Rozvoj úrovne informačnej a kybernetickej bezpečnosti v meste Trnava

Mesto Trnava je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe. Mesto má vypracovanú analýzu súladu s uvedenou legislatívou a na základe zistení je potrebné realizovať opatrenia tak, aby sa zvýšila kybernetická bezpečnosť na požadovanú úroveň. 

Účelom projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z analýzy.

K 1.1.2022 mesto Trnava prijalo bezpečnostnú dokumentáciu podľa zákona 69/2018 o kybernetickej bezpečnosti, konkrétne:
•          Stratégiu informačnej a kybernetickej bezpečnosti,
•          Klasifikáciu dokumentov,
•          Klasifikáciu informačných systémov,
•          Politiku pre klasifikáciu infomačných aktív,
•          Vyhlásenie o zavedení bezpečnostných opatrení,
•          Politiku pre mobilné zariadenia a teleworking,
•          Politiku pre cudzie mobilné zariadenia,
•          Plán vzdelávania,
•          Politiku IT aktív pre používateľov,
•          Politiku IT aktív pre vlastníkov a správcov,
•          Politiku práce s médiami,
•          Správu aktív,
•          Politika o heslách a autentizačných prostriedkoch,
•          Politika riadenia prístupov,
•          Politika používania kryptografických opatrení,
•          Politika čistého stola a čistej obrazovky,
•          Práca v zabezpečených priestoroch,
•          Politika pre bezpečnosť prevádzky,
•          Rozpis údržby,
•          Politika prenosu informácií,
•          Politika riadenia bezpečnosti v sieťach,
•          Politika pre údržbu informačných systémov,
•          Politika pre vzťahy s dodávateľmi,
•          Špecifikácia a rozsah bezpečnostných opatrení, ktoré prijíma tretia strana,
•          Politika pre hlásenie bezpečnostných incidentov,
•          Politika riadenia incidentov,
•          Popis bezpečnostných incidentov,
•          Politika kontinuity,
•          Postup pre nápravné opatrenia,
•          Politika pre interný audit,
•          Hranice riadenia,
•          Manažér informačnej bezpečnosti,
•          Politika pre riadenie dokumentov a záznamov.

Na zvýšenie kybernetickej bezpečnosti sa plánuje v rámci projektu venovať aj technickým aj procesným opatreniam. 

Medzi procesné opatrenia, ktoré chceme riešiť v rámci projektu patrí vypracovanie projektu a postupov pre zabezpečenie kontinuity prevádzky (Business Continuity Management) kľúčových informačných systémov a právne poradenstvo pre zosúladenie dodávateľských vzťahov. Taktiež plánujeme zabezpečiť školenia kybernetickej bezpečnosti a o správaní sa v kyberpriestore pre  pracovníkov mesta.

Medzi technické opatrenia patria najmä: 

• Implementácia softvéru pre identifikáciu a riadenie rizík, ktorý slúži na vedenie zoznamu aktív, zraniteľností, hrozieb, opatrení a vzťahov medzi aktívami a zraniteľnosťami, identifikáciu a ohodnotenie rizík,
• pilotná implementácia centrálneho logovacieho systému na zaznamenávanie udalostí z dôležitých systémov, pričom logy budú nielen zaznamenávané, ale aj vyhodnocované pomocou SIEM nástroja. Na monitorovanie dostupnosti systémov bude zároveň nasadený monitoring. Do pilotnej prevádzky bude zahrnuté aj využitie externého SOC.

Mesto Trnava absolvovalo v roku 2021 test zraniteľnosti a v budúcnosti plánuje zavedenie pravidelného vykonávania testu zraniteľností, čo by malo prispieť ku skorému odhaleniu prípadných zraniteľností, ktoré môžu byť využité útočníkmi na kompromitáciu systémov nasadených v organizácii.

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a zvýšenie povedomia o bezpečnosti v kybernetickom priestore a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania auditu kybernetickej bezpečnosti.