Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS – Sociálna poisťovňa

Aktuálne Sociálna poisťovňa (ďalej aj "SP") nemá implementované riešenia na komplexné opatrenia kybernetickej bezpečnosti povinné v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť IT a kybernetickú bezpečnosť.

Na zvýšenie kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu informačných aktív a zrealizovanú analýzu rizík nad týmito aktívami. Nakoľko SP nemá zavedený komplexný proces riadenia rizík a spracovanú analýzu, uchádzame sa o NFP na realizáciu predmetných dokumentov a najmä zavedenie procesov informačnej bezpečnosti do praxe.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v SP a zabezpečiť súlad so zákonom č. 95/2019 Z. z. a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia kybernetickej bezpečnosti.

SP k dnešnému dňu nemá:

• prepojené a zosúladené riadenie informačnej a kybernetickej bezpečnosti s ochranou osobných údajov,
• vytvorenú analýzu dopadov na činnosti a procesy SP,
• vytvorenú a schválenú bezpečnostnú stratégiu,
• aktuálnu klasifikáciu informácií podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• aktuálnu kategorizáciu sietí a informačných systémov podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• vytvorený zoznam (inventár) informačných aktív,
• aktuálnu analýzu rizík kybernetickej bezpečnosti na základe identifikácie hrozieb a zraniteľnosti podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• definované RTO (recovery time objective) a RPO (recovery point objective) pre kritické systémy,
• definované bezpečnostné opatrenia na základe klasifikačných stupňov.
• vytvorenú politiku Business Continuity Management

Z horeuvedených dôvodov sa SP uchádza o nenávratný finančný príspevok (ďalej aj „NFP“) na realizáciu predmetných dokumentov a najmä zavedenie procesov riadenia informačnej a kybernetickej bezpečnosti do praxe.

SP chce zaviesť procesy riadenia kybernetickej bezpečnosti a realizovať analýzu rizík pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti, v organizačnej štruktúre SP označený ako riaditeľ odboru Bezpečnosti Informačných Systémov . Hlavným výsledkom realizácie projektu bude zavedenie procesov riadenia IT bezpečnosti a riadenia rizík SP. Vedľajším produktom je aj inventarizácia aktív, analýza rizík, námety na bezpečnostné opatrenia a lepšie spĺňanie zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie  a riadenie bezpečnostných incidentov.

Miestom realizácie je ústredie.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:

• Analýza a Dizajn,
• Nákup technických prostriedkov, programových prostriedkov a služieb,
• Implementácia a Testovanie,
• Nasadenie.

Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a TCO.