Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS – Slovenská agentúra životného prostredia

Slovenská agentúra životného prostredia (ďalej aj „SAŽP“) v zmysle čl. 3 štatútu podporuje kybernetickú bezpečnosť environmentálnych informácií a tvorí kybernetické (digitálne) prostredie na podporu bezpečnosti a manažmentu mimoriadnych udalostí vznikajúcich z faktorov zložiek životného prostredia.

Aktuálne SAŽP nemá implementované riešenia na komplexné opatrenia kybernetickej bezpečnosti povinné v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť IT a kybernetickú bezpečnosť.

Na zvýšenie kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu informačných aktív a zrealizovanú analýzu rizík nad týmito aktívami. Nakoľko naša organizácia nemá zavedený proces riadenia rizík a spracovanú analýzu, uchádzame sa o nenávratný finančný príspevok (ďalej aj „NFP“) na realizáciu predmetných dokumentov a najmä zavedenie procesov informačnej bezpečnosti do praxe.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v SAŽP a zabezpečiť súlad so zákonom č. 95/2019 Z. z. a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia kybernetickej bezpečnosti.

SAŽP k dnešnému dňu nemá:

• prepojené a zosúladené riadenie informačnej a kybernetickej bezpečnosti s ochranou osobných údajov,
• vytvorenú analýzu dopadov na činnosti a procesy SAŽP,
• vytvorenú a schválenú bezpečnostnú politiku,
• vytvorenú a schválenú smernicu riadenia informačnej a kybernetickej bezpečnosti,
• Vykonanú kategorizáciu sietí a informačných systémov podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• vytvorený zoznam (inventár) informačných aktív,
• vykonanú analýzu rizík kybernetickej bezpečnosti na základe identifikácie hrozieb a zraniteľnosti podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• definované RTO (recovery time objective) a RPO (recovery point objective) pre kritické systémy,
• definované bezpečnostné opatrenia na základe klasifikačných stupňov.
• vytvorenú politiku Business Continuity Management

Z horeuvedených dôvodov sa SAŽP uchádza o  NFP na realizáciu predmetných dokumentov a najmä zavedenie procesov riadenia informačnej a kybernetickej bezpečnosti do praxe.

SAŽP chce zaviesť procesy riadenia kybernetickej bezpečnosti a realizovať analýzu rizík pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces zavedený a ďalej vykonávaný internými zamestnancami, predovšetkým manažérom kybernetickej a informačnej bezpečnosti. Hlavným výsledkom realizácie projektu bude zavedenie procesov riadenia IT bezpečnosti a riadenia rizík SAŽP. Vedľajším produktom je aj inventarizácia aktív, analýza rizík, námety na bezpečnostné opatrenia a lepšie spĺňanie zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj z projektu CMRKB pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.

Miestom realizácie je sídlo našej organizácie, Tajovského 28, 975 90 Banská Bystrica.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:

• Analýza a Dizajn,
• Nákup technických prostriedkov, programových prostriedkov a služieb,
• Implementácia a Testovanie,
• Nasadenie.