyplýva, že sa jedná o dokument metodického charakteru. Obsah viacerých častí textu dokumentu nekorešponduje s vládou schválenými materiálmi, ani zákonmi. Konkrétne najmä: Koncepciou kybernetickej bezpečnosti SR na roky 2015 – 2020, Akčným plánom realizácie Koncepcie kybernetickej bezpečnosti SR na roky 2015 – 2020, vládnym návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, ktorý je momentálne v druhom čítaní predložený na rokovanie NR SR pod parlamentnou tlačou č. 763, zákonom č. 275/2006 Z. z. o informačných systémoch verejnej správy, zákonom č. 575/2001 Z .z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy. Značná časť textu sa týka vecnej pôsobnosti, kompetencií, povinností a úloh príslušných dotknutých subjektov, pričom tieto záležitosti nie sú podložené odkazom na príslušný predpis. Konkrétnymi príkladmi potvrdenia vyššie vedeného sú nasledujúce formulácie vybrané z textu dokumentu: - v kap. 3.1 je uvedené: Zber údajov o infraštruktúre je uvedené: pre riešenie bezpečnostných incidentov v rámci organizácie, sektora/rezortu, alebo národnej úrovne je potrebné získať komplexné informácie o k poskytovaných elektronických službách v zmysle zákona o E-Governmente.... Z textu vyplýva, že sa jedná najmä o infraštruktúru ISVS, keďže tieto systémy sú zdrojom poskytovaných elektronických služieb. Podľa zákona č. 275/2006 Z. z. o ISVS je infraštruktúra konkrétneho ISVS v kompetencii len povinnej osoby, ktorá je správcom tohto systému (§ 3, ods. 4) zákona 275/2006 Z. z. o ISVS). Každá povinná osoba, resp. organizácia podľa zákona nemá predmetné informácie k dispozícii. Na národnej úrovni je infraštruktúra ISVS v kompetencii ÚPVII (§ 4, ods. 2), písm. a) zákona 275/2006 Z. z. o ISVS). - v kap. 3.1.1. je uvedené: Organizácia musí mať k dispozícií aktuálne (a pravidelne aktualizované) údaje o verejne dostupných službách, použitých technológiách, pridelených verejných IP adresách ....Predmetná povinnosť vyplýva len povinným osobám, ktoré sú správcami ISVS z § 3, ods. 4), písm. f zákona č. 275/2006 Z. z. o ISVS. Ich požadovanie od ostatných subjektov považujeme za povinnosť, ktorá prekračuje rámec zákona. Kto je povinný komu poskytovať informácie, akým spôsobom musí byť predmetom právnej úpravy. Predmetné informácie v značnom rozsahu sú obsah centrálneho metainformačného systému (§ 2, písm. o) zákona č. 275/2006 Z. z. o ISVS), ktorého správcom je ÚPVII (§ 4, ods. 2), písm. a) zákona č. 275/2006 Z. z. o ISVS). - v kap. 3.1.2. je uvedené: Rezortný/sektorový útvar musí mať k dispozícií informácie o používaných technológiách a kontaktné údaje zo všetkých organizácií vo svojej pôsobnosti a musí pravidelne (minimálne však raz ročne ) overiť platnosť všetkých kontaktných údajov. Z formulácie nie je jasné o aké technológie sa jedná ani čo sa rozumie pod pojmom organizácia v pôsobnosti rezortného/sektorového útvaru. Predmetnú povinnosť povinným osobám, ktoré sú správcami ISVS, ukladá zákon č. 275/2006 Z. z. o ISVS (§ 3, ods. 4), písm. f)). Ich požadovanie od ďalších subjektov, ako aj za ďalšie technológie považujeme za povinnosť, ktorá prekračuje rámec zákona. Niektoré z uvedených informácií sú obsahom neverejného centrálneho registra prvkov kritickej infraštruktúry ach nakladanie s nimi upravuje zákon č. 45/2011 Z. z. o kritickej infraštruktúre. Kompetencie, práva a povinnosti ústredných orgánov štátnej správy v oblasti kybernetickej bezpečnosti vo všeobecnosti vyplývajú z § 35, zákona č. 575/2001 Z .z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy. Povinnosti v oblasti informačnej bezpečnosti ISVS vyplývajú z § 3, ods. 4) zákona č. 275/2006 Z. z. o ISVS. Rezortný/sektorový organizačný útvar formálno-právne nie je nositeľom práv a povinností. - v kap. 3.1.3. je uvedené: Na národnej úrovni musia byť k dispozícii kontaktné údaje všetkých organizácií na území ...... Národná autorita musí na národnej úrovni vytvoriť kontaktné miesto a identifikovať kontakty.... Z ustanovenia § 4), ods. 2, písm. f) zákona č. 275/2006 Z. z. o ISVS vyplýva, že národnou autoritou pre informačnú bezpečnosť ISVS je ÚPVII. Žiaden právny predpis nedefinuje národnú autoritu pre informačnú bezpečnosť všeobecne. Z § 34 zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy vyplýva, že národnou autoritou pre kybernetickú bezpečnosť je Národný bezpečnostný úrad. Kompetencie a pôsobnosť dotknutých subjektov v oblasti kybernetickej bezpečnosti sú predmetom vládou schváleného Návrhu zákona o kybernetickej bezpečnosti. Kompetencie a pôsobnosť ústredných orgánov štátnej správy v oblasti kybernetickej bezpečnosti všeobecne vyplývajú z § 35 zákona č. 575/2001 Z. Z. o organizácii činnosti vlády a organizácii ústrednej štátnej správ. - v kap. 3.2. povinnosť vybudovania technických spôsobilostí na riešenie bezpečnostných incidentov (bezpečnostný tím, resp. tým CSIRT) nestanovuje žiaden právny predpis. Ich vybudovanie vo vzťahu k informačnej bezpečnosti ISVS na úrovni každej organizácie (povinnej osoby) považujeme za neracionálne, neefektívne idúce nad rámec ustanovení § 3, ods. 4), písm. b), písm. c), písm. i), písm. j), písm. k) zákona č. 275/2006 Z. z. o ISVS. Riešenie tejto záležitosť, pre oblasť kybernetickej bezpečnosti, na národnej a rezortnej/sektorovej úrovni je predmetom vládou schváleného Návrhu zákona o kybernetickej bezpečnosti. - v kap. 4 povinnosť: V rámci prípravy technických spôsobilostí musí každý rezortný /sektorový útvar, národná autorita, organizácia so zvýšenými požiadavkami na bezpečnosť disponovať bezpečnostným tímom, ktorý zabezpečí základnú úroveň bezpečnosti informačných systémov v danej inštitúcii. Predmetnú povinnosť nestanovuje žiaden predpis. Význam kľúčových pojmov „organizácia so zvýšenými požiadavkami na bezpečnosť, bezpečnosť informačných systémov, základná úroveň bezpečnosti informačných systémov“ nie je nikde špecifikovaný. - požiadavku v kap. 5: V rámci prípravy technických spôsobilostí musí každý rezortný /sektorový útvar a národná autorita, disponovať CSIRT tímom, ktorý zabezpečí riešenie bezpečnostných incidentov v danom rezorte/sektore a v organizáciách so zvýšenými požiadavkami na bezpečnosť považujeme za neracionálne, neefektívne riešenie. Uvedená požiadavka je nad rámec povinností, stanovených v navrhovanom Zákone o kybernetickej bezpečnosti, ktorý predpokladá povinné zriadenie CSIRT tímu iba v rámci kompetencií a pôsobnosti vecne príslušných autorít. - v kap. 5 navrhované postavenie vládneho CSIRT tímu na úrovni rezortného/sektorového útvaru nie je v súlade s návrhom Zákona o kybernetickej bezpečnosti. V texte je stotožnená národná a vládna úroveň. Podľa nášho názoru tieto domény nie sú na rovnakej úrovni. Toto stotožnenie de facto vylučuje národnú úroveň, nekorešponduje s Návrhom zákona o kybernetickej bezpečnosti, ktorý v prílohe č. 1 definuje sektory. Vecnú pôsobnosť, kompetencie, práva, povinností nemožno dotknutým subjektom stanoviť dokumentom metodického charakteru. Tieto atribúty subjektov upravuje právny predpis pre príslušnú vecnú oblasť. Metodika vo všeobecnosti predstavuje súbor metód a nástrojov pre praktické zvládnutie procesov príslušnej vecnej oblasti vyplývajúcich z relevantných právnych predpisov. Dokument sa neodvoláva na žiadny právny predpis upravujúci vecnú oblasť pre ktorú má predložená metodika konkretizovať metódy a postupy aplikácie povinností a práv dotknutých subjektov. Z uvedeného vyplýva, že predmetný materiál nemožno považovať za dokument metodického charakteru. Považujeme ho za návrh odporúčaní pre prípravu metodického dokumentu, ktorá sa má týkať bezpečnosti ISVS. Zásadná pripomienka Odoslaná Detail
