Zvýšenie úrovne informačnej a kybernetickej bezpečnosti MZVEZ

Cieľom vybudovania jednotky pre riešenie kybernetických bezpečnostných incidentov (ďalej iba jednotka CSIRT) na Ministerstve zahraničných vecí a európskych záležitostí Slovenskej republiky (ďalej iba „MZVEZ SR“) je:

• vytvorenie adekvátne odborne a technicky vybaveného tímu pre riešenie kybernetických bezpečnostných incidentov a tým pádom zvýšenie schopnosti ich detekcie,
• Implementácia ďalších technologických, procesných a personálnych opatrení pre posilnenie bezpečnostnej architektúry a nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti MZVEZ SR a teda ochranu dát a komunikácie,
• implementáciu preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru MZVEZ SR s cieľom zamedziť narušeniu z vnútorného alebo vonkajšieho prostredia a teda zvýšenie ochrany pred útokmi z externého prostredia,
• budovanie reaktívnych služieb za účelom identifikácie a riešenia kybernetických bezpečnostných incidentov,
• budovanie bezpečnostného povedomia.

Tieto ciele chce MZVEZ dosiahnuť prostredníctvom implementácie a následného udržiavania predloženého projektu z dopytovej výzvy „Zvýšenie úrovne informačnej a kybernetickej bezpečnosti v podsektore ISVS / ITVS“. Po implementácii projektu bude ministerstvo lepšie pripravené čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti.

Na rozdiel od súčasného stavu jednotka CSIRT bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

Ciele tohto projektu budú zároveň napĺňať ciele Politiky informačnej bezpečnosti a požiadavky určené internym riadiacim aktom - Smernicou o informačnej bezpečnosti MZVEZ a interného pokynu o správe a prevádzke informačných systémov a služieb. Medzi hlavnými cieľmi systému riadenia IB stanovenými politikou informačnej bezpečnosti je zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie, monitorovanie prostredia, evidenciu a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

Projekt je možné rozdeliť na 2 časti:

• nákup a implementácia hw a sw vybavenia CSIRT a infraštruktúry MZVEZ,
• organizačné a technické opatrenia spojené s budovaním jednotky CSIRT a bezpečnostných opatrení v rámci celého ministerstva.

Na rozdiel od súčasného stavu bude v cieľovom stave MZVEZ a jeho jednotka CSIRT disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát.

Pre dopytovú výzvu na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na Zvýšenie úrovne informačnej a kybernetickej bezpečnosti v podsektore ISVS / ITVS bola spracovaná horizontálna štúdia uskutočniteľnosti. Sekcia kybernetickej bezpečnosti UPVII na základe tejto výzvy posúdila, že navrhované opatrenia napĺňajú požiadavky národnej koncepcie a strategických priorít informatizácie verejnej správy. Navrhovaný projekt prešiel posúdením súladu s horizontálnou štúdiou uskutočniteľnosti. 

Zároveň v zmysle popisu horizontálnej štúdie bude potrebné pri projekte pri spracúvaní, vytváraní a uchovávaní dokumentácie pri procese budovania projektu postupovať v zmysle zákona č. 215/2004 Z.z. o ochrane utajovaných skutočností a o zmene a doplnení niektorých zakonov v znení neskorších predpisov minimálne stupňa utajenia Dôverné.

Aj keď sa zákon č. 95/2019 Z.z. a jeho ustanovenia o KRIT na tieto projekty nevzťahujú, je cieľ týchto ustanovení (riadne a včasné naplnenia požiadaviek národnej koncepcie a strategických priorít informatizácie verejnej správy) splnený.