§ 29 Riadenie informačnej bezpečnosti

Štandardom pre riadenie informačnej bezpečnosti je

a) vypracovanie a schválenie bezpečnostnej politiky povinnej osoby, ktorej obsahom je

1. určenie bezpečnostných cieľov povinnej osoby z hľadiska informačnej bezpečnosti,

2. určenie spôsobov vyhodnocovania bezpečnostných cieľov, kritérií vyhodnocovania ich dosahovania, spôsobov priebežného hodnotenia ich adekvátnosti a spôsobov kontroly postupov využívaných na ich dosahovanie,

3. určenie úlohy vedenia povinnej osoby pri zaisťovaní informačnej bezpečnosti a uvedenie vyhlásenia vedenia povinnej osoby o podpore bezpečnostnej politiky povinnej osoby,

4. určenie všeobecných a špecifických zodpovedností a povinností v oblasti informačnej bezpečnosti a stanovenie potrebných pozícií pre manažment informačnej bezpečnosti,

5. určenie povinnosti pre zaistenie nenarušenia informačnej bezpečnosti povinnej osoby,

6. zhodnotenie súladu bezpečnostnej politiky povinnej osoby so všeobecne záväznými právnymi predpismi, vnútornými predpismi povinnej osoby a jej zmluvnými záväzkami,

7. určenie požiadaviek na informačné systémy verejnej správy, vyplývajúce zo všeobecne záväzných právnych predpisov, vnútorných predpisov povinnej osoby a jej zmluvných záväzkov a určenie spôsobu vedenia a aktualizácie dokumentácie o informačných systémoch verejnej správy,

8. určenie rozsahu a úrovne ochrany všetkých informačných systémov verejnej správy vrátane hodnotenia slabých miest a ohrození,

9. určenie rámca pre manažment rizík u povinnej osoby v súvislosti s aktívami, od ktorých závisí činnosť informačných systémov verejnej správy, alebo ktoré závisia od činnosti informačných systémov verejnej správy; rámec určí, najmä ktoré aktíva sú pre povinnú osobu kritické, čo ich ohrozuje a zásady ich ochrany,

10. určenie rozsahu a periodicity auditu informačnej bezpečnosti u povinnej osoby a zároveň určenie udalosti v informačných systémoch verejnej správy, o ktorých sa vytvára záznam auditu,

11. určenie operačných smerníc pre zálohovanie a určenie ktoré skupiny údajov, v akom rozsahu, akým spôsobom a s akou periodicitou sa zálohujú v prevádzkovej zálohe a archivačnej zálohe,

12. určenie periodicity monitorovania bezpečnosti a aktualizácie softvéru,

13. určenie dokumentov, ktoré povinná osoba na zaistenie informačnej bezpečnosti vypracuje a uvedie ich zoznam,

14. určenie postupu pri revízii bezpečnostnej politiky povinnej osoby vrátane periodicity pravidelných a dôvodov mimoriadnych revízií bezpečnostnej politiky povinnej osoby,

b) zabezpečenie realizácie a dodržiavania schválenej bezpečnostnej politiky povinnej osoby,

c) určenie osoby alebo osôb zodpovedných za informačnú bezpečnosť povinnej osoby vrátane zodpovednosti za bezpečnosť všetkých informačných systémov verejnej správy,

d) určenie jednotlivých úloh osoby alebo osôb zodpovedných za informačnú bezpečnosť v súlade s bezpečnostnou politikou povinnej osoby,

e) zabezpečenie koordinácie aktivít organizačných zložiek povinnej osoby pri riešení informačnej bezpečnosti,

f) určenie konkrétnej zodpovednosti za jednotlivé aktíva povinnej osoby,

g) určenie privilegovaných používateľských rolí v informačných systémoch verejnej správy, určenie bezpečnostných požiadaviek na jednotlivé privilegované používateľské roly a určenie, ktoré používateľské roly nie je možné navzájom zlúčiť; privilegovanými používateľskými roľami sú najmä správca systému, operátor, používateľ, audítor a programátor.