Informacijska in kibernetska varnost
Področje informacijske varnosti je čedalje pomembnejše. Organizacije tako v zasebnem kot javnem sektorju se vse bolj zavedajo pomena zagotavljanja neprekinjenega delovanja informacijskih sistemov in integritete ter neokrnjenosti informacij v teh sistemih za svoje nemoteno poslovanje.
Kibernetska varnost je ožje, vendar tesno povezano področje, ki se osredotoča na zaščito omrežij, informacijskih sistemov, digitalnih storitev in podatkov pred kibernetskimi grožnjami in napadi v kibernetskem prostoru. Vključuje preprečevanje, zaznavanje, obravnavo in okrevanje po kibernetskih incidentih ter krepitev odpornosti sistemov in storitev. Kibernetska varnost ima ključno vlogo pri zagotavljanju neprekinjenega delovanja kritičnih in pomembnih storitev ter pri varovanju nacionalne varnosti, gospodarstva in zaupanja uporabnikov v digitalno okolje.
Pristojni nacionalni organ za informacijsko varnost
Pristojni nacionalni organ za informacijsko in kibernetsko varnost je Urad Vlade Republike Slovenije za informacijsko varnost (URSIV), ki deluje kot samostojna vladna služba.
Skupine za odzivanje na incidente na področju računalniške varnosti (skupine CSIRT)
Naloge skupine CSIRT izvajata:
- notranja organizacijska enota URSIV (SIGOV-CERT), ki je pristojna za obravnavo incidentov subjektov javne uprave na državni in lokalni ravni ter ponudnikov storitev zaupanja, ki jih izvajajo subjekti državne uprave, in
- notranja organizacijska enota pri javnem infrastrukturnem zavodu Akademska in raziskovalna mreža Slovenije (SI-CERT), ki je pristojna za obravnavo incidentov, ki jih priglasijo vsi drugi zavezanci. Pristojen je tudi za obravnavo prostovoljno priglašenih incidentov subjektov, ki niso zavezanci po ZInfV-1 ter je koordinator za usklajeno razkrivanje ranljivosti v Republiki Sloveniji.
SI-CERT izvaja program ozaveščanja o kibernetski varnosti Varni na internetu, ki je namenjen najširši slovenski javnosti, poseben sklop vsebin pa tudi malim podjetjem, obrtnikom in samostojnim podjetnikom. Cilji programa so:
- dvig stopnje zavedanja slovenskih spletnih uporabnikov o različnih nevarnostih, katerim so izpostavljeni na spletu,
- informiranje o varni uporabi spletnega bančništva in varnem spletnem nakupovanju,
- informiranje o različnih oblikah spletnih goljufij in predstavitev načinov, kako se zavarovati,
- informiranje o varstvu osebne identitete.
Center za varnejši internet
Projekt Center za varnejši internet izvajajo Fakulteta za družbene vede Univerze v Ljubljani, Zavod Arnes, Zveza prijateljev mladine Slovenije in Zavod MISSS (Mladinsko informativno svetovalno središče Slovenije), financirata pa ga Evropska komisija in URSIV.
Center za varnejši internet ponuja tri glavne storitve:
- Točka ozaveščanja o varni rabi interneta in novih tehnologij Safe.si: namen je ozaveščanje ciljnih skupin otrok, najstnikov, staršev, učiteljev in socialnih delavcev z različnimi aktivnostmi, izobraževanji, delavnicami, gradivom, promocijskimi in medijskimi kampanjami o tem, kako varno in odgovorno uporabljati internet in mobilne naprave.
- Svetovalna linija za težave na spletu Tom telefon 116 111: na kateri svetovalci odgovarjajo na vprašanja, dileme in rešujejo zagate, povezane z uporabo interneta. Storitev je na voljo za otroke, mlade in njihove starše. Februarja 2013 je začela delovati tudi TOM klepetalnica, kjer otroci, mladostniki ter njihovi starši nasvete in pomoč lahko dobijo prek spletnega klepeta.