NBS (Národná banka Slovenska) 1. Časť 7.2 Audit informačnej bezpečnosti, 1. odsek Definícia auditu informačnej bezpečnosti ako kontrolnej činnosti pre opatrenia informačnej bezpečnosti podľa nášho názoru neprimerane zužuje cieľ a účel takéhoto auditu, keďže v prípade neúplných alebo nedostatočných opatrení výsledky takto definovaného auditu môžu byť minimálne. Podľa medzinárodných štandardov v tejto oblasti sa pod auditom rozumie nezávislé posúdenie rizík a primeranosti a účinnosti kontrolných mechanizmov na elimináciu alebo aspoň zmiernenie týchto rizík. Odporúčame upraviť v tomto zmysle. 2. Časť 7.2.1 Príprava – zoznam relevantnej dokumentácie, ktorá má byť sprístupnená auditnému tímu na účely efektívneho naplánovania auditu V zozname chýbajú niektoré relevantné podklady, napr. zoznam a dokumentácia k bezpečnostným incidentom, výsledky penetračných testov a testov zraniteľností za preverované obdobie. Odporúčame doplniť. Vzorové zmluvy odporúčame nahradiť reálnymi zmluvami. 3. Tabuľka v časti 7 a časť 7.2.6 Správa z Auditu Odporúčame zjednotiť dobu opakovania auditu, uvedenú rôzne v týchto dvoch častiach materiálu (v tabuľke je v riadku pre Audit informačnej bezpečnosti uvedené pre frekvenciu opakovania: "Raz za tri roky musia byť auditované všetky IS a procesy, odporúča sa vykonávať čiastkové audity raz ročne", avšak v časti 7.2.6 Správa z Auditu je uvedená úloha Vykonať audit informačnej bezpečnosti organizácie s periodicitou raz ročne a Typ úlohy: Povinná. Navrhujeme stanoviť povinnosť vykonať v priebehu 3 rokov audit informačnej bezpečnosti len kritických IS a procesov. 4. Časti 7.3 a 7.4, týkajúce sa stanovenia osoby, ktorá môže vykonať posúdenie zraniteľnosti a penetračné testovanie, obsahujú protichodné požiadavky, napr. v rámci časti 7.3.1 a 7.4.1 Príprava prvé dva odseky odporujú odsekom pod názvami Úroveň organizácie v časti 7.3 a 7.4, ďalej v časti 7.3 sa stanovuje, že posúdenie zraniteľnosti musí byť vykonané ako externé, ale vlastným zamestnancom apod. Obyčajná pripomienka Odoslaná Detail
ÚVSR (Úrad vlády Slovenskej republiky) Žiadame predložený materiál z MPK stiahnuť, zosúladiť s Metodickým pokynom na prípravu a predkladanie materiálov na rokovanie vlády SR, dopracovať podľa vznesených pripomienok a následne predložiť do legislatívneho procesu. Odôvodnenie: a) Predkladacia správa je neúplná. Obsahuje iba časti: podnet a stručný obsah. Neobsahuje ďalšie časti, ktorými sú: potreba, ďalšie kroky - predpoklad napr.: uskutočnenie organizačných, materiálno technických a personálnych predpokladov, ako aj vykonávacích predpisov. b) Návrh uznesenia vlády je predložený len vo forme šablóny – obsahovo prázdny. c) Vlastný materiál neobsahuje náležitosti podľa predmetnej metodiky, konkrétne : - analýzu súčasného stavu problematiky, pozitívnych stránok a tendencií i nedostatkov a ich základných príčin, jasné a reálne určenie ďalších cieľov a úloh, ako aj spôsob, prostriedky a časový postup ich zabezpečenia, - odôvodnenie, ako sú navrhované riešenia zabezpečené vecne, organizačne a personálne, - väzbu na relevantné právne predpisy a materiály, ktorý vláda prerokovala vo vzťahu k bezpečnosti ISVS, informačnej bezpečnosti a kybernetickej bezpečnosti, - presahuje rozsah 15 str., neobsahuje žiadne prílohy. Absenciu analýzy súčasného stavu a väzby navrhovaného riešenia na relevantné právne predpisy považujeme za zásadný nedostatok predloženého materiálu. Najmä z tejto skutočnosti vyplývajú nižšie uvedené pripomienky s požiadavkou na prepracovanie dokumentu. Odporúčame zvážiť presun niektorých častí do príloh (napr. špecifikáciu dát potrebných pre riešenie bezpečnostných incidentov v kap. 3.1.1, úlohy bezpečnostných tímov v kap. 4 ....). Zásadná pripomienka Odoslaná Detail
PMÚSR (Protimonopolný úrad Slovenskej republiky) K časti 4 Bezpečnostné tímy, Personálne zabezpečenie - posledná veta Zároveň chceme upozorniť, že ustanovenie platu pre člena bezpečnostného tímu minimálne na úrovni 80 % výšky platového ohodnotenia na rovnakej pozícii v súkromnom sektore by malo korešpondovať so zákonom č. 55/2017 Z. z. o štátnej službe v znení neskorších predpisov a s príslušnými platovými tabuľkami. V materiáli a v doložke vybraných vplyvov absentuje vyčíslenie týchto nákladov a zabezpečenie rozpočtovného krytia. Z návrhu nie je zrejmá ani výška, alebo aspoň rozpätie tohto platového ohodnotenia. Obyčajná pripomienka Odoslaná Detail
PMÚSR (Protimonopolný úrad Slovenskej republiky) K doložke vybraný vplyvov Návrh metodiky zavádza nové povinnosti, zároveň je z návrhu zrejmé, že splnenie týchto povinností si bude vyžadovať navýšenie výdavkov úradu a personálne navýšenie odborných zamestnancov a ich finančné zabezpečenie. V návrhu však chýba pokrytie nevyhnutých výdavkov, ktoré budú s vyššie uvedeným spojené. V doložke vybraných vplyvov predkladateľ uvádza, že návrh nezakladá zvýšené nároky na rozpočet verejnej správy. Protimonopolný úrad Slovenskej republiky nemá v návrhu rozpočtu na roky 2018 až 2020 zabezpečené zvýšené výdavky, ktoré by umožňovali realizáciu navrhovanej úpravy. Zásadná pripomienka Odoslaná Detail
PMÚSR (Protimonopolný úrad Slovenskej republiky) Všeobecne k celému návrhu Vzhľadom na odbornú a personálnu náročnosť úloh, ktoré z návrhu vyplývajú navrhujeme, aby predkladateľ zvážil alternatívne riešenie postupov a podpory prevencie a pripravenosti organizácie pre systematické zabezpečenie informačnej bezpečnosti. Protimonopolný úrad Slovenskej republiky nemá návrhom požadované personálne kapacity na realizovanie úloh, ktoré z tohto návrhu vyplývajú a bude mať problém so zabezpečením plnenia úloh, preto by bolo vhodné, aby tieto úlohy centrálne koordinoval, usmerňoval a zabezpečoval jeden gestor. Obyčajná pripomienka Odoslaná Detail
MHSR (Ministerstvo hospodárstva Slovenskej republiky) k Návrhu komuniké Odporúčame predkladateľovi uviesť, že „vláda SR prerokovala a schválila“ predmetný materiál. Obyčajná pripomienka Odoslaná Detail
MHSR (Ministerstvo hospodárstva Slovenskej republiky) k doložke vybraných vplyvov Odporúčame predkladateľovi v časti „10. Poznámky“ uviesť informáciu, že materiál má odporúčací charakter. Obyčajná pripomienka Odoslaná Detail
MHSR (Ministerstvo hospodárstva Slovenskej republiky) k Návrhu uznesenia vlády SR Odporúčame predkladateľovi naformulovať návrh uznesenia s odporúčacím charakterom pre dotknuté subjekty uvedené v Doložke vybraných vplyvov v časti 4. Obyčajná pripomienka Odoslaná Detail
