Zakon o informacijski varnosti (ZInfV-1) določa, da je kibernetska higiena dobra praksa ohranjanja varnosti in zaščite informacij v digitalnem okolju. To vključuje ukrepe in postopke, namenjene zaščiti računalniških sistemov, omrežij in podatkov pred varnostnimi grožnjami.

Bistveni in pomembni subjekti morajo v skladu z 22. členom ZInfV-1 sprejeti tehnične, operativne in organizacijske ukrepe za:

• zagotavljanje celovitosti, avtentičnosti, zaupnosti in razpoložljivosti omrežnih in informacijskih sistemov,
• oziroma za obvladovanje tveganj za varnost omrežnih in informacijskih sistemov, ki jih uporabljajo za svoje delovanje ali opravljanje storitev ter
• za preprečevanje ali zmanjšanje vpliva incidentov na prejemnike svojih storitev in druge storitve (Varnostni ukrepi).

Varnostni ukrepi morajo temeljiti na pristopu upoštevanja vseh nevarnosti, katerega namen je zaščita omrežnih in informacijskih sistemov in njihovega fizičnega okolja pred incidenti, ter morajo obsegati tudi osnovne prakse kibernetske higiene in usposabljanje na področju informacijske in kibernetske varnosti.

Bistveni in pomembni subjekti naj uporabljajo osnovne prakse kibernetske higiene in se usposabljajo na področju kibernetske varnosti. Osnovne prakse kibernetske higiene lahko vključujejo:

• načela popolnega nezaupanja,
• posodobitve programske opreme,
• konfiguracijo naprav,
• segmentacijo omrežja,
• upravljanje identitete in dostopa ter ozaveščenost uporabnikov,
• organizacijo usposabljanja in ozaveščanje zaposlenih v zvezi s kibernetskimi grožnjami, lažnim predstavljanjem in tehnikami socialnega inženiringa.

Prakse kibernetske higiene so del različnih tehničnih in metodoloških zahtev ukrepov za obvladovanje tveganj za kibernetsko varnost. V zvezi z osnovnimi praksami kibernetske higiene za uporabnike bi morali bistveni in pomembni subjekti upoštevati prakse, kot so:

• politika prazne mize in zaslona,
• uporaba večfaktorske avtentikacije in drugih sredstev za avtentikacijo,
• varna uporaba elektronske pošte in varno brskanje po spletu,
• zaščita pred lažnim predstavljanjem in socialnim inženiringom ter
• varne prakse dela na daljavo.

Agencija Evropske unije za kibernetsko varnost (ENISA) je v ta namen objavila osnovne dobre prakse kibernetske higiene (stran je v angleščini) in priročnik Technical implementation guidance (v angleščini) (zlasti 8. poglavje).

Vabimo, da se z dobrimi praksami seznanite, jih vključite v delovanje vaše organizacije in tako krepite odpornost.

Osnovne prakse kibernetske higiene

• Osnovne prakse kibernetske higiene

Vir: Urad Vlade Republike Slovenije za informacijsko varnost