Riadenie kybernetických bezpečnostných rizík v kontexte vyhlášky

Požiadavka na riadenie rizík pôsobiacich na bezpečnosť informácií zaznieva už v niekoľkých všeobecne záväzných právnych predpisoch – väčšinou bez konkretizácie rozsahu a metódy. Absencia detailu následne vedie ku rôznym, mnohokrát aj mimoriadne amatérskym výkladom požiadaviek na riadenie rizika. V podzákonných normách, t.j. napríklad v metodických usmerneniach ústredných orgánov štátnej správy sa návrhy použiteľných rámcov pre riadenie bezpečnostných rizík nevyskytujú vôbec. Je však potrebné oceniť, že v porovnaní s nedávnou minulosťou sa v posledných rokoch začínajú prejavovať snahy legislatívy presadiť povinnosť subjektov zapodievať sa manažmentom informačného rizika. Omnoho presnejšie je metodika riadenia rizika bezpečnosti informácií samozrejme rozpracovaná v technických normách. Tu však narážame na problém, že na základe (medzitým už neúčinného) zákona č. 264/1999 Z.z. o technických požiadavkách na výrobky a o posudzovaní zhody slovenské technické normy prestali byť od 01.01.2001 záväzné. Premostenie medzi všeobecne záväznými, avšak generickými požiadavkami právnych noriem a detailnými, avšak nezáväznými odporúčaniami technických noriem v slovenskom právnom poriadku s účinnosťou od 1.1.2019 priniesla vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Prezentácia stručne predstaví túto vyhlášku, najmä v kontexte požiadaviek na riadenie rizika.