MPSVRSR (Ministerstvo práce, sociálnych vecí a rodiny Slovenskej republiky) Žiadame zosúladiť predkladanú Metodiku s pripravovaným zákonom o kybernetickej bezpečnosti. Odôvodnenie: • Samotné vydanie metodiky je v rozpore so zákonom o kybernetickej bezpečnosti, ktorý je momentálne v štádiu rokovania NR SR. Podľa § 5, ods.1 bod b. tohto zákona vydáva metodiku a politiku správania sa v kybernetickom priestore NBÚ. • Podľa predkladanej metodiky inštitúcie musia napr. „v rámci personálneho zabezpečenia Bezpečnostného tímu musí inštitúcia zabezpečiť aspoň dvoch interných zamestnancov...“, pričom „Platové ohodnotenie člena bezpečnostného tímu musí byť minimálne na úrovni 80 percent výšky platového ohodnotenia na rovnakej pozícií v súkromnom sektore“. Odporúčací charakter Metodiky, v zmysle Predkladacej správy, je v rozpore s povinnými požiadavkami kladenými Metodikou na OVM. • Ak má Metodika splniť účel (podporiť vytvorenie a udržanie bezpečnosti), tak nemôže mať odporúčací charakter a tým pádom musí mať aj vplyv na rozpočet. • Daný návrh Metodiky nezodpovedá terminológii uvedenej v pripravovanom zákone o kybernetickej bezpečnosti. Zákon nepozná pojmy ako Národná autorita, rezortná/sektorová autorita atď., ale používa pojmy Úrad, Národná jednotka CSIRT, sektor alebo podsektor atď. • úlohu „Skenovať verejné IP rozsahy organizácie prostredníctvom nástroja typu port scanner s detekciou verzií sieťových služieb, vyhodnotiť informácie o otvorených sieťových portoch a vypnúť služby, ktoré sú nepotrebné pre chod organizácie. Informáciu o dostupných službách zaslať rezortnému / sektorovému kontaktnému bodu“ má vykonávať príslušný CSIRT a nie každý OVM. Obyčajná pripomienka Odoslaná Detail
GPSR (Generálna prokuratúra Slovenskej republiky) 4. K doložke vybraných vplyvov Nesúhlasíme s údajom, že materiál nebude mať žiadny vplyv na rozpočet verejnej správy a informatizáciu. Prípadné plnenie úloh vyplývajúcich z metodiky bude predstavovať zvýšené finančné náklady pre prokuratúru, ako aj pre iné štátne orgány. Obyčajná pripomienka Odoslaná Detail
GPSR (Generálna prokuratúra Slovenskej republiky) 3. Kapitola 5 k časti „Úlohy (vládny CSIRT tím)“ Na strane 21 v odrážke „Korelácia a vyhodnocovanie údajov“ navrhujeme vypustiť slovo „podriadených“. Organizácie na základe členenia podľa poskytovateľa základnej služby k vecne príslušnej autorite nie sú jej podriadenými organizáciami. Obyčajná pripomienka Odoslaná Detail
GPSR (Generálna prokuratúra Slovenskej republiky) 2. Kapitola 3 Materiál sa na strane 7 odvoláva na prílohu UDAJE1, ktorá nie je k dispozícii. Až po sprístupnení tejto prílohy bude možné zaujať stanovisko k tejto časti materiálu. Obyčajná pripomienka Odoslaná Detail
GPSR (Generálna prokuratúra Slovenskej republiky) 1. Všeobecne Návrh metodiky navrhujeme prepracovať, pretože v navrhovanom znení ukladá povinnosti štátnym orgánom, čo by mohlo byť v rozpore s čl. 2 ods. 2 Ústavy Slovenskej republiky. Problematická by bola tiež vynutiteľnosť plnenia týchto povinností. Obyčajná pripomienka Odoslaná Detail
MPRVSR (Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky) 5. Vydávať záväzné metodiky a záväznú politiku správania sa v kybernetickom priestore je v kompetencii Národného bezpečnostného úradu, § 5 ods. (1) písm. b) návrhu Zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov čo môže spôsobovať problém pri plnení postupov jednotlivých metodík. Obyčajná pripomienka Odoslaná Detail
MPRVSR (Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky) 3. Z materiálu nie je jasné aký počet interných zamestnancov rezortné/sektorového CSIRT tímu má/musí organizácia – ministerstvo zabezpečiť. Obyčajná pripomienka Odoslaná Detail
MPRVSR (Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky) 1. Z materiálu vyplýva, že platové ohodnotenie interných zamestnancov CSIRT tímu musí byť minimálne na úrovni 80% výšky platového ohodnotenia na rovnakej pozícii v súkromnom sektore. Z uvedeného budú vyplývať zvýšené nároky na rozpočet verejnej správy, nakoľko súčasné platové podmienky v štátnej a verejnej službe u zamestnancov IT nedosahujú úroveň 80% výšky platového ohodnotenia na rovnakej pozícii v súkromnom sektore. Obyčajná pripomienka Odoslaná Detail
MPRVSR (Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky) 4. Materiál nemá vypracovaný „Návrh uznesenia vlády SR“, preto nie je možné zistiť záväznosť jednotlivých úloh ani celého materiálu. Obyčajná pripomienka Odoslaná Detail
MPRVSR (Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky) 2. V rozpore s uvedeným je text v Predkladacej správe, kde sa uvádza, že materiál má len odporúčajúci charakter a nemá žiadne vplyvy na rozpočet. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu:1. Doplniť úpravu „Definície skratiek“. Odôvodnenie: v materiáli sú používané skratky bez ich vysvetlenia, napr. NASES, PZ SR, CSIRT, IT, ÚOŠS, IKT a pod. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 48. K bodom „7.4.1 Externé penetračné testovanie“ a „7.4.2 Interné penetračné testovanie“: vo vete „Po ukončení penetračného testu by mal tím na penetračné testovanie poskytnúť testovanej organizácii zoznam všetkých zmien v systéme, ktoré boli počas testu vykonané.“ zmeniť slová „by mal“ za slovo „musí“. Odôvodnenie: po ukončení testovania je potrebné uviesť systém do pôvodného stavu. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 49. K úlohe „Vykonať odstránenie zistených nedostatkov a zaslať správu o prijatých opatreniach rezortnej / sektorovej autorite.“ (str. 38): prípade cloud computingu nemusí byť odstránenie nedostatkov umožnené. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 50. V celom materiáli zosúladiť použité pojmy „kmeňový zamestnanec“ a „interný zamestnanec“. Odôvodnenie: legislatívno-technická pripomienka. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) II. K Doložke vybraných vplyvov: 51. Napriek označenie v Predkladacej správe, že materiál má odporúčací charakter a z uvedeného dôvodu okrem iného nemá vplyv na rozpočet verejnej správy, má úrad za to, že predložený materiál má vplyv na rozpočet verejnej správy. Uvedené je zrejmé zo spôsobu formulácie materiálu, ktorý obsahuje jednotlivé úlohy pre organizácie verejnej správy, prvky kritickej infraštruktúry, rezortné/sektorové autority, národnú autoritu, organizácie so zvýšenými požiadavkami na bezpečnosť a pod. Zároveň je potrebné doplniť, že už v prvej kapitole materiálu „1 Definícia významu kľúčových slov“ je definované ako chápať použité kľúčové slová, napr. „musí“, „nesmie“, „malo by“, „nemalo by“, „odporúča sa“, „povinná úloha“, „nepovinná úloha“. V prípade pojmu „malo by[byť]” – špecifikuje požiadavku, ktorá je mandatórna pokiaľ neexistuje pádny dôvod prečo nemôže byť splnená. Ak existuje takýto dôvod, musí byť zdokumentovaný a schválený.“. Úrad žiada zabezpečenie financovania plnenia jednotlivých úloh z materiálu, v rámci ktorých je aj plnenie úloh vyplývajúcich z podkapitoly 7.2 Audit informačnej spoločnosti, ako aj podkapitol 7.1 Analýza rizík, 7.3 Posúdenie zraniteľnosti a 7.4 Penetračné testovanie. