Plán implementácie opatrení na

nasledujúce obdobie

Časť E: Stratégia KB
Plán č. 1 (pre časť E)- Aktualizácia stratégie kybernetickej bezpečnosti
E - Majú manažmentom prijatú stratégiu kybernetickej bezpečnosti a jej príslušné ciele.

Časť F: Správa aktív

Plán č. 2 (pre časť F) - Aktualizácia zoznamu informačných aktív ako informácie o HW,
SW, sieťové komponenty a dodávateľov IT služieb (Identifikácia IT aktív).

F1- Čiastočne majú identifikované aktíva.

Časť G: Manažment konfigurácií

Plán č. 3 (pre časť G)- Dokumentovanie prehľadu o nastaveniach svojich aktiv
́ ao
evidencii zmien týchto nastaveni.́
G- Nemajú manažment konfigurácií aktív

Časť H: Technické zraniteľnosti

Plán č. 4 (pre časť H)- Sprostredkovanie informáci o známych zraniteľnostiach
od SK-CERT/CSIRT-SK a NBU aby prevádzkovateľ bol schopný identifikovať či
sa publikované známe zraniteľnosti týkajú jeho aktív a zabezpečenie
vyhodnocovania rizik potenciálneho prieniku zneužitim ́ týchto zraniteľností.
H1- Ciastocne ziaskavaju informácie o známych zraniteľnostiach od dodávateľov
Vašich aktív, SK-CERT, CSIRT-SK, pripadne iných?
- Čiastočne
H2- Nevyhodnocujú dopad známych zraniteľností na aktíva a nevyhodnocujú riziká
spojené s týmito zraniteľnosťami.

Časť I: Prevádzkový monitoring

Plán 5 (pre časť I)- Návrh prevádzkového monitoringu pre aktiva.
I1- Majú čiastotne určené, pre ktoré aktíva a komponenty vo Vašom prostredí
potrebujete mať nastavený prevádzkový monitoring.
I2-Čiastočne vykonávajú monitoring týchto parametrov tak aby ste mali nepretržitý
prehľad o vašom prostredí.

Časť J: Bezpečnostný monitoring

Plán č. 6 (pre časť J)- Aktualizácia implementacie nástrojov na bezpečnostný
monitoring nad aktívami pre ktoých to ešte chýba.

J1- Majú čiastočne implementovaný nástroj na výkon bezpečnostného monitoringu

nad aktívami, ktoré sa podieľajú na základnej službe.
J2- Nemajú nastavený proces, ktorým bude vedieť reagovať na kybernetický
bezpečnostný incident.

Časť K: Personálna bezpečnosť

Plán č. 7 (pre časť K)- Aktualizácia politiky resp. smernice na personálnu
bezpečnosť a popis výkonu kontroly prevádzkovateľa ohľadom dodržiavania
́ vlastnými zamestnancami alebo zamestnancami dodávateľov.
svojich politik
K1- Čiastočne vykonáva kontrolu dodržiavania bezpečnostných politiḱ zo strany
vlastných zamestnancov a zamestnancov dodávateľov.

Časť L: Riadenie rizík

Plán č. 8 (pre časť L)- Aktualizácia procesu riadenia bezpečnostných rizík.
L1- Čiatočne identifikuje a vyhodnocujete riziká kybernetickej bezpečnosti.

L2- Čiastočne implementuje bezpečnostné opatrenia kybernetickej bezpečnosti,

ktorými zniź ̌ ite neakceptovateľne veľké zvyškové riziká.

Časť M: Riadenie bezpečnosti sietí

Plán č. 9 (pre časť M)- Preverím u prevádzkovateľa základnej služby že aký je
stav a spôsob správy sieťovej segmentácie a zariadeni,́ ktoré segmentáciu
zabezpečujú v prostredí prevádzkovateľa a taktiez navrhnem podľa potreby
sieťovú a komunikačnú bezpečnosť pre obec Čierny Brod.

M1- Nemajú implementovanú bezpečnostnú sieťovú segmentáciu.

M2- Nevykonávajú aktiv́ nu a priebežnú správu pravidiel na zariadeniach
oddeľujúcich jednotlivé sieťové segmenty.

Časť N: Riadenie prístupov

Plán č. 10 (pre časť N)- Inicializácia pravidelnej kontroly nad nastavenými
́ tupových oprávnení na aktiv
rozsahmi pris ́ ach.

N1- Čiastočne majú definované rozsahy logických a aj fyzických prístupových

oprávnení vlastných zamestnancov a zamestnancov dodávateľov ku všetkým svojim
aktívam.
N2- Čiastočne vykonávajú pravidelnú kontrolu nad nastavenými rozsahmi
prístupových oprávnení na vašich aktiv́ ach.

Časť O: Riadenie procesov pre správu a údržbu IS

Plán č. 11 (pre časť O)- Aktualizácia riadenia bezpečnosti prevadzky (riadenie
zmien, zalohovanie, havarijny plán, technologie).

O1- Nemajú zavedený proces zmenového konania (Change management).

O2- Čiastočne maju zavedený proces incident manažmentu.

O3- Častočne majú zavedený proces zálohovania?

O4- Čiastočne majú zavedený proces kontinuity procesov a služieb a obnovu po

havárii?

Časť P: Riadenie dodávateľských vzťahov

Plán č. 12 (pre časť P)- Navrh riadenia bezpecnosti vo vztahoch s tretimi stranami
resp. s dodavatelmi IT sluzieb.

P.1 Nemonitorujú na pravidelnej báze parametre služieb, ktoré Vám poskytujú

dodávatelia.