Súbor najčastejších otázok s odpoveďami


  1. Kto je iniciátorom agendy bezpečnosti telekomunikačných sietí?
    Agendu vymedzuje SMERNICA EURÓPSKEHO PARLAMENTU A RADY 2009/140/ES z 25. novembra 2009,ktorou sa menia a dopĺňajú smernice 2002/21/ES o spoločnom regulačnom rámci pre elektronické komunikačné siete a služby, 2002/19/ES o prístupe a prepojení elektronických komunikačných sietí a príslušných zariadení a 2002/20/ES o povolení na elektronické komunikačné sieťové systémy a služby.

  2. Akým zákonom sa stala agenda povinnou na území Slovenskej republiky?
    Do právneho systému Slovenskej republiky bola transponovaná táto smernica zákonom zo 14. septembra 2011 o elektronických komunikáciách 351/2011 Z.z. (ďalej Zákon). Telekomunikačný úrad Slovenskej republiky na základe § 64, ods. 7 vydal OPATRENIE Telekomunikačného úradu Slovenskej republiky z 18. mája 2012, č. O-30/2012, ktorým sa ustanovujú podrobnosti o udržiavaní bezpečnosti a integrity verejných elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb, s účinnosťou od 1. júla 2012 (ďalej len Opatrenie).

  3. Ako začať?
    Odporúčame začať preštudovaním zverejneného dokumentu Metodické pokyny o ďalších podrobnostiach a detailoch k spracovaniu minimálnych bezpečnostných opatrení.

  4. Kto môže dostať informácie od Telekomunikačného úradu Slovenskej republiky?
    Ak je to potrebné, Úrad poskytne informácie regulačným úradom členských štátov EU a agentúre ENISA.

  5. Aký je prínos z tejto agendy pre podnik?
    - Rovnako ako napríklad certifikát kvality rady ISO 9000 zvýši dôveryhodnosť firmy, znamená jasne definovaná bezpečnostná politika konkurenčnú výhodu. transparentné spôsoby práce s dátami a definované procesy uistia klientov napríklad v tom, že bude dobre postarané o ich obchodné tajomstvo.
    - Pri celkovej analýze bezpečnosti sú aktíva firmy ohodnotené a následne chránené zodpovedajúcim spôsobom s prihliadnutím na ich význam pre podnik.
    - Správne nastavený systém riadenia bezpečnosti prinesie optimálny pomer výšky náklado va úrovní zabezpečenia.
    - Správna vnútorná bezpečnostná politika (riadenie prístupu, rozdelenie zodpovednosti, nepopierateľnosť, ...) spolu s ochranou pred vonkajšími útokmi, zvýši stabilitu organizácie a minimalizuje nebezpečenstvo úniku dát.
    - Dôsledné dodržiavanie pravidiel pri práci s internetom a elektronickou poštou spolu s citlivo nastaveným systémom ochrany dátovej výmeny (firewall, spamfilter, ...) chráni pred počítačovými vírusmi, trójskymi koňmi, červami a inými útokmi a minimalizujú tak riziko ochromenia podniku.
    - Hierarchicky štruktúrovaný systém ICT spolu s firemnou bezpečnostné politikou jasne definujúce role sprehľadňuje chod a riadenie systému ICT.

  6. Súčasťou dotazníka sú aj konkrétne údaje o podniku, charaktere a príčine. Budú takto zverejnené?
    Všetky údaje postupované iným regulátorom a agentúre ENISA sú anonymizované. Anonymizácia je vykonaná do takej úrovne, aby nemohla byť z informácií identifikovaná štatistická jednotka. (NARIADENIE KOMISIE (ES) č. 831/2002 zo 17. mája 2002, ktorým sa vykonáva nariadenie Rady (ES) č. 322/9 o štatistike spoločenstva so zreteľom na prístup k dôverným údajom na výskumné účely v aktuálnom znení).

  7. Sú nastavené hraničné hodnoty pre vyhodnotenie incidentu rovnako v celej Európskej únii?
    Národní regulátori mali vypracovať príslušné predpisy pre bezpečnosť sietí a služieb v rámci svojej územnej pôsobnosti podľa odporúčania a ďalších dokumentov agentúry ENISA. Preto možno povedať, že hraničné hodnoty pre vyhodnotenie incidentu sú rovnaké.

  8. Dokedy musia mať podniky bezpečnostné politiky a audity?
    OPATRENIE Telekomunikačného úradu Slovenskej republiky z 18. mája 2012, č. O-30/2012, ktorým sa ustanovujú podrobnosti o udržiavaní bezpečnosti a integrity verejných elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb, s účinnosťou od 1. júla 2012 nemá prechodné ustanovenia.

