Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti ÚRSO

(ďalej aj „“ alebo "") aktuálne nemá implementované riešenia a opatrenia kybernetickej bezpečnosti, povinné podľa zákonov č. 69/2018 Z. z. o kybernetickej bezpečnosti a č. 95/2019 Z. z. o ITVS. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase zvyšuje závislosť na informačných aktívach a IT systémoch. Neustále sa zvyšujú hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov, a preto je potrebné zamerať úsilie úradu na zvýšenie jeho kompetencií v oblastiach informačnej a kybernetickej bezpečnosti.

Nakoľko ÚRSO nemá zavedený proces riadenia rizík, spracované analýzy rizík a dopadov ani manažéra kybernetickej bezpečnosti, uchádzame sa o NFP na realizáciu predmetných dokumentov a najmä zavedenie procesov governance informačnej bezpečnosti do praxe prostredníctvom využitia finančných prostriedkov z dopytovo-orientovanej výzvy .

Hlavným výsledkom realizovaného projektu bude zavedenie procesov governance IT bezpečnosti a riadenia rizík v IT prostredí ÚRSO. Vedľajším produktom bude inventarizácia aktív, analýza rizík, námety na bezpečnostné opatrenia a zlepšenie súladu IT prostredia ÚRSO so zákonmi č. 69/2018 Z. z. a č. 95/2019 Z. z.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti úradu v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad s vyššie uvedenými zákonmi formou:

       - inventarizácie informačných aktív úradu,

       - realizácie analýzy rizík, analýzy dopadov a návrhu protiopatrení,

       - aplikácie procesu riadenia rizík,

       - aktualizácie bezpečnostnej dokumentácie,

       - návrhu / aktualizácie interných smerníc,

       - návrhu / aktualizácie organizačnej štruktúry úradu,

       - zriadenia prac. pozície „manažér kybernetickej bezpečnosti“,

       - realizácie školení zamestnancov úradu.

Po implementácii projektu, bude proces governance IT bezpečnosti a riadenia rizík v IT prostredí ÚRSO už zavedený a vykonávaný internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti.

Na podporu základných oblastí (governance) informačnej a kybernetickej bezpečnosti ÚRSO a ako KPI projektu:

       - „P0193 Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov",

bude do IT prostredia ÚRSO implementovaný produkt:

       - Klientsky nástroj/modul pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a počítačových sietí a riadenie identifikovaných rizík a incidentov.

Miestom realizácie projektu je sídlo úradu, prípadne, podľa potreby, pobočky úradu.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis sa nachádza v ďalších kapitolách:

       - Analýza a Dizajn,

       - Implementácia a Testovanie,

       - Nasadenie.

Celkový objem nenávratného finančného príspevku, ktorý bude použitý na realizáciu uvedených opatrení, nepresiahne . Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a v TCO/CBA.