Späť

Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy alias aká je realita?

Pridané: 9.1.2021 15:20:10 Počet zobrazení: 596

09 Január 2021

Otázka bezpečnosti informačných systémov, jej súčasnej úrovne a faktorov ovplyvňujúcich úspešnosť procesov budovania bezpečnosti v samosprávach i ďalších subjektoch verejnej správy je stále diskutovanou témou. Naliehavosť jej nesporne (možno dominantne) pridávajú aj legislatívne požiadavky.

Vzdelávanie zamestnancov v oblasti kybernetickej bezpečnosti je veľkou výzvou pre samosprávy   alias aká je realita?

Extrémne vysoká pozornosť je venovaná technologickým aspektom budovania a zabezpečenia základných atribútov bezpečnosti (v mnohých prípadoch až preexponovaná) a naopak mimo spektra pozornosti je ponechávaný najproblémovejší element - používateľ informačného systému - človek.

Manažmenty samospráv/ obecných ale aj krajských úradov často vychádzajú z mylného predpokladu, že základné informácie a návyky súvisiace s bezpečnou prevádzkou informačného systému by mal bežný používateľ (rozumej používateľ využívajúci IS ako pracovný nástroj bez hlbších informatických znalostí) zvládnuť intuitívne, samoštúdiom. Čo je samozrejme iluzórne očakávanie. Dôvody prečo je stav taký aký je sú na jeden osobitný a rozsiahly článok, preto sa tejto analýze v tomto blogovom príspevku nebudeme venovať detailnejšie.

Pritom práve narastajúci objem rizík pre prevádzku informačných systémov dnes predstavujú útoky postavené na princípoch sociálneho inžinierstva a teda manipulatívnych techník, kde znalosti bežných (netechnických) používateľov IS zohrávajú významnú úlohu pri riadení informačnej bezpečnosti organizácie (úradu).

O obsahu, forme a riadení vzdelávania zameraného na zvyšovanie bezpečnostného povedomia sme sa venovali v niekoľkých blogových príspevkoch – odkazy na ne nájdete nižšie. Odhliadnime na rad interných dôvodov, ktoré by mali byť motivátorom riešenia radu tém bezpečnosti a s ním súvisiacej prevencie a pozrime sa na aktuálne dominantné dôvody prečo sa samosprávy chtiac – nechtiac budú musieť téme zvyšovania bezpečnsotného povedomia intenzívne venovať.

Za dominantné môžeme v súčasnej dobe nesporne považovať nasledovné legislatívne normy:

  • nariadenie GDPR a zákon č.18/2018 Z.z. o ochrane osobných údajov
  • zákon o kybernetickej bezpečnosti č. 69/2018 Z. z. a vyhláška 362 z 11.12.2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
  • zákon č. 95/2019Z. z. o informačných technológiách vo verejnej správe, najmä jeho vyhláška 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
  • v neposlednom rade značnú úlohu v procesoch zvyšovania bezpečnostného povedomia u samospráv zohráva aj zákon č. 583/2008 Z. z. o prevencii kriminality a inej protispoločenskej činnosti a programové vyhlásenia vlády SR „Stratégia prevencie kriminality a inej protispoločenskej činnosti"

Hlbšie o celom spektre dôvodov vrátane legislatívnych sa môžete dozvedieť vo webinári Ako vzdelávať zamestnancov v oblasti IT bezpečnosti

Požiadavky na subjekty verejnej správy týkajúce sa zvyšovania bezpečnostného povedomia zamestnancov je učite zaujímavé vnímať cez definíciu obsahu bezpečnostných opatrení z vyhlášky 179 z 22.6.2020, ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy. Z predmetnej vyhlášky sme pripravili prehľadovú tabuľku podľa kategorizácie subjektov z danej vyhlášky ktorá jasne a jednoznačne identifikuje základné povinnosti jednotlivých kategórií subjektov verejnej správy týkajúce sa bezpečnostného vzdelávania zamestnancov.

Záver z danej tabuľky je jednoznačný – v tomto okamihu neexistuje žiadny subjekt verejnej správy, ktorý sa téme bezpečnostnej gramotnosti nebude musieť v priebehu kalendárneho roka 2021 venovať. A teda je zrejmé, že je čas začať.

