Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS – Sociálna poisťovňa
Sociálna poisťovňa
Aktuálne Sociálna poisťovňa (ďalej aj "SP") nemá implementované riešenia na komplexné opatrenia kybernetickej bezpečnosti povinné v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť IT a kybernetickú bezpečnosť.
Na zvýšenie kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu informačných aktív a zrealizovanú analýzu rizík nad týmito aktívami. Nakoľko SP nemá zavedený komplexný proces riadenia rizík a spracovanú analýzu, uchádzame sa o NFP na realizáciu predmetných dokumentov a najmä zavedenie procesov informačnej bezpečnosti do praxe.
Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v SP a zabezpečiť súlad so zákonom č. 95/2019 Z. z. a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia kybernetickej bezpečnosti.
SP k dnešnému dňu nemá:
- prepojené a zosúladené riadenie informačnej a kybernetickej bezpečnosti s ochranou osobných údajov,
- vytvorenú analýzu dopadov na činnosti a procesy SP,
- vytvorenú a schválenú bezpečnostnú stratégiu,
- aktuálnu klasifikáciu informácií podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
- aktuálnu kategorizáciu sietí a informačných systémov podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
- vytvorený zoznam (inventár) informačných aktív,
- aktuálnu analýzu rizík kybernetickej bezpečnosti na základe identifikácie hrozieb a zraniteľnosti podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
- definované RTO (recovery time objective) a RPO (recovery point objective) pre kritické systémy,
- definované bezpečnostné opatrenia na základe klasifikačných stupňov.
- vytvorenú politiku Business Continuity Management
Z horeuvedených dôvodov sa SP uchádza o nenávratný finančný príspevok (ďalej aj „NFP“) na realizáciu predmetných dokumentov a najmä zavedenie procesov riadenia informačnej a kybernetickej bezpečnosti do praxe.
SP chce zaviesť procesy riadenia kybernetickej bezpečnosti a realizovať analýzu rizík pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, v organizačnej štruktúre SP označený ako riaditeľ odboru Bezpečnosti Informačných Systémov . Hlavným výsledkom realizácie projektu bude zavedenie procesov riadenia IT bezpečnosti a riadenia rizík SP. Vedľajším produktom je aj inventarizácia aktív, analýza rizík, námety na bezpečnostné opatrenia a lepšie spĺňanie zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z.
Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.
Miestom realizácie je ústredie.
V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:
- Analýza a Dizajn,
- Nákup technických prostriedkov, programových prostriedkov a služieb,
- Implementácia a Testovanie,
- Nasadenie.
Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a TCO.
Názov | Typ | Plánovaný začiatok | Skutočný začiatok | Plánovaný koniec | Skutočný koniec |
---|---|---|---|---|---|
Názov
Nasadenie
|
Typ
Q. Zabezpečenie kom…
|
Plánovaný začiatok
01.03.2023
|
Skutočný začiatok
01.03.2023
|
Plánovaný koniec
01.12.2023
|
Skutočný koniec
20.10.2023
|
Názov
Implementácia a Testovanie
|
Typ
Q. Zabezpečenie kom…
|
Plánovaný začiatok
01.03.2023
|
Skutočný začiatok
01.03.2023
|
Plánovaný koniec
01.12.2023
|
Skutočný koniec
20.10.2023
|
Názov
Nákup technických prostriedkov, program…
|
Typ
Q. Zabezpečenie kom…
|
Plánovaný začiatok
01.10.2022
|
Skutočný začiatok
01.06.2023
|
Plánovaný koniec
01.09.2023
|
Skutočný koniec
08.09.2023
|
Názov
Analýza a dizajn
|
Typ
Q. Zabezpečenie kom…
|
Plánovaný začiatok
01.09.2022
|
Skutočný začiatok
01.10.2022
|
Plánovaný koniec
01.12.2023
|
Skutočný koniec
14.12.2023
|
Názov
Podporné aktivity
|
Typ
Podporné aktivity
|
Plánovaný začiatok
01.08.2022
|
Skutočný začiatok
01.10.2022
|
Plánovaný koniec
01.09.2023
|
Skutočný koniec
14.12.2023
|
Názov | Hodnota | Cieľ | Naposledy aktualizované | Riziko |
---|---|---|---|---|
Názov
Dodatočný počet informačných systémov verejnej správy s implementovaným nástrojom na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov
|
Hodnota
-
|
Cieľ
0,0 (počet)
|
Naposledy aktualizované
-
|
Riziko
-
|
Názov
Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov
|
Hodnota
1,0 (počet)
|
Cieľ
1,0 (počet)
|
Naposledy aktualizované
15.01.2024
|
Riziko
-
|
Názov | IČO |
---|---|
Názov
Sociálna poisťovňa
|
IČO
30807484
|
Názov
GAMO a.s.
|
IČO
36033987
|
Názov
stengl a.s.
|
IČO
35873426
|
Názov
GOPAS, a.s.
|
IČO
35881674
|
Názov
ASENTI Services s.r.o.
|
IČO
50375776
|