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) III. K celému materiálu: 52. Všeobecne: materiál predkladá Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu ako plnenie úlohy 3.3. z Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020, ktorú malo vypracovať Ministerstvo financií Slovenskej republiky v súčinnosti s NBÚ, MV SR, DC/CSIRT.SK v roku 2016. Predkladaná metodika je obsahovo hodnotná a potrebná, ale je zarážajúce, že pred jej vypracovaním nebola aspoň predložená na prejednanie výboru BR SR pre kybernetickú bezpečnosť, ktorý zastrešuje celý legislatívny rámec kybernetickej bezpečnosti a najmä proces prípravy zákona o kybernetickej bezpečnosti. Tým sa môže stať, že predkladaná metodika v niektorých ustanoveniach nie je v úplnom súlade (terminologicky, obsahovo) s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (porovnajúc so znením návrhu zákona schváleného vládou Slovenskej republiky dňa 08. 11. 2017 pod číslom uznesenia 507/2017), nehovoriac o tom, že znenie návrhu predmetného zákona môže byť ešte v Národnej rade Slovenskej republiky pri jeho schvaľovaní zmenené. Úrad je toho názoru, že celá metodika by mala byť pojmovo, obsahovo, terminologicky a najmä chronologicky z hľadiska plnenia úloh jednotlivými subjektami v oblasti kybernetickej bezpečnosti plne zosúladená s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a do Bezpečnostnej rady Slovenskej republiky predkladaná cestou jej Výboru pre kybernetickú bezpečnosť. Iba takýmto spôsobom je možné zabezpečiť, aby riešenie kybernetickej bezpečnosti bolo po horizontálnej i vertikálnej línii komplexne zabezpečené. Materiál je v mnohých ustanoveniach nesúladný s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Je pochopiteľné, že predkladateľ chce dodržať termín plnenia úlohy z uznesenia vlády, ale je to kontraproduktívne, pokiaľ nebude platný a účinný zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. V tejto fáze legislatívneho procesu (podľa aktuálnej verzii návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov po 1. čítaní v Národnej rade Slovenskej republiky) je rozpor minimálne v týchto ustanoveniach: - podľa § 5 ods. 1 písm. b) návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov vytvára metodiky Národný bezpečnostný úrad, a nie Úrad podpredsedu vlády pre investície a informatizáciu (ďalej len „ÚPVII“), - podľa § 9 ods. 2 návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov ÚPVII zabezpečuje úlohy podľa § 9 ods. 1 písm. a) prostredníctvom vládnej jednotky CSIRT. V § 9 ods. 1 nie je spomenutá povinnosť UPVII vytvárať metodiky, - vládna jednotka CSIRT, ktorú vytvára UPVII má byť, podľa návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, rovnako akreditovaná ako ktorákoľvek iná jednotka CSIRT. V prípade, že bude táto metodika schválená vládou Slovenskej republiky a návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov bude prijatý v aktuálnej verzii, stojí otázka, či bude metodika UPVII platná pre orgány štátnej správy. Ak zostane materiál v legislatívnom procese, je nevyhnutné zosúladiť ho s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a metodikami, ktoré už vydalo MF SR. Úrad navrhuje, aby UPVII požiadal vládu Slovenskej republiky o zmenu termínu plnenia bodu B.1. uznesenia vlády Slovenskej republiky č. 51 z 25. januára 2017, kým nebude prijatý zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a nebudú jednoznačne určené kompetencie orgánov štátnej správy. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 44. K bodu „7.2.3 Plán auditu“: za slová „otázky zachovania dôvernosti“ vložiť slová „a mlčanlivosti“. Odôvodnenie: požiadavka zabezpečenia mlčanlivosti. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 47. K bodu „7.3.3 Správa z posúdenia zraniteľnosti“ – úloha: Vykonať odstránenie nedostatkov zistených externým posúdením zraniteľností a zaslať správu o prijatých opatreniach rezortnej/sektorovej autorite: v prípade cloud computingu nemusí by odstránenie nedostatkov umožnené. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 42. K bodu „7.2.1 Príprava“: v texte „Auditnému tímu musí byť sprístupnená všetka relevantná dokumentácia ...“ zmeniť slová „musí byť“ na „by mala byť“ a vypustiť slovo „všetka“. Úrad má za to, že ponechanie pôvodného znenia by znamenalo poskytnutie dokumentácie vrátane hesiel, aby sa mohla skontrolovať ich vlastnosť a iných dôverných veci. Úrad upozorňuje na ďalší text, podľa ktorého sa už nehovorí v imperatíve (musí), ale „Odporúča sa poskytnúť aspoň nasledujúce dokumenty: ...“. Úrad žiada, aby vymenovanie dokladov bolo nasledujúce: Uvedenými dokladmi sú: ..... a iné.“. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 46. Ku podkapitolám „7.1 Analýza rizík“, „7.3 Posúdenie zraniteľnosti“ a podkapitole 7.4 Penetračné testovanie: vypustiť všetky označené kapitoly z materiálu. Odôvodnenie: prvej vety podkapitoly „Posúdenie zraniteľností informačnej bezpečnosti na úrovni organizácie sa musí vykonávať ako externé posúdenie zraniteľností (vulnerability scan) vykonané vlastným zamestnancom, sektorovou/rezortnou jednotkou CSIRT, resp. inou jednotkou CSIRT, alebo zmluvným špecialistom.“. Návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov „analýzu rizík“, „posúdenie zraniteľnosti“ a „penetračné testovanie“ neupravuje. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 43. K bodu „7.2.1 Príprava“: definovať audit 1. stupňa a audit 2. stupňa, smernicu ohľadom disciplinárneho konania. Odôvodnenie: chýbajúce definície. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 45. Ku podkapitole „7.2 Audit informačnej bezpečnosti“: prepracovať v zmysle návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Odôvodnenie: podľa bodu 7.2.1 má organizácia vymenovať vedúceho audítora, ktorý bude poverený zostaviť auditný tím a vykonať samotný audit. Podľa prvej vety prvého odseku podkapitoly je audit vykonaný vlastným zamestnancom alebo zmluvným audítorom. Podľa § 29 ods. 3 návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov „Audit kybernetickej bezpečnosti vykonáva orgán posudzovania zhody podľa osobitného predpisu, ktorý je akreditovaný ako orgán príslušný na posudzovanie zhody v oblasti kybernetickej bezpečnosti“; nezhoduje sa názov výstupu z auditu ako aj periodicita vykonania auditu (§ 29 ods. 2 návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov). Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 40. K tabuľke č. 1 (str. 25): označiť tabuľku názvom. Odôvodnenie: chýbajúce označenie. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 39. K celému materiálu: odstrániť gramatické chyby (čiarky, bodky, nedokončený text v druhej vete na str. 14 druhý odsek ...). Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 38. Ku kapitole „6 Bezpečnostné opatrenia“: v kapitole nie sú úlohy, ani neodkazuje na inú kapitolu. Úrad odporúča odstrániť z materiálu uvedenú kapitolu a informáciu o nezáväznom dokumente. Uvedených metodik existuje mnoho a taktiež sú voľne dostupné. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 35. K vete „Platové ohodnotenie člena bezpečnostného tímu musí byť minimálne na úrovni 80 percent výšky platového ohodnotenia na rovnakej pozícií v súkromnom sektore.“ na str. 18 posledný odsek kapitoly „4 Bezpečnostné tímy“) a vete „Platové ohodnotenie člena tímu CSIRT musí byť minimálne na úrovni 80 percent výšky platového ohodnotenia na rovnakej pozícií v súkromnom sektore.