- Anonimna spletna prijava posnetkov spolnih zlorab otrok: če naletite na tovrstne posnetke, jih lahko prijavite na strani prijavne točke Spletno oko. Sodelovanje prijavnih točk v Evropi se je izkazalo za učinkovit ukrep v boju za zmanjšanje obsega posnetkov zlorab na internetu.
Vzorčna varnostna dokumentacija za organizacije
URSIV je pripravil vzorčno varnostno dokumentacijo, ki je zasnovana kot pomoč predvsem malim in srednje velikim organizacijam pri izpolnjevanju zahtev Zakona o informacijski varnosti (ZinfV-1) in pri vzpostavljanju celovitega sistema upravljanja informacijske in kibernetske varnosti.
Vzorčna varnostna dokumentacija vsebuje najpogostejše splošne in posebne varnostne politike ter ukrepe za zagotavljanje varnosti omrežnih in informacijskih sistemov. Dokumenti niso univerzalna rešitev, temveč izhodiščni okvir, ki ga mora vsaka organizacija prilagoditi svoji dejanski informacijsko-komunikacijski infrastrukturi, posebnostim svojega sektorja, obsegu poslovanja, uporabi zunanjih ponudnikov storitev ter rezultatom izvedene analize obvladovanja tveganj.
URSIV bo spremljal odzive uporabnikov na vzorčno varnostno dokumentacijo in jih upošteval pri morebitnih posodobitvah in dopolnitvah. Organizacije poziva, da dokument prilagodijo svojim potrebam, ga redno pregledujejo ter poskrbijo, da ga vodstvo potrdi in podpira njegovo izvajanje v praksi.
Projekt priprave vzorčne varnostne dokumentacije je financiran iz Načrta za okrevanje in odpornost. S tem želi država organizacijam olajšati izpolnjevanje zakonskih obveznosti in spodbuditi bolj enotno ter sistematično urejanje informacijske in kibernetske varnosti v različnih sektorjih.
Pomembni dokumenti
-
Informacijska varnost
Metodologije in postopkiNavodila -
Minimalne varnostne zahteve za povezane subjekte
Minimalne varnostne zahteve iz petega odstavka 8. člena Uredbe o varnostni dokumentaciji in minimalnih varnostnih ukrepih povezanih subjektov.- Minimalne varnostne zahteve za povezane subjekte (pdf, 130 KB)
-
Vzorčna varnostna dokumentacija za organizacije
Smernice in priporočila- 1 Politika informacijske varnosti, ver. 1.0 (pdf, 910 KB)
- 2 Metodologija popisa, ver. 1.0 (pdf, 649 KB)
- 3 Analiza obvladovanja tveganj, ver. 1.0 (pdf, 704 KB)
- 3a Register tveganj - priloga, ver. 1.0 (xlsx, 24 KB)
- 3b Register izjem - priloga, ver. 1.0 (xlsx, 14 KB)
- 4 Politika neprekinjenega poslovanja, ver. 1.0 (pdf, 697 KB)
- 4a Načrt neprekinjenega poslovanja, ver. 1.0 (pdf, 746 KB)
- 4b Analiza vplivov na poslovanje, ver. 1.0 (pdf, 729 KB)
- 5 Načrt obnovitve in ponovne vzpostavitve, ver. 1.0 (pdf, 695 KB)
- 6 Načrt odzivanja na incidente, ver. 1.0 (pdf, 649 KB)
- 7 Načrt varnostnih ukrepov, ver. 1.0 (pdf, 745 KB)
- 8 Politika s postopki za presojo učinkovitosti, ver. 1.0 (pdf, 679 KB)
Zakonodaja
- Zakon o informacijski varnosti (ZInfV-1)
- Zakon o državni upravi (ZDU-1)
- Zakon o inšpekcijskem nadzoru (ZIN)
- Resolucija o strategiji nacionalne varnosti Republike Slovenije (ReSNV-2)
- Uredba o izvajanju uredbe (EU) o digitalni operativni odpornosti za finančni sektor
- Zakon o elektronskih komunikacijah
- Uredba o usposabljanju odgovornih oseb na področju obvladovanja tveganj informacijske in kibernetske varnosti
- Odlok o ustanovitvi, nalogah in organizaciji Urada Vlade Republike Slovenije za informacijsko varnost