PROJEKTOVÝ ZÁMER

Manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

Účelom tohto dokumentu je vytvoriť projektový zámer popisujúci rozšírenie súčasnej architektúry kybernetickej bezpečnosti v rezorte Ministerstva životného prostredia a v rámci dodávaných výstupov podporiť na rezortnej úrovni procesy riadenia a rozvoja informačnej a kybernetickej bezpečnosti pomocou finančných prostriedkov z európskych fondov.

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov..

2.1       Použité skratky a pojmy

2.2       Konvencie pre typy požiadaviek

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky budú mať nasledovnú konvenciu:

NREQ_X_Y_xx:

• X – nefunkčná požiadavka (NFR)

o    B – bezpečnostná požiadavka

o    K – kapacitná požiadavka

o    P – prevádzková požiadavka

• Y – označenie požiadavky (legislatíva, IKT, aktívum, skratka IS a pod..)
• xx – číslo požiadavky

3.    DEFINOVANIE PROJEKTU

3.1       Manažérske zhrnutie

Ministerstvo životného prostredia Slovenskej republiky (MŽP SR) je ústredným orgánom štátnej správy pre tvorbu a ochranu životného prostredia vrátane:

• ochrany prírody a krajiny,
• vodného hospodárstva, ochrany pred povodňami, ochrany akosti a množstva vôd a ich racionálneho využívania a rybárstva s výnimkou akvakultúry a morského rybolovu,
• ochrany ovzdušia, ozónovej vrstvy a klimatického systému Zeme,
• ekologických aspektov územného plánovania,
• odpadového hospodárstva,
• posudzovania vplyvov na životné prostredie,
• zabezpečovania jednotného informačného systému o životnom prostredí a plošného monitoringu,
• geologického výskumu a prieskumu,
• ochrany a regulácie obchodu s ohrozenými druhmi voľne žijúcich živočíchov a voľne rastúcich rastlín, geneticky modifikovaných organizmov

Pri plnení svojich úloh a jednotlivých činnostiach, vo všetkých vecne prislúchajúcich oblastiach dochádza k neustálemu zvyšovaniu závislosti na informačných aktívach a IKT, čo zvyšuje hrozby, zraniteľnosti a riziká dopadov bezpečnostných incidentov v kybernetickom priestore.

Strategickým cieľom Národnej stratégie kybernetickej bezpečnosti SR na roky 2021 až 2025 je posilňovanie a vytvorenie otvoreného, slobodného a bezpečného kybernetického priestoru. V kybernetickom priestore sa vyskytuje veľké množstvo hrozieb, ktoré prechádzajú do reálneho útoku a ohrozujú vysoko citlivé informačné aktíva štátu.

Vykonaná analýza rizík s presahom na celý rezort obsahuje zistenie aktuálneho stavu aktív a hrozieb, zraniteľností, závažnosti rizík a možných dopadov, popisuje kvantitatívne alebo kvalitatívne hodnotenie prítomných rizík. Na základe Auditu KB boli navrhnuté primerané a vyvážené opatrenia v oblasti zabezpečovania kybernetickej bezpečnosti. Cieľom projektu je zaistenie kybernetickej ochrany v podmienkach rezortu v súlade so zákonom ZoKB a ZoIKT.

Zámerom predkladaného projektu je vykonať prioritné komplexné opatrenia v rezorte MŽP SR tak, aby bolo  možné zvýšiť úroveň bezpečnosti IKT, ochranu dôležitých informačných aktív a súvisiacich informácií poskytovaných, ukladaných a vymieňaných v kybernetickom priestore. Aktivity pokrývajú v kontexte rezortu princíp nastavenia harmonizácie sektorového governance, metodického riadenia, podporu minimálnych štandardov, efektívnej spolupráce zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti v rezorte a zdieľania nástrojov.

Výsledkom projektu bude optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pre interné kybernetické prostredie rezortu MŽP SR a zabezpečovanie výmeny informácií o kybernetických hrozbách a riešení mimoriadnych situácií.

Ministerstvo životného prostredia SR je prevádzkovateľom základnej služby v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti.

V rezorte MŽP SR je v súčasnosti prevádzkovaných 5 kľúčových informačných systémov, ktoré prekračujú identifikačné kritéria prevádzkovanej služby podľa § 18 ZoKB. V rámci klasifikácie informácií, kategorizácie sietí a informačných systémov boli identifikované v zmysle § 4 vyhlášky č. 362/2018Z.z.  nasledovné maximálne stupne alebo úrovne:

1. a) klasifikačný stupeň - chránené informačné aktíva,
2. b) úroveň integrity – vysoká,
3. c) úroveň dostupnosti – vysoká,
4. d) kategória sietí a informačných systémov - kategória III.