  9. Ako často musí prejsť podnik bezpečnostným auditom?
    Audity sa zvyčajne robia raz ročne, v odôvodnených prípadoch a pri rozsiahlych systémoch čiastkové audity kľúčových komponentov raz za dva roky resp. podľa pravidiel určených v bezpečnostnej politike.

  10. Kto vypracuje bezpečnostnú politiku a urobí audit?
    V praxi zvyčajne spolupracuje objednávateľ s certifikovanou osobou na vypracovaní bezpečnostnej dokumentácie (bezpečnostných politík, vykonávacích predpisov bezp. politík, atď.) a auditu.

  11. Čo je základnou súčasťou bezpečnostnej politiky?
    Základnou súčasťou bezpečnostnej politiky je prevádzková dokumentácia spracovaná do predpísanej formy, tak aby spĺňala predpísané minimálne požiadavky stanovené Opatrením a príslušnou normou pre bezpečnosť ICT.

  12. Ktorá časť zo správy auditu je podstatná?
    Podstatnou časťou správy z auditu sú konečné zistenia v štruktúrovanej forme. Tieto zistenia určujú potrebné kroky v nasledujúcom období pre oblasť bezpečnosti ICT podniku a tiež pre zmeny bezpečnostnej politiky podniku.

  13. Akým spôsobom dostanem spätnú väzbu o incidentoch v EU?
    Vo výročnej správe ENISA bude dostupný prehľad o incidentoch a ich príčinách. Taktiež budú dostupné materiály a najlepších praktikách ako predchádzať resp. zabrániť incidentom.

  14. Aké sú oblasti, ktoré treba riešiť pri bezpečnosti sietí?
    Len dobre zabezpečenej sieti môže užívateľ dôverovať, používať ju a zveriť jej citlivé informácie. Bezpečnosť siete môžeme rozdeliť do štyroch oblastí:
    - bezpečnosť údajov
    - bezpečnosť softvéru
    - bezpečnosť fyzického systému
    - bezpečnosť pri prenose.

  15. Prečo sa hovorí často o bezpečnosti ICT (informačné a komunikačné technológie) a čo je jej podstatou
    Práca s informáciami a ich spracovanie prebieha často v elektronickej podobe, informácie treba chrániť v tejto podobe. Informačná bezpečnosť je ochrana informácií pred širokou škálou hrozieb s cieľom zabezpečiť kontinuitu podnikania, minimalizovať podnikateľské riziko a maximalizovať využitie investícií a obchodných príležitostí.
    Informačná bezpečnosť sa dosahuje implementáciou vhodnej sady opatrení, ktorými môžu byť politiky, praktiky, procedúry, organizačné štruktúry a softvérové a hardvérové funkcie. Tieto opatrenia je nutné zaviesť, implementovať, monitorovať, preskúmavať a zlepšovať tam kde je to potrebné, aby sa zabezpečilo splnenie špecifických bezpečnostných a podnikateľských zámerov organizácie. Toto by sa malo realizovať v súčinnosti s inými podnikovými manažérskymi procesmi.

  16. Ako stanoviť bezpečnostné požiadavky?
    Je veľmi dôležité, aby organizácia identifikovala svoje bezpečnostné požiadavky. Sú na to tri hlavné zdroje.
    1. Prvý zdroj je odvodený od ohodnotenia rizík, ktoré hrozia organizácii, pričom je potrebné brať do úvahy všeobecné firemné podnikateľské stratégie a ciele. Prostredníctvom ohodnotenia rizík sú identifikované hrozby pre aktíva, zhodnotené zraniteľnosti a pravdepodobnosti výskytu a odhadnutý potenciálny dopad.
    2. Druhým zdrojom sú právne, štatutárne, regulačné a zmluvné požiadavky, ktoré určitá organizácia, jej obchodní partneri, zmluvní partneri a poskytovatelia služieb musia splniť, ako aj ich sociálno-kultúrne prostredie.
    3. Ďalším zdrojom je konkrétna sada dokumentov, princípov, cieľov a podnikateľských požiadaviek na spracovanie informácií, ktoré daná organizácia vyvinula na podporu svojej prevádzky. (napr. postupy spracovania záloh, obnovy prevádzky)

  17. Aký má zmysel ohodnotenie bezpečnostných rizík?
    Bezpečnostné požiadavky sú identifikované prostredníctvom metodického ohodnotenia bezpečnostných rizík. Výdavky na opatrenia musia byť v rovnováhe so škodami, ktoré môžu vyplynúť z bezpečnostných zlyhaní Výsledky takéhoto ohodnotenia rizík napomôžu pri určovaní vhodných krokov manažmentu a dosiahnutí priorít manažmentu rizík informačnej bezpečnosti a pri implementácii opatrení vybraných na ochranu proti týmto rizikám. Môže byť potrebné vykonávať proces ohodnotenia rizík a výberu opatrení opakovane, aby sa určili rôzne zmeny, ktoré môžu ovplyvniť výsledky analýzy rizík.

