Rozvoj governance a úrovne informačnej bezpečnosti v SUSCCH, a.s.

Stredoslovenský ústav srdcových a cievnych chorôb, a.s. (ďalej len SÚSCCH) aktuálne nemá implementované riešenia a opatrenia kybernetickej bezpečnosti povinné podľa zákona o KyB a zákona o ITVS. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov a preto je potrebné zvýšiť IT a kybernetickú bezpečnosť.

Na zvýšenie kybernetickej bezpečnosti je potrebné mať zrealizovanú predovšetkým inventarizáciu informačných aktív a zrealizovanú analýzu rizík nad týmito aktívami. Nakoľko naša organizácia nemá zavedený proces riadenia rizík, spracovanú analýzu, uchádzame sa o NFP na realizáciu predmetných dokumentov a najmä zavedenie procesov governance informačnej bezpečnosti do praxe.

Projekt bude realizovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v  SÚSCCH a zabezpečiť súlad so zákonom č. 95/2019 Z. z. a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti governance kybernetickej bezpečnosti.

SÚSCCH chce zaviesť procesy governance kybernetickej bezpečnosti a realizovať analýzu rizík pomocou finančných prostriedkov z dopytovej výzvy „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“. Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti.

Súčasťou projektu je aj implementácia systému pre log management, zahrňujúca najmä nákup centrálneho log management nástroja, zmapovanie a konsolidácia zdrojov logov a ich napojenie na log manažment. Výsledkom realizácie projektu je zavedenie procesov governance IT bezpečnosti a riadenia rizík do našej organizácie. Vedľajším produktom je samozrejme aj inventarizácia aktív, analýza rizík, bezpečnostná dokumentácia, námety na bezpečnostné opatrenia a lepšie spĺňanie zákonov 69/2018 Z.z. a 95/2019 Z.z.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený nástroj na monitorovanie a riadenie bezpečnostných incidentov.

Miestom realizácie je sídlo našej organizácie.

V rámci projektu sú realizované nasledovné aktivity, ktorých popis je v ďalších kapitolách:

• Analýza a Dizajn,
• Nákup technických prostriedkov, programových prostriedkov a služieb,
• Implementácia a Testovanie,
• Nasadenie.

Celkový objem nenávratného finančného príspevku, ktorý má byť použitý na realizáciu uvedených opatrení je približne 180.000,- eur. Bližšie údaje o finančnom rozdelení pre jednotlivé aktivity projektu sa nachádzajú v rozpočte projektu a TCO.