reklama

Chystá sa zákon o informačnej bezpečnosti

Priznám sa, keď Národná stratégia pre informačnú bezpečnosť v SR avizovala zámer vypracovať zákon o informačnej bezpečnosti, staval som sa k tomu skepticky. Tak a teraz tu máme jeho náčrt – Ministerstvo financií zverejnilo na pripomienkové konanie návrh tzv. legislatívneho zámeru zákona o informačnej bezpečnosti. To, že neobsahuje znenie konkrétnych ustanovení (paragrafov), umožňuje bez zbytočného vyrušovania detailami urobiť si predstavu o tom, čo a akým spôsobom sa má riešiť prijatím takého zákona.

Písmo: A- | A+
Diskusia  (4)

Môžme začať konštatovaním, že budúce paragrafové znenie zákona zrejme nebude stručným dokumentom – podľa legislatívneho zámeru sa má zákon skladať zo 14 častí. Úvodné časti sú vcelku klasické – 1. časť vymedzí základný rámec zákona plus definície základných pojmov informačnej bezpečnosti a určenie povinných osôb, zatiaľ čo 2. časť zadefinuje kompetencie orgánov štátnej správy v oblasti informačnej bezpečnosti a spôsob ich koordinácie pri riešení spoločných úloh v tejto oblasti. A potom to začne...

V 3. časti zákona sa zavedie tzv. klasifikačná schéma pre IS verejnej správy a zároveň sa zadefinujú minimálne bezpečnostné požiadavky a ciele riadenia informačnej bezpečnosti pre jednotlivé klasifikačné stupne. 4. časť zákona zadefinuje „postavenie a úlohy útvarov pre riešenie počítačových incidentov vo všeobecnosti, a špecificky pre vzniknutú jednotku pre riešenie počítačových incidentov (CSIRT.SK)“

5. časť sa má zaoberať štandardizačnou činnosťou, 6. časť má byť o vzdelávaní ... mali by sa zadefinovať „minimálne znalostné štandardy vo verejnej správe pre osoby s kompetenciami v oblasti riadenia informačnej bezpečnosti a vytvorenie vzdelávacieho a certifikačného rámca, vytvorením minimálnych požiadaviek na vzdelanie a certifikáciu podľa jednotlivých stupňov kategorizácie“. 7. časť, venovaná bezpečnosti „elektronickej verejnej správy“ má rozsiahle ambície ... má riešiť o.i. „bezpečnú komunikáciu medzi elektronickými službami a registrami verejnej správy“, „identifikáciu a autentifikáciu spojenú s poskytovaním a využívaním služieb elektronickej verejnej správy“, či „audit a kontrolu bezpečnosti služieb elektronickej verejnej správy“, ale aj „bezpečné elektronické cezhraničné a medzisektorové interakcie medzi Európskymi inštitúciami verejnej správy“.

8. časť nazvaná “Bezpečnosť internetu” by mala vymedziť o.i. priority štátu pre kritické zložky a záležitosti týkajúce sa internetu, „kompetencie, zodpovednosti a koordináciu pri rozsiahlom narušení slovenského internetového priestoru“, či „bezpečnostné požiadavky na kritické IS verejnej správy závislé na službách internetu, bezpečnostné požiadavky na poskytovateľov internetu pre kritické IS verejnej správy“. V 9. časti sa má zákon venovať bezpečnosti špecifických technológií a má sa v nej vytvoriť „všeobecný bezpečnostný rámec a podmienky možnosti používania“ predovšetkým tzv. RFID čipov, ale autori sem zahrnuli aj biometrické údaje, čipové karty, hlasové rozpoznávanie a podobné technológie. Trochu prekvapivo je sem zaradené aj určenie „rámca pre koordinované riešenie oblasti nevyžiadanej elektronickej pošty.“

Desiata časť má „definovať minimálne procesné a organizačné aspekty“, ktoré majú byť vo verejnej správe zriadené za účelom riadenia informačnej bezpečnosti (za zmienku stojí aj text v Zdôvodnení tejto časti, podľa ktorého by takýto rámec „mohol slúžiť ako dobrovoľný referenčný rámec pre ostatné entity, ktorými sú primárne súkromné entity“). 11. časť je určená na ustanovenie požiadaviek na výkon, spôsob výkonu a oprávnenie vykonávať kontrolu dodržiavania povinností v oblasti informačnej bezpečnosti, ako aj všeobecné sankčné mechanizmy pre zistené nedostatky. Ráta sa aj s možnosťou pre „relevantný regulačný orgán“ vyžiadať si od dotknutej osoby v špecifických prípadoch nezávislý audit a tiež ustanoviť požiadavky na osoby oprávnené vykonávať takýto audit.