  18. Ako sa dotýka Opatrenie podniku so 700 účastníkmi?
    Opatrenie platí pre všetky podniky v zmysle Zákona. Hlásenie bezpečnostných incidentov musí posielať podnik, ktorý má viac ako 2000 účastníkov.

  19. K čomu slúži výročná správa agentúry ENISA?
    Vydávanie odporúčaní, rád a osvedčených postupov:
    a. "zber incidentov ", t.j. ako zlepšiť systém hlásenia incidentov v národným regulačným orgánom a ako zlepšiť zdieľanie informácií medzi národnými regulačnými orgánmi, ES, ENISA, a súkromným sektorom, vydávanie osvedčených postupov, ako analyzovať informácie získané z incidentov v prospech tejto analýzy.
    b. "manažovanie incidentov ", tj ako maximalizovať hodnotu získaných skúseností na národnej aj na úrovni EÚ v rámci procesu Manažovania incidentov, ako je vytvorenie kritérií pre proces riadenia incidentov, atď c. Preventívne opatrenia, investície, financovanie výskumu, identifikácia stimulov pre trh atď.

  20. Čo bude obsahom analýzy výročnej správy agentúry ENISA?
    - Aké boli najčastejšie poruchy?
    - Aké sú najčastejšie príčiny nehôd?
    - Zraniteľnosť služieb: Ktoré služby sú najviac zraniteľné?
    - Spoločné ohrozenia: Čo je najčastejšou príčinou pre vznik incidentu, ktorý sa týka konkrétnej služby? (Napr. najčastejšie príčiny, ovplyvnenie pevnej telefónie sú prírodné javy).
    - Analýza trendov: percento postihnutých užívateľov v Európe každý rok i postihnutých druhov služieb za rok. (Aké sú trendy v Európe?).
    - Analýza útoku: Kde sú nehody v dôsledku nebezpečného útoku, ako môžu byť charakterizované tieto útoky? V porovnaní s útokmi získanými v predchádzajúcich rokoch, aké môžu byť rozdiely? (Zložitejšie, viac cielené, kombinácia niekoľkých metód, nie je ľahké rozpoznať, atď) - Spoločný časový rámec: časové rozloženie incidentov (ak sa väčšina incidentov stala v Európe?)
    - Mapovanie profilov útoku (scan, sonda, červami, DoS, spam atď)
    - Chyby prepojenia: ako funguje prepojenie v prípade nehody? Ako vplýva jedna služba na ostatné? Vytvoriť mapu prepojenie na národnej aj celoeurópskej úrovni?
    - Vplyv eskalácie: Ktoré kategórie aktív, ak sú zasiahnuté, môžu mať väčší dopad na služby, a prečo?
    - Aké sú závery, po analýze času na obnovenie od 'incidentu' k 'incidentu' od klasifikácie a typu služby?
    - Aká je priemerná doba na obnovenie služieb?

  21. Ktoré informácie nebude obsahovať výročná správa agentúry ENISA?
    Správa nebude obsahovať žiadne priame porovnanie medzi národnými regulačnými orgánmi. Takže nasledujúce informácie (neúplný zoznam) nie sú súčasťou výročnej správy, ktorú vydá agentúra ENISA:
    - Počet nehôd v jednotlivých krajinách,
    - Priemerný vplyv na udalosti v krajine X,
    - Stredná doba do objavenia incidentov v krajine X,
    - Priemerný čas na zotavenie v krajine X,
    - Názov operátorov alebo poskytovateľov.

  22. Ktoré telekomunikačné služby patria a podliehajú mechanizmu ohlasovania incidentov?
    - Verejná telefónna služba (t.j. verejná služba na priame alebo nepriame vytváranie a prijímanie národných a medzinárodných volaní prostredníctvom jedného alebo viacerých čísel národného alebo medzinárodného číslovacieho plánu)
    - Iné hlasové služby (prenos hlasu cez IP, tranzit volaní, prenos hlasu cez HRS)
    - Prenájom okruhov (ukončovacie časti, prenosové časti)
    - Služby prenosu dát (prenos dátových súborov, SMS, MMS, e-mail)
    - Služby prístupu k sieti internet (napr. „dial-up“, broadband)
    - Služba retransmisie R a TV programových služieb
    - Iné elektronické komunikačné služby.