Ak začínate a neviete ako na to, využite naše 25 ročné skúsenosti v oblasti vzdelávania tém informačnej bezpečnosti a budovania radu vzdelávacích projektov pre rôzne subjekty podnikateľského, bankového, verejného sektoru,  zdravotníctva i samospráv. Výber referencií nájdete tu

 

Jaroslav Oster, oster@infoconsult.sk 

 

Kategória I

Kategória II

Kategória III

obec do 6000 obyvateľov,

obec so štatútom mesta do 6000 obyvateľov,

právnicka osobu v zriaďovateľskej pôsobnosti alebo zakladateľskej pôsobnosti orgánu riadenia

obec nad 6000 obyvateľov,

obec so štatútom mesta nad 6000 obyvateľov okrem krajských miest,

mestská časť s právnou subjektivitou,

obec, ktorá je aj krajským mestom,

samosprávny kraj,

ministerstvo a ostatný ústredný orgán štátnej správy,

 Ustanoviť plán rozvoja bezpečnostného povedomia, ktorý obsahuje formu, obsah a rozsah potrebných školenía.

 

Vykonať bezpečnostné vzdelávanie na zvýšenie bezpečnostného povedomia najmenej každé tri roky.

 Zavedenie procesu preukázateľného poučenia a oboznámenia nových zamestnancov bezprostredne po nástupe s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti a informačnej bezpečnosti.

 Systematické zvyšovanie bezpečnostného povedomia tak, že pokrýva všetky oblasti ustanovené touto vyhláškou, zákonom a osobitnými predpismi a najnovšími poznatkami v oblasti kybernetickej bezpečnosti a  informačnej bezpečnosti v rozsahu pracovného zaradenia najmenej raz ročne.

 Zabezpečenie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia,vykonávaných školení a ďalších činností spojených s prehlbovaním bezpečnostného povedomia.

 Zavedenie procesu preukázateľného oboznámenia správcov informačných technológií verejnej správy s internými riadiacimi aktmi týkajúcimi sa kybernetickej bezpečnosti a informačnej bezpečnosti

 

 Zamestnávateľ povinnej osoby a tretia strana zabezpečí, že každý zamestnanec a tretia strana sú poučení o povinnosti zachovávať mlčanlivosť o všetkých skutočnostiach, informáciách a osobných údajoch, a to predtým, ako získajú prístup k informačným technológiám verejnej správy

 Zavedenie procesu zvyšovania bezpečnostného povedomia zamestnancov s cieľom ich oboznamovania s aktuálnymi bezpečnostnými hrozbami v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,ako aj opatreniamia postupmi zavedenými v organizácii správcu na ich elimináciu najmenej raz za dva roky.

 

 

 Na prístup k informačným technológiám verejnej správy sa vyžaduje

oboznámenie so spôsobom používania informačných technológií verejnej správy a bezpečnostných mechanizmov informačných technológií verejnej správy v  rozsahu svojej pracovnej náplne,

poučenie na rozoznanie kybernetického bezpečnostného incidentu od bežnej prevádzky a zvládnutie postupu pri kybernetickom bezpečnostnom incidente,

oboznámenie so zamestnancom,na ktorého je možné sa obracať s otázkami a nejasnosťami pri používaní informačných technológií verejnej správy a bezpečnostných mechanizmov informačných technológií verejnej správy.

 

najmenej 1 x za 3 roky

1 x za 2 roky

1 x ročne

 

 

Diskusia

(1 komentár)

Poučenia podľa GDPR Anonym 10.1.2021 11:56:54

Prihlásenie

Na prispôsobenie obsahu a reklám, poskytovanie funkcií sociálnych médií a analýzu návštevnosti používame súbory cookie. Informácie o tom, ako používate naše webové stránky, poskytujeme aj našim partnerom v oblasti sociálnych médií, inzercie a analýzy. Títo partneri môžu príslušné informácie skombinovať s ďalšími údajmi, ktoré ste im poskytli alebo ktoré od vás získali, keď ste používali ich služby.  Viac info