Rozvoj governance a úrovne IKB v NOÚ

(ďalej len „“) je zapísaný do registra prevádzkovateľov základnej služby.  Musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti (ďalej len „ZoKB“) a zákona č. 95/2019 Z.z. o informačných technológiách verejnej správy (ďalej len „ITVS“).

Na základe výsledkov auditu kybernetickej bezpečnosti (ďalej len „KyB“) realizovaného v septembri minulého roka, a z dosiahnutej zhody s § 29 ods. 1 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, vyplynula akútna potreba na zlepšenie stavu súladu so ZoKB. Práve prostredníctvom predkladaného projektu môže tieto identifikované nedostatky odstrániť a prijať opatrenia organizačné, personálne, ale hlavne procesné k zvýšeniu KyB. Taktiež neopomína ani na nasadenie a implementáciu špičkových prvkov komplexnej ochrany koncových zariadení, dát a siete, ktoré sú nepostrádatelné pri zabezpečení pred bezprostrednými hrozbami akými sú napr. ransomware, phishing alebo drive-by malware.

nemá zavedené procesy governance KyB. Nemá spracovanú požadovanú bezpečnostnú dokumentáciu a nemá zavedené riadenie aktív a rizík. Nemá spracovanú stratégiu  KyB v súlade s prílohou č. 1 k vyhláške NBÚ č. 362/2018 Z. z., ako ani základné bezpečnostné politiky/smernice pre prácu s ITVS.

Cieľom predkladaného projektu je aktualizácia už existujúcich a zavedenie chýbajúcich procesov  governance kybernetickej bezpečnosti, a vypracovanie všetkej potrebnej dokumentácie vrátane stratégie a smerníc, a v pilotnej implementácii nasadiť sekundárne aktivity typu zavedenia bezpečnostných technológií, riadenia bezpečnosti prevádzky, HA NGFW, VPN s MFA, Endpoint Security s EDR a LMS.

Miestom realizácie je sídlo NOÚ.

Hlavnými výsledkami projektu sú:

• rozklad aktív registrovanej  základnej služby (ďalej len „ZS“) na informačné systémy a prvky infraštruktúry, 
• klasifikácia spracúvaných informácií v systémoch ZS, a kategorizácia informačných systémov a sietí,
• analýza  rizík  pre  aktíva  podporujúce  ZS  podľa  štandardov  medzinárodnej  normy ISO/IEC 2700x a metodiky uvedenej vo Vyhláške NBÚ č. 362/2018 Z. z., ktorou sa  ustanovuje  obsah  bezpečnostných  opatrení,  obsah  a  štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
• príprava základných politík riadenia KyB podľa zákona č. 69/2018 Z. z. o kybernetickej  bezpečnosti  a  o  zmene  a  doplnení  niektorých  zákonov, vyhlášky  Národného  bezpečnostného  úradu  č.  362/2018  Z.  z.
• zabezpečenie výkonu funkcie manažéra kybernetickej bezpečnosti,
• implementácia softvérového modulu pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.
• zaškolenie interných užívateľov na bezpečné používanie ISVS,
• konzultácie  v oblasti kybernetickej a informačnej  bezpečnosti  po  odovzdaní požadovaných výstupov.
• implementácia vysoko dostupných (HA) prvkov ochrany perimetrovej sieťovej a komunikačnej bezpečnosti na báze Next Generetion Firewall-ov (NGFW), zahrňajúcu nasadenie HA VPN koncentrátorov s využitím dvojfaktorovej autentifikácie 
• implementácia prvkov ochrany koncových staníc a serverov, nasadenie pokročilej technológie Endpoint Detection and Response (EDR) na detekciu a reakciu na útoky na koncové zariadenia 
• implementácia systémov pre centrálny logmanažment (LMS) s vyhľadávaním a tvorbou reportov.

V rámci projektu sú realizované nasledovné aktivity:

•             Analýza a Dizajn

•             Nákup technických prostriedkov, programových prostriedkov a služieb

•             Implementácia a Testovanie

•             Nasadenie

Podporné aktivity:

Podporná aktivita - Riadenie projektu: projektový tím

Podporná aktivita - Publicita a informovanosť:

•             plagát v sídle nemocnice na viditeľnom mieste

•             informácie o projekte na webovej stránke nemocnice   a na sociálnych sieťach

7/2022

9/2023

Prevádzková a technická udržateľnosť výstupov projektu počas celého obdobia udržateľnosti bude zabezpečená zo strany nemocnice v súlade s platnou slovenskou legislatívou, vrátane súladu s nariadeniami EÚ. Finančné krytie prevádzky projektu počas celej doby referenčného obdobia bude zabezpečovať nemocnica zo svojho rozpočtu.

Popis projektu je podrobnejšie popísaný  v prílohe č. 10 výzvy s názvom Deklarácia súladu NOU , bod a Popis projektu.