Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky (MIRRI SR) sprístupňuje na verejné pripomienkovanie projektovú dokumentáciu k národnému projektu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“.
Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (IB a KyB) v štátnej správe nie je ideálna. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Štát na túto situáciu zareagoval zvýšením investícií do oblasti, či už cez investície zo štátneho rozpočtu, dopytové výzvy alebo plánovanú alokáciu v pláne obnovy. V legislatívnej oblasti bol prijatý zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, ktoré nastavujú požiadavky a štandard z pohľadu bezpečnostných opatrení. Napriek zvýšeným investíciám a prijatému legislatívnemu rámcu však niektoré investície nie sú efektívne vynaložené najmä z nasledovných dôvodov:
- nie sú k dispozícii dostatočné personálne kapacity pre oblasť riadenia IB a KyB a na prevádzku bezpečnostných systémov,
- niektoré organizácie nemajú zrealizovanú inventarizáciu, klasifikáciu a kategorizáciu informačných aktív, analýzu rizík a analýzu dopadov (AR/BIA), neriadia riziká a nemajú spracované bezpečnostné dokumenty, z ktorých by vyplývalo aké opatrenia je potrebné realizovať.
Tento projekt pripravuje predpoklady pre horizontálnu dopytovú výzvu, do ktorej sa bude môcť prihlásiť približne 30 inštitúcií z radov ústredných orgánov štátnej správy a ich podriadených organizácií. Tie budú môcť žiadať o „malé“ projekty (približne 100-200 tisíc eur). Požiadať budú môcť o podporu najmä v týchto oblastiach:
- inventarizácia, klasifikácia a kategorizácia informačných aktív, realizácia AR/BIA, riadenie rizík a spracovanie základných dokumentov v oblasti IB a KyB v zmysle zákona č. 69/2018 Z.z.,
- pilotná implementácia systému pre logmanažment, zahŕňajúca predovšetkým práce na zmapovaní zdrojov logov a ich napojení na centrálny log manažment nástroj pre následné nasadenie SIEM riešení,
- pilotná implementácia SOC as a service,
- pilotná implementácia dvojfaktorovej autentifikácie a mobile device managementu.
Podpora bude primárne poskytovaná pre oblasti:
- governance IB a KyB a bezpečnostná dokumentácia,
- riadenie aktív, hrozieb a rizík, t.j. inventarizácia aktív, klasifikácia a kategorizácia aktív, spolu s vykonaním analýzy rizík a analýzy dopadov a následným riadením identifikovaných rizík.
Tieto aktivity totižto predstavujú nevyhnutný a nutný základ pre riadenie IB a KyB a pre ďalší rozvoj v tejto oblasti a implementáciu dodatočných bezpečnostných opatrení a technických bezpečnostných riešení. Výstupy týchto aktivít sú nevyhnutným predpokladom pre prijímanie adekvátnych, efektívnych, vyvážených a optimálnych bezpečnostných opatrení.
Podpora pre iné oblasti riadenia IB a KyB bude poskytovaná len pre tie inštitúcie, ktoré preukážu, že tieto oblasti majú plne pokryté a výstupy z týchto aktivít sú k dispozícii pre rozvoj ďalších oblastí riadenia IB a KyB uvedených vyššie. Preukázanie realizácie a naplnenia týchto základných aktivít bude nevyhnutnou podmienkou pre žiadanie finančných prostriedkov na aktivity typu bezpečnostného monitoringu, riadenia bezpečnosti prevádzky, riadenia prístupov a BCM a implementácie ďalších bezpečnostných riešení a funkcii ako sú napr. IAM, DLP, 2FA, VS, LMS, SIEM/SOC a pod.
MIRRI bude pre potenciálnych žiadateľov poskytovať najmä:
- šablóny pre dokumenty vyplývajúce zo zákona č. 69/2018 Z.z.,
- usmernenia a odporúčania k prispôsobeniu dokumentov a riadeniu IB a KyB,
- metodiku spracovania AR/BIA a riadenia rizík,
- quality assurance a podporu spracovania ŽoNFP a VO.
Výsledok projektu:
Inštitúcie zapojené do projektu si efektívnym spôsobom implementujú klasifikáciu a kategorizáciu, realizáciu AR/BIA, riadenie rizík a základné dokumenty a rámce riadenia informačnej a kybernetickej bezpečnosti. Zároveň by sa mal overiť spôsob implementácie log manažment systému v prostredí štátnej správy, ako aj životaschopnosť služby SOC as a service v porovnaní s veľkými SOC projektmi, ktoré sú aktuálne v realizácii.
Verejná prezentácia a zároveň prerokovanie projektu, formou online stretnutia, sa uskutoční dňa 29.4.2021 o 14:00. Záujem o účasť na verejnom prerokovaní, prosím, nahláste na nižšie uvedenú mailovú adresu do 26.4.2021 12:00 h., následne Vám bude zaslaná pozvánka (zároveň bude zverejnená aj na tejto stránke).
Váš záujem o účasť na verejnom prerokovaní projektu (29.4.2021) a Vaše pripomienky k projektu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“ zasielajte prosím na e-mailovú adresu: sabina.valachova@mirri.gov.sk
Dokumenty – Projektový zámer, prístup k projektu, CBA a formulár na pripomienkovanie sú k dispozícii v Meta IS na nižšie uvedenom linku.
Pripomienky zasielajte v štruktúrovanej forme prostredníctvom vyplnenia nižšie uvedeného formuláru do 26.4.2021, 12:00 h.
Dokumenty na stiahnutie nájdete: https://metais.vicepremier.gov.sk