Dvanásta časť má ustanoviť rámec pre „notifikácie o významných bezpečnostných incidentoch v regulovaných oblastiach“, čím sa myslí povinnosť oznámiť únik (sprvu zrejme len osobných) údajov či vážne porušenie bezpečnosti. Predposledná – trinásta – časť ustanoví Ministerstvo financií za dohliadajúci orgán pre oblasť riadenia informačnej bezpečnosti vo verejnej správe a upraví správne konanie a právne postihy za porušenie tohto zákona. Posledná časť má obsahovať splnomocňovacie ustanovenie na vydanie vykonávacích predpisov.

Predložený návrh legislatívneho zámeru zákona o informačnej bezpečnosti sa na niektorých miestach významne odkláňa od „filozofie“ Národnej stratégie pre informačnú bezpečnosť v SR (čo osobne považujem za plus). Napríklad, v návrhu sa vôbec nespomína vytvorenie Národného úradu pre informačnú bezpečnosť. Ďalej, na rozdiel od Stratégie, ktorá ignorovala vplyv kvality návrhu a implementácie IS na úroveň jeho bezpečnosti, piata časť zákona sa má venovať aj „zavedeniu minimálnych bezpečnostných požiadaviek na dodávku IS. Zároveň zákon prostredníctvom štandardov ustanoví minimálne bezpečnostné požiadavky, ktoré bude musieť splniť nielen prevádzkovateľ IS ale aj jeho dodávateľ...“ Novinkou oproti Stratégii je aj to, že autori návrhu tentoraz neignorovali úplne súčasné trendy v informačnej bezpečnosti, čo sa prejavilo napríklad zahrnutím problematiky povinného oznamovania úniku osobných údajov a súvisiacich bezpečnostných incidentov (12.časť).

Pozoruhodný je predpokladaný záber zákona, teda koho „zasiahne“. Podľa textu návrhu má zákon „riešiť dva okruhy problémov, a to zaistenie ochrany pre IS verejnej správy a vytvorenie všeobecného právneho rámca pre ochranu celého digitálneho priestoru Slovenskej republiky.“ Takáto dvojúloha je vcelku OK a v návrhu sa okrem pasáží venovaných IS verejnej správy objavili aj také (napríklad 9. časť), ktoré presahujú rámec verejnej správy . Táto skutočnosť sa však neprejavila na predstave riadenia či koordinácie informačnej bezpečnosti v SR. Podľa návrhu sa majú „prvky systému riadenia informačnej bezpečnosti“, ako aj koordinácia realizovať prostredníctvom „medzirezortného zoskupenia, napríklad výboru, komisie, alebo orgánu zloženého z vedúcich predstaviteľov dotknutých subjektov“ (čím sa myslia ministerstvá financií, vnútra, hospodárstva, spravodlivosti, dopravy, pôšt a telekomunikácií, Národný bezpečnostný úrad, Telekomunikačný úrad a Úrad na ochranu osobných údajov). Podľa toho sa medzi dotknuté subjekty zrejme neráta súkromný sektor či verejnosť ... Akým spôsobom potom budú pri onom riadení informačnej bezpečnosti zohľadňované záujmy/pohľad súkromného sektora, tretieho sektora i verejnosti? Veď viaceré ustanovenia zákona sa budú dotýkať aj ich – napríklad, podľa návrhu sa má pri chystanej klasifikácii IS zvažovať „potenciálny negatívny dopad na občanov, právnické osoby a štát“ (všimnite si to poradie!), verejná správa asi nebude dominovať využívaniu RFID v praxi, a pod.

Ako som spomenul v úvode tohto príspevku, mal som isté pochybnosti o nápade vypracovať zákon o informačnej bezpečnosti. Návrh legislatívneho zámeru zákona „položil na stôl“ predstavy Ministerstva financií v tomto smere, predstavy ktoré majú čosi do seba. Ak predpokladaný záber zákona vyjadruje ambície predkladateľov pre oblasť informačnej bezpečnosti, tak Ministerstvo financii sa chystá naložiť si poriadne veľký kus ... Až formulácie konkrétnych paragrafov zákona i následná prax však ukážu, ako sú tie ambície personálne a vedomostne podložené. Tam niekde totiž končia možnosti opisovania z vygúglených materiálov a tak s prípadným pochvalným potleskom ešte počkám.

Jozef Vyskoč

Jozef Vyskoč

Bloger 
  • Počet článkov:  166
  •  | 
  • Páči sa:  1x

Živí sa poradenstvom v oblasti bezpečnosti informačných systémov. Pravidelný prispievateľ do patavedeckých seminárov v Bratislave. Zoznam autorových rubrík:  BezpečnosťOchrana súkromiaPatavedaVzdelávanie a výskumNezaradené

Prémioví blogeri

Martina Hilbertová

Martina Hilbertová

49 článkov
Juraj Hipš

Juraj Hipš

12 článkov
Iveta Rall

Iveta Rall

87 článkov
Matúš Sarvaš

Matúš Sarvaš

3 články
Yevhen Hessen

Yevhen Hessen

20 článkov
reklama
reklama
SkryťZatvoriť reklamu