  23. Ktoré telekomunikačné siete patria a podliehajú mechanizmu ohlasovania incidentov?
    - Pevná sieť
    - Bezdrôtová sieť pevná
    - Bezdrôtová sieť mobilná
    - Družicová sieť (napr. družicová sieť používaná pre R a TV vysielanie, SNG alebo poskytovanie iných elektronických komunikačných služieb)
    - Sieť pre retransmisiu R a TV signálov (KDS, MMDS)
    - Sieť R a TV vysielačov
    - Sieť na rozvod elektrickej energie (v rozsahu, v ktorom sa používa na prenos signálov).

  24. Ak telekomunikačný podnik v zmysle všeobecného povolenie na poskytovanie verejných elektronických komunikačných sietí a verejných elektronických komunikačných služieb poskytuje viacero lokálnych verejných elektronických komunikačných sietí, resp. verejných elektronických komunikačných služieb koncovým užívateľom s počtom menším ako 2000, ale v súčte všetky siete, resp. služby užíva viac ako 2000 koncových užívateľov je povinný podnik nahlasovať významný bezpečnostný incident?
    Pokiaľ poskytujete viacero lokálnych verejných sietí (a poskytujete ich prostredníctvom jeden druh služby) a tieto siete sú v konečnom dôsledku prepojené znamená to, že musíte zahŕňať vo svojom hodnotení súhrn týchto sietí a brať ju ako jednu sieť a z toho vyplýva aj potreba uvažovať o súčte všetkých koncových užívateľov. Služby sú poskytované koncovým užívateľom prostredníctvom komunikačných sietí a za predpokladu incidentu na sieti dochádza k obmedzeniu alebo zamedzeniu konkrétnej poskytovanej služby pre Vašich užívateľov, samozrejme podľa charakteru a závažnosti incidentu. Hranica 2000 užívateľov (na základe prieskumu)bola stanovená z dôvodu predpokladu, že títo menší prevádzkovatelia sietí a poskytovatelia služieb nenarušia bezpečnosť a integritu sietí v tak významnej miere a jedná sa o podniky pôsobiace na malom území.

  25. Týka sa nahlasovanie významných bezpečnostných incidentov aj podnikov poskytujúcich podmienený prístup? Systém podmieneného prístupu v zmysle zákona síce nie je verejnou elektronickou komunikačnou službou, ale je neoddeliteľnou súčasťou verejnej elektronickej komunikačnej siete, čiže zastávame názor, že bezpečnostný incident a narušenie siete sa k nemu vzťahuje.
    Aj služby vyžadujúce systém podmieneného prístupu sú poskytované prostredníctvo verejných elektronických komunikačných sietí. Sieť v tomto prípade končí na rozhraní siete a systéme podmieneného prístupu, ktorého vlastníkom je už užívateľ. Vaše povinnosti, ako prevádzkovateľa siete končia na tomto rozhraní.

  26. Týka sa povinnosť nahlasovania významných bezpečnostných incidentov aj podnikov poskytujúcich verejné elektronické komunikačné siete, verejné elektronické komunikačné služby, resp. iné typy verejných služieb koncovým užívateľom cezhranične na území Slovenskej republiky, aj keď tieto podniky nemajú sídlo v Slovenskej republike? Komu tieto podniky majú nahlasovať bezpečnostné incidenty, keď účastníkov majú v iných krajinách? Ale v princípe to môže byť otázka položená aj opačne t.j. kedy ako fyzická, alebo právnická osoba poskytujete rôzne typy verejných služieb, alebo sietí v zmysle zákona o elektronických komunikáciách zo Slovenska cezhranične do iných krajín a má sídlo na Slovensku.
    Povinnosť nahlasovať významný bezpečnostný incident sa vzťahuje len na siete a služby na území štátu, v ktorom je podnik zaregistrovaný resp. kde si splnil oznamovaciu povinnosť. K tomuto účelu bolo aj stanovené kritérium na určenie rozlohy územia pre ktoré sa posudzuje nedostupnosť služby a tým je jedna primárna oblasť pre verejnú telefónnu službu na pevnom mieste (celkom ich je 25). Na Vašu otázku týkajúcu sa poskytovania služieb koncovým užívateľom cezhranične je pravdepodobné, že sa bude incident vyskytovať v celej vašej sieti t.j. aj na území SR a aj na území ďalšieho štátu. V tomto prípade je potrebné v hlásení incidentu upozorniť na tento fakt a na jeho základe upozorníme regulačnú autoritu v danej krajine na tento incident a ďalšie okolnosti.