“ na str. 24 predposledný odsek kapitoly „5 Tímy CSIRT“: úrad žiada tieto vety vypustiť. Odôvodnenie: vzhľadom na text návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, podľa ktorého bola vypustená novelizácia zákona č. o štátnej službe a o zmene a doplnení niektorých zákonov v znení zákona č. 334/2017 Z. z., ktorá umožňovala príplatok, úrad upozorňuje na nereálnosť predmetnej požiadavky. Ďalej úrad doplňuje, že databáza platového ohodnotenia člena bezpečnostného tímu v súkromnom sektore neexistuje, prípadne je anonymná a tým pádom nezistiteľná a neoveriteľná. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 36. Ku kapitole „5 Tímy CSIRT“: v texte sú použité odkazy na produkty - FTK Imager a deception token. Obidva produkty sú komerčné a vzhľadom na verejné obstarávanie ich úrad neodporúča priamo menovať. Úrad žiada o nahradenie týchto názvov komerčných produktov popisom čo majú technické prostriedky spĺňať, prípadne určiť jeden orgán, ktorý bude centrálne zabezpečovať nákup týchto produktov a prerozdeľovať ich na organizácie. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 41. K bodu „7.1.7 Vyhodnotenie opatrení a preskúmavanie zvyškového rizika“: vypustiť interné audity. Odôvodnenie: návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov neupravuje interné audity. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 34. K vete „Bezpečnostné tímy rezortných a sektorových útvarov by mali mať aspoň troch interných zamestnancov ...) na str. 18 druhý odsek: definovať pojem „rezortné a sektorové útvary“. Odôvodnenie: chýba definícia, a teda hrozí možnosť vzniku aplikačných problémov. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 32. K Úlohám na str. 17: doplniť kto je adresát úlohy. Odôvodnenie: chýba označenie subjektu kto má plniť úlohy. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 37. K poslednej vete posledného odseku v kapitole „5 Tímy CSIRT“ (str. 24): úrad žiada vo vete v znení „Národná autorita však musí zabezpečiť ochranu citlivých údajov súvisiacich s riešeným incidentom“ na konci textu vložiť slová „vrátane citlivých informácií Y“ a utajovaných skutočností“ vložiť odkaz na poznámku pod čiarou v znení: „Y)) § 3 ods. 16 a 17 zákona č. 541/2004 Z. z. o mierovom využívaní jadrovej energie (atómový zákon) a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.“. Odôvodnenie: zabezpečenie ochrany v prípade úradu sa týka utajovaných skutočností a tiež citlivých informácií podľa atómového zákona. Podľa § 3 ods. 16 atómového zákona „Za dokumentáciu obsahujúcu aj citlivé informácie sa považuje dokumentácia, ktorej zverejnenie by sa mohlo použiť na naplánovanie a vykonanie činností s cieľom spôsobiť narušenie alebo zničenie jadrového zariadenia, a tým nepriaznivo ovplyvniť bezpečnosť verejnosti a spôsobiť ekologickú alebo ekonomickú škodu. Táto dokumentácia sa sprístupňuje po vylúčení citlivých informácií.“. Podľa § 3 ods. 17 atómového zákona „Dokumentáciou obsahujúcou aj citlivé informácie sa rozumie dokumentácia uvedená v prílohe č. 1 bode A písm. c), bode B písm. a), b), i), m), bode C písm. a), d), i), j), s), w) a prílohe č. 2 bode A písm. b), bode B písm. b). Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 30. K „Obrázku 1 Koordinácia riešenie bezpečnostných incidentov národnej úrovni“ (str. 16): v obrázku chýba prepojenie a koordinácia jednotiek CSIRT a bezpečnostných tímov. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 21. Zvážiť publikáciu napr. informácií o kontaktoch na webovej stránke organizácie (Úloha na str. 8), klasifikačnej schémy pre klasifikáciu bezpečnostných incidentov na webovej stránke (bod „3.2.4 Klasifikačná schéma bezpečnostných incidentov“ – str. 11 a 12) napr. i z hľadiska bezpečnosti osôb vykonávajúcich kybernetickú bezpečnosť. Ak uvedené informácie majú byť publikované, tak len pre okruh osôb v súvislosti s plnením úloh vyplývajúcich z tohto materiálu, t. j. úrad má za to, že nemajú byť verejne prístupné. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 20. K bodu „3.2.1 Úroveň organizácie“ (str. 10): spresniť text „úlohy 3.4 Akčného plánu ku koncepcii KB“ v súlade s názvom materiálu schváleným vládou Slovenskej republiky dňa 02. 03. 2016 pod číslom uznesenia 93/2016. Odôvodnenie: z textu materiálu nie je zrejmé, či ide len o podriadenú zložku prísl. rezortu alebo aj iný subjekt. Z uvedeného môžu do budúcnosti vznikať aplikačné problémy. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 12. K celému materiálu: v slovách „do 31.1. roku“ pred slovom „roku“ vložiť slovo „kalendárneho“. Odôvodnenie: legislatívno-technická pripomienka. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 19. K celému materiálu: definovať čo je „organizácia“. Odôvodnenie: z textu materiálu nie je zrejmé, či ide len o podriadenú zložku prísl. rezortu alebo aj iný subjekt. Z uvedeného môžu do budúcnosti vznikať aplikačné problémy. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 13. K celému materiálu: k slovám „šifrovaný email“ v akomkoľvek gramatickom tvare: doplniť spôsob šifrovania. Odôvodnenie: chýbajúci popis spôsobu šifrovania (napr. str. 7, 10). Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 14. K str. 7 (Úlohy) k slovám „po významnej zmene“: definovať pojem „významná zmena“. Odôvodnenie: chýbajúca definícia pojmu, a teda možnosť vzniku aplikačných problémov pri plnení úlohy uvedenej na str. 7. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 15. K celému materiálu: termíny plnenia úloh je potrebné prispôsobiť reálnym termínom vyplývajúcim zo skutočnosti, že návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov ešte nebol zverejnený v Zbierke zákonov Slovenskej republiky a jeho znenie môže byť menené vrátane jeho účinnosti. Pri definovaní termínu „neodkladne“ alebo „jednorazovo“ úrad odporúča, aby bol určený konkrétny, ale reálne určený termín vzhľadom na vyššie uvedené. V prípade, ak je určená lehota na plnenie, napr. 30 dní (str. 9), 24 hod. (str. 13), je potrebné doplniť od akého dátumu alebo momentu sa lehota počíta. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 11. K celému materiálu: prehľadne očíslovať jednotlivé úlohy v materiáli a rozdeliť na úlohy podľa jednotlivých konkrétnych adresátov, t. j. nezlučovať pre viaceré subjekty, resp. používať zlučujúce názvy, napr. „všetky organizácie verejnej správy“ a pod. V prípade použitia takýchto názvov úrad navrhuje zadefinovať uvedený pojem, ktoré subjekty sú zahrnuté v danom pojme. Ďalej formuláciu úloh pre rezortné/sektorové autority naformulovať tak, aby bolo jasné, že v prípade, ak jednotlivé rezorty nemajú podriadené organizácie, tak pre nich úloha nie je zadaná, ak sa úloha týka rezortov, ktoré podriadené organizácie majú. Odôvodnenie: zabezpečenie prehľadnosti, jednoznačného adresovania úloh a zabezpečenie možnosti vyhodnocovania úloh, čo pri ich neoznačení nie je reálne. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 10. K str. 7 veta „Údaje vo formáte (viď príloha UDAJE1) musia byť nahlásené ...“: doplniť prílohu „UDAJE1“. Odôvodnenie: chýbajúca príloha, a tým objektívna nemožnosť plnenia úlohy vyplývajúcej z predmetného materiálu. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 4. V kapitole „2 Účel dokumentu“ prvom odseku konkretizovať presným názvom úlohu z bodu 3.3 „akčného plánu“ a tiež pojem „akčný plán“ konkretizovať jeho názvom, dátumom prerokovania vládou Slovenskej republiky a číslom uznesenia. Odôvodnenie: nekonkrétne označenie „akčného plánu“. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 9. Na str. 7 v druhej zarážke „Osoba s riadiacimi právomocami ...“ na konci textu doplniť slová „- koordinačný kontakt“ a v texte „Rola kontaktnej osoby (primárny, sekundárny kontakt alebo koordinačný kontakt“ za slovo „primárny“ vložiť slovo „kontakt“. Odôvodnenie: zavedenie skratky „koordinačný kontakt“ v nadväznosti na text „Rola kontaktnej osoby (primárny, sekundárny kontakt alebo koordinačný kontakt“ (str. 7) a zjednotenie použitej terminológie s označením kontaktných osôb (str. 6 a 7). Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 7. K bodu „3.1.1 Úroveň organizácie“ (str. 6) posledná časť začínajúca: "Primárny kontakt"; kapitola „4 Bezpečnostné tímy“ (str. 17) časť Personálne zabezpečenie, kapitola „5 Tímy CSIRT“: úrad odporúča nepoužívať v materiáli linky priamo na dokument. Stačí drobná zmena, napr. zmena názvu dokumentu na novšiu verziu a link nebude funkčný. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 8. K bodu „3.1.1 Úroveň organizácie“ (str. 7) časť začínajúca: "Osoba s riadiacimi právomocami ..."; kapitola „4 Bezpečnostné tímy“ (str. 18) druhý odsek začínajúci: "Členom bezpečnostného tímu musí byť ...": v tretej odrážke je určená povinnosť pre osobu s riadiacimi právomocami, že musí mať právomoc vypnúť/zablokovať/vykonať zmenu/obmedziť prevádzku služieb. Úrad žiada o zmenu slov "musí mať" na "mal by mať". Najmä v prípade veľkých ministerstiev je potrebný zásah viacerých zamestnancov. Jeden zamestnanec nemusí mať dosah na každú službu. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 6. K bodu „3.1.1 Úroveň organizácie“ (str. 6) posledná časť začínajúca: "Primárny kontakt"; kapitola „4 Bezpečnostné tímy“ (str. 17) časť Personálne zabezpečenie: v prvom bode je požiadavka, že primárny kontakt musí mať IT znalosti minimálne v rozsahu znalostného štandardu vypracovaného pre vedúcich pracovníkov s poznámkou pod čiarou odvolávajúcou sa na študijné materiály na webovej stránke www.csirt.sk. Úrad žiada o zmenu slov "musí mať" na "mal by mať". Takto vysoko postavenou požiadavkou nebude možné zaručiť, aby všetky organizácie, ktorých sa týka materiál, mohli určiť primárny kontakt. Takisto nie je určené, akým spôsobom sa bude overovať, či požadovanú úroveň primárne kontakty dosahujú. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 5. Ku kapitole „2 Účel dokumentu“ tretí a štvrtý odsek: povinnosti na zabezpečenie systematického zvyšovania bezpečnosti organizácií a povinnosti pri zvládaní hrozieb sú popísané v tomto materiáli a v Metodike pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti vydanej MF SR rôzne. Úrad žiada materiál zosúladiť a upraviť v súlade s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov schváleným vládou Slovenskej republiky dňa 08. 11. 2017 pod číslom 507/2017 (ďalej len „návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov“). Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 3. V odseku „Definície“ na str. 3 doplniť úpravu definícií používaných pojmov bez ich vysvetlenia, napr. analýza malware, hardening, organizácia, národná autorita, rezortný/sektorový útvar, organizácie verejnej správy, konštituencia a pod. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky, avšak pojmy sú používané v texte a napr. pre pojem „organizácia“ sú zadefinované úlohy. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 2. V kapitole „1 Definícia významu kľúčových slov“: slová „malo by (byť)“ a „nemalo by (byť)“ vo vete „Ak existuje takýto dôvod, musí byť zdokumentovaný a schválený.“ doplniť spôsob dokumentovania a označenie subjektu, ktorý tento dôvod schváli. Odôvodnenie: chýbajúce označenie schvaľujúceho subjektu. Uvedený problém môže napr. nastať pri personálnom zabezpečení bezpečnostného tímu (str. 18). Podľa textu materiálu inštitúcia (potrebné definovať použitý pojem) musí zabezpečiť aspoň dvoch interných zamestnancov majúcich zadefinované znalosti. Podľa ďalšej vety bezpečnostné tímy rezortných a sektorových útvarov (potrebné definovať použitý pojem) by mali mať aspoň troch interných zamestnancov majúcich zadefinované znalosti. Z uvedeného vôbec nie je jasné, aký subjekt má mať koľko interných zamestnancov a čo v prípade, ak nedostane zo štátneho rozpočtu peniaze na požadovaný rozsah počtu zamestnancov. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 31. Ku kapitole „4 Bezpečnostné tímy“ (str. 16, 17): prepracovať text „interní zamestnanci Bezpečnostného tímu“ v príslušnom gramatickom tvare, nakoľko bezpečnostný tím nezamestnáva zamestnancov a definovať pojem „externí zamestnanci“. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 33. K Personálnemu zabezpečeniu (str. 17): v prvom odseku definovať pojem „inštitúcia“. Odôvodnenie: chýba definícia, a teda hrozí možnosť vzniku aplikačných problémov. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 27. K bodu „3.3.1 Riešenie bezpečnostných incidentov v rámci organizácie“: v texte začínajúcom „Spôsob detekcie ...“ doplniť pri slovách „primárny kontakt“ a „sekundárny kontakt“ odkaz na tieto kontakty na str. 6 a 7 a definovať „Eskalačné postupy“. Odôvodnenie: chýbajúce definície, resp. previazanie odkazov. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 28. K bodu „3.3.3 Koordinácie riešenia bezpečnostných incidentov na národnej úrovni“ (str. 15) prvý odsek: vládna jednotka CSIRT je v texte popísaná ako jednotka, ktorá rieši všetky bezpečnostné incidenty na národnej úrovni. Úrad má za to, že je tu rozpor s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, kde všetky incidenty a bezpečnostné ohrozenia má riešiť národná jednotka CSIRT zriadená na Národnom bezpečnostnom úrade. Vládna jednotka CSIRT má riešiť incidenty v podsektore informačné systémy verejnej správy. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 23. K Úlohe v bode „3.2.4 Klasifikačná schéma bezpečnostných incidentov“ pre rezortné/sektorové autority a organizácie so zvýšenými požiadavkami na bezpečnosť vytvoriť bezpečnostný tím (str. 12) a kapitole „4 Bezpečnostné tímy“: Úrad upozorňuje na to, že z návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov nevyplýva povinnosť vytvoriť bezpečnostný tím a žiada vypustiť predmetnú úlohu a kapitolu „4 Bezpečnostné tímy“. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 29. K Úlohe na str. 14 „Nahlasovať bezpečnostné incidenty národnej autorite v definovanom rozsahu definovaným spôsobom“ doplniť uvedené definície, príp. vložiť odkazy na zdroj. Odôvodnenie: chýbajúce definície. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 25. K Úlohe v bode „3.2.4 Klasifikačná schéma bezpečnostných incidentov“ (str. 11) úloha v znení „Prebrať klasifikačnú schému od rezortnej/sektorovej autority a implementovať proces riešenia bezpečnostných incidentov zahŕňajúcich túto klasifikačnú schému“: podľa názvu úlohy sa má prebrať klasifikačná schéma od rezortnej/sektorovej autority. Toto je v rozpore s prvým a druhým odsekom tohto bodu, kde sa hovorí, že národná autorita definuje klasifikačné stupne a od nej ju preberú rezortné/sektorové autority. Celé je to v rozpore s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (viď predchádzajúca pripomienka). Úrad žiada zosúladenie s uvedenými odsekmi a návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 24. K Úlohe v bode „3.2.4 Klasifikačná schéma bezpečnostných incidentov“ (str. 12) úloha národnej autority: úrad má za to, že úloha nie je v súlade s návrhom zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Podľa návrhu predmetného zákona sa zriaďuje vládna jednotka CSIRT v pôsobnosti Úradu vlády Slovenskej republiky pre podsektor informačné systémy verejnej správy, ktorý nie je národnou autoritou a má vykonávať výlučne činnosti pre podsektor informačné systémy verejnej správy. Národnou autoritou podľa návrhu predmetného zákona je Národný bezpečnostný úrad a ten má postavenie národnej jednotky CSIRT. Podľa návrhu predmetného zákona má úlohy, ktoré popisuje metodika, vykonávať národná jednotka CSIRT zriadená na Národnom bezpečnostnom úrade. Úrad navrhuje úlohu upraviť v súlade s pripravovanou legislatívou. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 22. K Úlohe v bode „3.2.4 Klasifikačná schéma bezpečnostných incidentov“ pre rezortné/sektorové autority vytvoriť rezortný/sektorový CSIRT tím (str. 11) a odseku „Definície:“ (str. 3): Úrad upozorňuje na to, že z návrhu zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov nevyplýva povinnosť všetkým ústredným orgánom vytvoriť „akreditovanú jednotku CSIRT“, ale len tým, ktoré sú uvedené v § 4 písm. a) a b) návrhu predmetného zákona. Úrad predpokladá, že v prípade „rezortného/sektorového CSIRT tímu“ ide o „akreditovanú jednotku CSIRT“. Upozorňuje však na terminologickú nesúladnosť a žiada ju odstrániť. V § 9 ods. 2 návrhu predmetného zákona vyplýva, že ani vytvorenie „akreditovanej jednotky CSIRT“ nie je pre zadefinované rezorty v § 4 ods. b) návrhu predmetného zákona povinné: „Ústredný orgán na účely plnenia úloh podľa odseku 1 písm. a), v rozsahu svojej pôsobnosti pre sektor alebo podsektor podľa prílohy č. 1, zriaďuje a prevádzkuje akreditovanú jednotku CSIRT alebo na tento účel využíva akreditovanú jednotku CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, okrem vládnej jednotky CSIRT, ak sa tak dohodnú. Využívanie akreditovanej jednotky CSIRT, ktorú zriaďuje a prevádzkuje iný ústredný orgán, sa vykonáva na základe zmluvy. Úrad podpredsedu vlády Slovenskej republiky pre investície a informatizáciu zabezpečuje úlohy podľa odseku 1 písm. a) prostredníctvom vládnej jednotky CSIRT.“. Povinnosť vytvoriť „akreditovanú jednotku CSIRT“ návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov ukladá „ústredným orgánom“ (§ 9 ods. 2 návrhu zákona). Ústredné orgány sú definované v § 4 písm. a, b) návrhu zákona nasledovne: „Národný bezpečnostný úrad (ďalej len „úrad“), Ministerstvo dopravy a výstavby Slovenskej republiky, Ministerstvo financií Slovenskej republiky, Ministerstvo hospodárstva Slovenskej republiky, Ministerstvo obrany Slovenskej republiky, Ministerstvo vnútra Slovenskej republiky, Ministerstvo zdravotníctva Slovenskej republiky, Ministerstvo životného prostredia Slovenskej republiky, Slovenská informačná služba, Úrad podpredsedu vlády pre investície a informatizáciu a Vojenské spravodajstvo (ďalej len „ústredný orgán“)“. Úrad žiada v odseku „Definície“ na str. 3 v definícii pojmov „Rezortná/sektorová autorita“ a „Rezortný/sektorový tím CSIRT“ za text „útvar ÚOŠS“ vložiť slová „definovaného v § 4 a) a b) pripravovaného zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov x)“ a vložiť odkaz na poznámku pod čiarou v znení: „x)) návrh zákona o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov schválený vládou Slovenskej republiky dňa 08. 11. 2017 pod číslom uznesenia 507/2017“. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je zásadná. Zásadná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 26. K bodu „3.3.1 Riešenie bezpečnostných incidentov v rámci organizácie“ (str. 13) druhý odsek, prvá veta: nejasná veta. Úrad odporúča vetu gramaticky, formulačne a štylizačne upraviť. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 17. K bodu „3.1.2 Úroveň rezortu/sektora“ (str. 8) štvrtý odsek: vetu začínajúcu "Kontakty by musia viesť na osoby ..." gramaticky opraviť. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 16. K bodu „3.1.2 Úroveň rezortu/sektora“ (str. 8) druhý odsek: v texte sa popisuje kontaktné miesto, kde je možné nahlásiť bezpečnostné incidenty rezortnej/sektorovej autority. Podobne by mali byť riešení aj dodávatelia. Úrad navrhuje do bodu doplniť aj vytvorenie kontaktného miesta pre dodávateľov. Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
ÚJDSR (Úrad jadrového dozoru Slovenskej republiky) I. K vlastnému materiálu: 18. K Úlohám na str. 8 a 9: úrad má za to, že úlohy sú naformulované nejasne a odporúča ich konkretizovať najmä v rozsahu informácii o kontaktoch, ktoré sa majú publikovať (prvá úloha), text „poskytovaných k údajov organizáciami“ je nejasný (tretia úloha), definovať pojem „zraniteľná verzia“ (štvrtá úloha), definovať kontaktné údaje (piata úloha). Odôvodnenie: text odôvodnenia je súčasťou textu pripomienky. Pripomienka je odporúčajúca. Obyčajná pripomienka Odoslaná Detail
MKSR (Ministerstvo kultúry Slovenskej republiky) K predkladacej správe: V predkladacej správe sa uvádza, že materiál sa predkladá na splnenie úlohy 3.3 Akčného plánu realizácie Koncepcie kybernetickej bezpečnosti Slovenskej republiky na roky 2015-2020. Upozorňujeme, že názov materiálu nie je v súlade so spôsobom realizácie uvedenom v predmetnej úlohe. Z dôvodov vylúčenia pochybností o rozsahu odporúčame názov predloženého materiálu zosúladiť s citovanou úlohou. Obyčajná pripomienka Odoslaná Detail
MKSR (Ministerstvo kultúry Slovenskej republiky) K návrhu uznesenia vlády SR: Návrh uznesenia vlády SR odporúčame dopracovať a zosúladiť s čl. 4 a 6 Smernice na prípravu a predkladanie materiálov na rokovanie vlády SR schválenú uznesením vlády SR č. 512 z 13.6.2001. Z dôvodu neúplnosti nie je možné k návrhu uznesenia vlády SR zaujať stanovisko. Obyčajná pripomienka Odoslaná Detail
MKSR (Ministerstvo kultúry Slovenskej republiky) K doložke vybraných vplyvov k bodu 9: odporúčame Doložku vybraných vplyvov doplniť tak, aby kvantifikovala reálne očakávaný dopad na rozpočet verejnej správy. Nesúhlasíme s tvrdením, že implementácia metodiky nebude mať vplyv na rozpočet verejnej správy, alebo bude bez vplyvu na informatizáciu alebo služby verejnej správy pre občana. Sme názoru, že implementácia navrhovanej metodiky by mohla mať vplyv na informatizáciu a na služby pre občana v oblastiach zvýšenia spoľahlivosti, dostupnosti a teda aj kvality služieb. Predpokladáme, že implementácia predmetnej metodiky bude mať negatívny vplyv na rozpočet verejnej správy. Odôvodnenie: Doložka vybraných vplyvov v 9. bode nesprávne klasifikuje očakávané vplyvy na rozpočet verejnej správy, vplyv na informatizáciu a vplyv na služby verejnej správy. V podmienkach rezortu kultúry implementácia navrhovanej metodiky v reálnej praxi predstavuje najmenej rozšírenie personálneho stavu odborov (úsekov) informatiky naprieč rezortom. Reálny dopad na rozpočtové zdroje rezortu kultúry je možné exaktne kvantifikovať až na základe určenia rozsahu implementácie navrhovanej metodiky. Obyčajná pripomienka Odoslaná Detail
