Zvýšenie kybernetickej bezpečnosti NKÚ SR

Najvyšší kontrolný úrad Slovenskej republiky (ďalej len „NKÚ“ alebo „úrad“) má čiastočne implementované riešenia a opatrenia kybernetickej bezpečnosti povinné podľa zákona č. 69/2019 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KyB“)  a zákona č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS). Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, a taktiež z interného pohľadu sa neustále zvyšuje závislosť na informačných aktívach a informačných systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov v podmienkach úradu. Preto je potrebné zabezpečiť primeranú ochranu a úroveň informačných aktív a kybernetickú bezpečnosť úradu.  

Na zvýšenie kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu a klasifikáciu informačných aktív, realizovanú pravidelnú analýzu rizík nad týmito aktívami a účinný systém riadenia informačnej a kybernetickej bezpečnosti.  Nakoľko NKÚ nemá zavedený komplexný systém riadenia informačnej a kybernetickej bezpečnosti, uchádza sa o nenávratný finančný príspevok (ďalej len „NFP“) na realizáciu bezpečnostných dokumentov a najmä zavedenie procesov governance informačnej a kybernetickej bezpečnosti do praxe.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v NKÚ a zabezpečiť súlad so zákonom o ITVS a zákonom o KyB v oblasti governance kybernetickej bezpečnosti.

NKÚ chce zaviesť procesy governance kybernetickej bezpečnosti pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti a  bezpečnostnými rolami. Hlavným výsledkom realizácie projektu bude zavedenie procesov governance informačnej bezpečnosti a riadenia informačných rizík NKÚ.

Vedľajším výstupom projektu bude aj inventarizácia a klasifikácia aktív,  analýza rizík, návrhy na bezpečnostné opatrenia a zabezpečenie vyššej miery súladu so zákonom o KyB a zákonom o ITVS.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.

Miestom realizácie aktivít projektu je sídlo NKÚ.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:

• Analýza a Dizajn,
• Implementácia a Testovanie,
• Nasadenie.

Celkový objem nenávratného finančného príspevku, ktorý má byť použitý na realizáciu uvedených opatrení je približne 152 500,- eur. Detailnejšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a TCO.