Názov projektu: „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v BBSK“
Kód výzvy: OPII-2021/7/16-DOP
Kód projektu: 311070BLC5
Operačný program: 311000 – Integrovaná infraštruktúra (OPII)
Prioritná os: 311070 – Informačná spoločnosť
Zmluva o NFP č.: Z311071BLC5
Výška COVP: 170 353,07 EUR
Hlavný cieľ projektu: 7.9 Zvýšenie kybernetickej bezpečnosti v spoločnosti
Druh projektu: dopytovo orientovaný projekt
Riadiaci orgán: Ministerstvo dopravy a výstavby Slovenskej republiky
Sprostredkovateľský orgán: Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
Prijímateľ: Banskobystrický samosprávny kraj, nám. SNP 23, 974 01 Banská Bystrica
Základné informácie o projekte: Projekt je koncipovaný podľa návrhu horizontálneho projektu, pričom predmetom projektu je:
- Analyzovať aktuálny stav v oblasti riadenia IB a KyB a jeho súladu s požiadavkami legislatívy.
- Vykonať dôkladnú analýzu rizík a analýzu dopadov (AR/BIA) vrátane:
- identifikácie aktív a ohodnotenia ich kritickosti,
- klasifikácie aktív a kategorizácie IS a sietí,
- identifikácie hrozieb a vektorov útokov,
- analýzy potenciálnych dopadov,
- identifikácie rizík na základe pravdepodobností výskytu hrozieb a možných dopadov,
- identifikácie existujúcich opatrení a reziduálnych rizík,
- návrhu opatrení
- Na základe analýzy rizík spracovať stratégiu informačnej a kybernetickej bezpečnosti vrátane roadmapy na implementáciu navrhnutých opatrení.
- Zabezpečiť formálne rozhodnutia o riadení rizík (o ich akceptácii alebo prijatí adekvátnych opatrení na ich zníženie alebo úplnú elimináciu) vedením BBSK.
- Vytvoriť požadované interné dokumenty a smernice pre relevantné oblasti riadenia IB a KyB.
- Zaviesť do prostredia BBSK klientsky nástroj (modul) pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.
Hlavné aktivity:
- Analýza a dizajn– pozostáva z nasledujúcich častí:
- analýza aktuálneho stavu a súladu s legislatívnymi požiadavkami,
- inventarizácia a klasifikácia informačných aktív a kategorizácia IS a sietí,
- analýza rizík a analýza dopadov,
- zavedenie procesu riadenia rizík a procesu governance IB a KyB,
- dodávka produktov definovaných v tab. nižšie na základe šablón MIRRI,
- analýza zavedenia klientskeho nástroja (modulu) evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov.
- Implementácia a testovanie - pozostáva z customizácie a testovania offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source - modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia a Testovanie prispôsobí potrebám našej organizácie.
- Nasadenie - pozostáva z nasadenia spomínaného offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov.
Merateľné ukazovatele projektu:
- Počet informačných systémov VS zapojených do centrálneho systému monitorovania bezpečnosti v rámci VS - P0167 - v rámci tohto merateľného ukazovateľa bude sledované pri všetkých hlavných aktivitách (Analýza a Dizajn, Implementácia a Testovanie ako aj Nasadenie) celkový počet informačných systémov VS:
- Web stránka BBSK
- MS Exchange
- MS Active directrory
- Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov – P0193 - celkom nasadených nástrojov v počte 1 ks.
Situácia po realizácii projektu vychádza z naplnenia cieľa – projekt by mal rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v BBSK a zabezpečiť súlad so zákonom č. 95/2019Z.z. a č. 69/2018 Z. z. o kybernetickej bezpečnosti v oblasti governance kybernetickej bezpečnosti.