Kybernetická bezpečnosť Dopravného úradu

Dopravný úrad (ďalej len „DÚ“) aktuálne nemá implementované riešenia a opatrenia kybernetickej bezpečnosti povinné podľa zákona o KyB a zákona o ITVS. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť informačnú a kybernetickú bezpečnosť.

Na zvýšenie úrovne informačnej a kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu informačných aktív, následne ich klasifikáciu a kategorizáciu IS a sietí a zrealizovanú analýzu rizík nad týmito aktívami. Nakoľko DÚ nemá zavedený formálny proces riadenia rizík, spracovanú analýzu rizík a ani ustanoveného manažéra kybernetickej bezpečnosti (aktuálne, podľa organizačného poriadku, zastrešuje agendu riadenia KyB útvar IT), uchádzame sa o NFP na realizáciu predmetných dokumentov, výkon potrebných analýz a najmä zavedenie procesov governance informačnej a kybernetickej bezpečnosti do praxe.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v rámci DÚ a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o ITVS a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti governance kybernetickej bezpečnosti.

DÚ chce zaviesť procesy governance kybernetickej bezpečnosti a realizovať analýzu rizík pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces už zavedený a vykonávaný predovšetkým manažérom kybernetickej bezpečnosti, ktorého DÚ plánuje prijať. Hlavným výsledkom realizácie projektu bude zavedenie procesov governance IT bezpečnosti a riadenia rizík DÚ. Vedľajším produktom je samozrejme aj inventarizácia aktív, ich klasifikácia a kategorizácia IS a sietí, vykonaná analýza rizík, námety na bezpečnostné opatrenia a lepšie spĺňanie súladu s požiadavkami zákonov č. 69/2018 Z.z. a č. 95/2019 Z.z.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov poskytnutý MIRRI z projektu CMRKB pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.

Miestom realizácie je sídlo našej organizácie.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:

• Analýza a Dizajn,
• Implementácia a Testovanie,
• Nasadenie.

Celkový objem nenávratného finančného príspevku, ktorý má byť použitý na realizáciu uvedených opatrení je približne 70.000,- eur. Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a TCO, ktoré tvoria prílohu žiadosti o NFP.