MKSR (Ministerstvo kultúry Slovenskej republiky) K vlastnému materiálu: Celý materiál odporúčame upraviť formulačne, gramaticky a jazykovo a zosúladiť s čl. 8 Smernice na prípravu a predkladanie materiálov na rokovanie vlády SR schválenú uznesením vlády SR č. 512 z 13.6.2001. Obyčajná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) Dokument odporúčame upraviť po štylistickej, gramatickej a formálnej stránke, nakoľko sa v texte nachádzajú rôzne veľkosti písma, štýly písma, zarovnanie textu, gramatické a štylistické chyby, anglické výrazy, nesprávne odkazy. Príklady: Gramatická úprava: (strana 4) Cieľom dokumentu je v zmysle úlohy…je vypracovať metodiku… (strana 4); Vytvoriť spôsobilostí … Použitie anglických výrazov - baseline v organizácií (strana 4), konštituencia (pravdepodobne fonetický prepis slova “constituency”, t.j. klientela) (strana 18, 19, 20, atď.), hardening systémov, technológií, infraštruktúry (strana 10 a 12), atď... V texte (strana 7) sa predkladateľ odkazuje na prílohu dokumentu “príloha UDAJE1”, tá však absentuje. Pripomienku považujem za obyčajnú. Obyčajná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) K doložke vybraných vplyvov. V doložke vybraných vplyvov sa uvádza, že materiál nebude mať žiaden vplyv na rozpočet verejnej správy a podnikateľské prostredie ani sociálne vplyvy, vplyvy na životné prostredie, vplyvy na informatizáciu, vplyv na služby verejnej správy pre občana. Materiál pritom obsahuje veľké množstvo úloh a opatrení, ktoré musia dotknuté subjekty zabezpečiť. Tie budú mať negatívny finančný dopad minimálne na rozpočet verejnej správy a na podnikateľské prostredie. Je možné očakávať finančné dopady v prípade, ak pri implementácii Metodiky bude potrebné doplniť personál a technické zložky spôsobilostí. Na identifikáciu prípadných finančných dopadov a ich kvantifikáciu odbornými zložkami v oblasti IT v procese implementácie Metodiky do praxe bude nevyhnutný určitý čas. Odporúčame zosúladiť predkladaný dokument s doložkou vplyvov. Pripomienku považujem za zásadnú. Zásadná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) V kapitole „3 Spoločné postupy“, ktorá naznačuje riešenie bezpečnostných incidentov a koordináciu na úrovni organizácie, rezortu, sektora a štátu odporúčame doplniť zmienku o koordinácii na úrovni EÚ a NATO, nakoľko kritická infraštruktúra má aj prvky medzinárodného charakteru (prepojenia cezhraničné: energetika, finančné systémy, obrana, telekomunikácie, zdravotníctvo – EPSOS a pod.). Pripomienku považujem za zásadnú. Zásadná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) Dokument sa opakovane v kapitole „4 Bezpečnostné tímy“ podkapitole „Personálne zabezpečenie“ a v kapitole „5 Tímy CSIRT“ v podkapitole „Personálne zabezpečenie“ odkazuje na dodržiavanie „znalostných štandardov“ s odkazom na stránku CSIRT.SK. Pravdepodobne ide o pochybenie zo strany spracovateľa, pretože žiadny znalostný štandard tohto typu nebol v podmienkach SR prijatý. (Pozn.: ide o návrh vypracovaný na MF SR v roku 2014, ktorý doteraz nebol predmetom schvaľovania). Pripomienku považujem za zásadnú. Zásadná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) Dokument nemá charakter ani štruktúru „Metodiky“, ide skôr o popis rôznych opatrení a úloh, ktoré majú subjekty zabezpečiť. Zároveň absentuje jasná identifikácia subjektov, pre ktoré je metodika určená (nie sú definované kritériá, výber pôsobí náhodne, poznámka pod čiarou k odkazu 1 je nezrozumiteľná) a otázna je aj miera jej záväznosti, nakoľko sa má jednať o nelegislatívny dokument. Cieľom metodiky nie je striktne prikazovať iným ÚOŠS, resp. prevádzkovateľom prvkov KI, čo musia vykonávať, dávať im úlohy (viď formulácie typu „musí vykonať/musí zabezpečiť/musí mať), stanovovať termíny, určovať počty osôb a ich platové ohodnotenie, tak ako uvádza predkladaný dokument. Túto skutočnosť odporúčame zohľadniť a v priereze celého dokumentu prepracovať. Pripomienku považujem za zásadnú. Zásadná pripomienka Odoslaná Detail
MOSR (Ministerstvo obrany Slovenskej republiky) Dávame zároveň do pozornosti zákon o kybernetickej bezpečnosti, ktorý sa nachádza v legislatívnom procese a prípadné rozpory s predkladanou Metodikou, ktoré sa vyskytnú v prípade, že sa schváli jeho aktuálna verzia. Príkladom rozporov je definovanie úloh pre národnú autoritu, proces koordinácie riešenia počítačových bezpečnostných incidentov na národnej úrovni alebo gescia národnej autority nad vládnou jednotkou CSIRT. Túto skutočnosť odporúčame zohľadniť. Pripomienku považujem za zásadnú. Zásadná pripomienka Odoslaná Detail
MSSR (Ministerstvo spravodlivosti Slovenskej republiky) Bez pripomienok Obyčajná pripomienka Odoslaná Detail
MVSR (Ministerstvo vnútra Slovenskej republiky) Predložený materiál podľa doložky vybraných vplyvov, nepredpokladá negatívny dopad na finančné prostriedky alebo personálne zabezpečenie organizácie. Napriek tomu je v kapitole 2. Účel dokumentu vymenované, čo všetko je na splnenie tejto metodiky potrebné vykonať: „1. Organizačne, materiálne a personálne zabezpečiť riešenie informačnej bezpečnosti v organizácií vrátane zabezpečenia spôsobilostí riešenia bezpečnostných incidentov v rámci organizácie. 2. Implementovať štruktúry riadenia informačnej bezpečnosti na rezortnej, sektorovej a národnej úrovni. 3. Implementovať systém riadenia informačnej bezpečnosti v organizácií (vrátane analýzy bezpečnostných rizík) a implementáciu bezpečnostných opatrení za účelom vytvorenia bezpečnostného baseline v organizácií. 4. Pravidelne vykonávať kontrolné činnosti (audity bezpečnosti vrátane penetračných testov).“ Tieto činnosti však majú vážny dopad na personálne zabezpečenie a finančné zabezpečenie príslušných nástrojov a činností na vykonávanie monitoringu a opatrení v prípade zistenia bezpečnostných incidentov. V doložke vybraných vplyvov je preto potrebné vyčíslenie dopadov na rozpočty a personál orgánov dotknutých týmto materiálom. Zásadná pripomienka Odoslaná Detail
MVSR (Ministerstvo vnútra Slovenskej republiky) Kapitola 3.1.1 Úroveň organizácie: Nie je jasné, prečo sa na nahlasovanie kontaktných údajov bezpečnostného pracoviska a pracovníka má používať šifrovaný e-mail. Podľa nášho názoru práve poznanie kontaktných údajov, či povahy bezpečnostného incidentu je dôležité pre všetkých účastníkov a správcov bezpečnosti. Šifrovanie v tomto prípade považujeme za kontraproduktívne. Obyčajná pripomienka Odoslaná Detail
MVSR (Ministerstvo vnútra Slovenskej republiky) Kapitola 2. Účel dokumentu: V dokumente sú použité výrazy, ktoré nie sú vysvetlené a nemajú špecifikovaný rozsah, či formu. Napr. na str.4 v bode 3. je pojem „bezpečnostný baseline“, ktorý nie je špecifikovaný. Obyčajná pripomienka Odoslaná Detail