2021/11 Kybernetická bezpečnosť

Úrad pre reguláciu elektronických komunikácií a poštových služieb (regulačný úrad - RÚ) v tomto momente má dlhodobo kontrahovaného externého manažéra kybernetickej bezpečnosti a iba čiastočne implementované riešenia a opatrenia kybernetickej bezpečnosti povinné podľa zákona o kybernetickej bezpečnosti a zákona o ITVS. Audit podľa zákona 69/2018 Z. z. o kybernetickej bezpečnosti ukázal úplný súlad so zákonom iba v 17% a čiastočný súlad v 32%. Cieľom projektu je výrazne zvýšiť tento podiel. RÚ vykonáva očakáva zvýšenú činnosť a nové povinnosti v oblasti elektronických komunikácií a poštových služieb, čím sa permanentne zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť kybernetickú bezpečnosť.

Na zvýšenie kybernetickej bezpečnosti je potrebné:

• Vypracovanie bezpečnostnej dokumentácie (politiky, štandardy, smernice, pokyny).
• Inventarizácia, klasifikácia a kategorizácia informačných aktív.
• Vykonanie analýzy rizík kybernetickej bezpečnosti a návrh na riadenie rizík.
• Plánovanie kontinuity činností, vypracovanie návrhu Stratégie kontinuity a vytvorenie plánov kontinuity.
• Havarijné plánovanie, DRP – disaster recovery plány.
• Príprava zadaní a mapovanie zdrojov pre implementáciu SIEM a kontroly kvality.
• Príprava zadaní a mapovanie zdrojov pre implementáciu riešenia riadenia incidentov.

Vzhľadom na fakt, že RÚ spolupracuje s ministerstvami a ostatnými ústrednými orgánmi štátnej správy, orgánmi Európskej únie a s inými medzinárodnými orgánmi alebo organizáciami v oblasti svojej pôsobnosti, je nevyhnutné aby jeho nastavenie IT korelovalo s definovanými štandardami pre kybernetickú bezpečnosť.

Realizáciu predmetných dokumentov a najmä zavedenie procesov governance informačnej bezpečnosti do praxe chce RU dosiahnuť pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“.

Po implementácii projektu bude RÚ pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť, zaviesť procesy governance IT bezpečnosti a riadenia rizík a zároveň efektívnejšie a bezpečnejšie poskytovať svoje služby a chrániť záujmy koncových užívateľov s ohľadom na kvalitu a ceny služieb. Vedľajším produktom je samozrejme aj inventarizácie aktív, analýza rizík, námety na bezpečnostné opatrenia a lepšie spĺňanie zákonov 69/2018 Z.z. a 95/2019 Z.z.

Detail je v Deklarácii súladu.