Jednotlivé organizácie v rezorte MŽP SR teda musia povinne plniť všetky bezpečnostné opatrenia v zmysle § 20 ZoKB, niektoré sú prevádzkovateľom základnej služby. Preto v roku 2023 v zmysle § 29 ZoKB vykonalo MŽP SR posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami ZoKB a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov – Audit KB. V rámci auditu kybernetickej bezpečnosti bola konštatovaná stredne vysoká úroveň zabezpečenia požadovanej úrovne kybernetickej bezpečnosti (48% súlad).Jednotlivé zistenia obsahujú citlivé informácie a sú v prílohe. Po ukončení projektu je plánované zabezpečenie súladu na minimálne 70-80%.

K uvedeným zisteniam boli navrhnuté Opatrenia, ktoré boli zaslané podľa §29 ods.4 ako prevádzkovateľa základnej služby na NBU. Cieľom opatrení je účinným spôsobom rozšíriť spôsobilosti v oblasti riadenia informačnej a kybernetickej bezpečnosti v rezorte MŽP SR a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o ITVS a č. 69/2018 Z. z. o kybernetickej bezpečnosti v oblasti riadenia kybernetickej bezpečnosti. Predmet projektu sa týka úloh, ktoré nebolo možné do dnešného dňa splniť z dôvodu absencie finančných prostriedkov a je potrebné zabezpečiť ich splnenie v čo najkratšom čase.

Žiadateľ MŽP SR ku dňu predloženia ŽoNFP má zrealizované nasledovné aktivity (v zmysle vyhlášky NBÚ č. 362/2018 Z.z.) v rozsahu:

• vytvorenú stratégiu kybernetickej bezpečnosti (aktualizácia v rámci projektu)
• vytvorené bezpečnostné politiky kybernetickej bezpečnosti, (vytvorené v rámci projektu)
• vykonanú inventarizáciu aktív (vytvorená v rámci projektu)
• klasifikáciu informácií a kategorizáciu sietí a informačných systémov (aktualizovaná v rámci projektu),
• realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík (aktualizovaná v rámci projektu).

Jednotlivé rezortné organizácie majú v rôznom rozsahu a kvalite zabezpečenú podporu procesov informačnej a kybernetickej bezpečnosti. Okrem MŽP SR bude projekt realizovaný aj pre rezortné organizácie, ktoré:

• nemajú pokrytú oblasť KB vôbec (nesúlad), zabezpečí dodanie relevantných výstupov na zabezpečenie súladu,
• majú čiastočne alebo nedostatočne pokryté oblasti, zabezpečí metodický rámec a obsahový template danej aktivity v zmysle definovanej rezortnej stratégie riadenia KB (governance) a počas projektu bude zabezpečovať konzultačnú a metodickú podporu
• majú dostatočne pokryté oblasti, zabezpečí metodický rámec danej aktivity v zmysle definovanej rezortnej stratégie riadenia KB (governance) a počas projektu bude zabezpečovať konzultačnú a metodickú podporu.

Zároveň projekt dodá nástroj na vybrané aktivity a opatrenia (IAM, SIEM, SOC...) v rozsahu zberu požiadaviek a rámcovej analýzy, ako podklad pre ďalší rozvoj implementácie opatrení v oblasti KB v rezorte MŽP SR do budúcnosti.

3.2       Motivácia a rozsah projektu

V rezorte MŽP SR sa realizuje v zmysle zákona príslušná agenda, pričom na priamo riadené v rezorte sú nasledovné organizácie:

• Štátna ochrana prírody SR sopsr.sk

• Environmentálny fond envirofond.sk
  • Regionálne centrum BB, PO
• Slovenská inšpekcia životného prostredia sizp.sk
  • Inšpektoráty BA, ZA, KE, NR, BB, SN
• Slovenská agentúra životného prostredia sazp.sk
  • Regionálne pracoviská – 10
• Slovenský hydrometeorologický ústav shmu.sk
  • Regionálne pracoviská BB, KE, ZA
• Výskumný ústav vodného hospodárstva vuvh.sk
• SLOVENSKÝ VODOHOSPODÁRSKY PODNIK, štátny podnik svp.sk
  • Odštepné závody Dunaj, Váh, Hron, Hornád, Bodrog
• VODOHOSPODÁRSKA VÝSTAVBA, štátny podnik vvb.sk
  • Pracoviská ZA, KE, BB, Gabčíkovo
• Štátny geologický ústav Dionýza Štúra geology.sk                               
  • Regionálne centrá BB, KE, SN
• Slovenské banské múzeum muzeumbs.sk
  • BS + Handlová
• Slovenské múzeum ochrany prírody a jaskyniarstva smopaj.sk, LM
• Národná zoologická záhrada Bojnice zoobojnice.sk, Bojnice
• Správa Tatranského národného parku so sídlom v Tatranskej Lomnici tanap.sk
• Správa Pieninského národného parku so sídlom v Spišskej Starej Vsi pienap.sk
• Správa Národného parku Malá Fatra so sídlom vo Varíne npmalafatra.sk
• Správa Národného parku Veľká Fatra so sídlom v Martine npvelkafatra.sk
• Správa Národného parku Nízke Tatry so sídlom v Banskej Bystrici napant.sk
  • Lupča, Hrádok, Beňuš, Ružomberok, L. Teplička
• Správa Národného parku Slovenský raj so sídlom v Spišskej Novej Vsi npslovenskyraj.sk
• Správa Národného parku Muránska planina so sídlom v Revúcej npmuranskaplanina.sk
• Správa Národného parku Slovenský kras so sídlom v Brzotíne npslovenskykras.sk
• Správa Národného parku Poloniny so sídlom v Stakčíne sopsr.sk

Rámec pre projekt určujú nasledovné parametre:

- počet rezortných organizácií, pre ktoré budú realizované aktivity: 21

- počet zamestnancov: 2100,

- počet rezortných IS (podľa META IS): 50

- počet kľúčových IS z pohľadu IKB a ZS NBU: 5

Predkladaný zámer sa týka celého rezortu, ktoré MŽP SR metodicky riadi a spolupracuje s rezortnými organizáciami pri prevádzke svojich a rezortných informačných systémov, zabezpečuje podporu procesov vrátane oblasti pre kybernetickú bezpečnosť.

MŽP SR a organizácie v rezorte prevádzkujú svoje informačné aktíva decentralizovane v rámci celého Slovenska. Každá z lokalít, v ktorých sú prevádzkované IKT, ako aj používateľské pracoviská rezortu majú vybudovanú vlastnú sieťovú infraštruktúru. V rámci prevádzky nie sú všade zavedené prevádzkové procesy a príslušné nástroje pre:

• riadenie zmien,
• správu a riadenie prístupov na úrovni používateľov aj prevádzky systémov,

Aktuálne informácie o službách a rezortné informačné systémy verejnej správy sú evidované v META IS (v prevádzke alebo plánované naďalej používať a rozvíjať):

V rámci rezortu MŽP SR sú na jednotlivé ISVS aplikovaní rovnaké požiadavky a princípy riadenia kybernetickej bezpečnosti.

Rozsah prostredia v rezorte, heterogénna štruktúra aktív, nejasný rezortný governance riadenia KB spolu obmedzenými kapacitami a nutnosť primeranej realizácie kybernetických bezpečnostných opatrení spolu s obmedzeným rozsahom disponibilných finančných prostriedkov znamená, že sú opatrenia realizované pomaly, nie dostatočne a len akceptovanými limitáciami. Predkladaný projekt zabezpečí v celom rezorte harmonizovať a celkove zvýšiť úroveň ochrany pred hrozbami na dostatočnú v zmysle kybernetického zákona, evidovaných zistení, nedostatkov alebo auditných zistení.

Rozsah projektu je popisovaný ako MŽP SR, ale zahŕňa opatrenia aj pre jednotlivé organizácie rezortu (ktoré majú rovnaké zistenie resp. navrhnuté opatrenie v oblasti KB).

Vybudovanie bezpečnostného prostredia v rezorte je kľúčové pre zabezpečenie kybernetickej a informačnej bezpečnosti. Implementáciou projektu bude zabezpečené:

-  zvýšenie spôsobilosti v nasledovných oblastiach:

• Vytvorenie strategického rámci KB v rezorte v súlade so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti,
• Vytvorenie bezpečnostných politík
• Organizácia bezpečnosti
• Riadenie bezpečnostných rizík
• Riadenie informačných aktív
• Pravidlá správania a dobrej praxe
• Riadenie dodávateľských vzťahov
• Riadenie vývoja a údržby v oblasti IKT
• Riadenie IT služieb a prevádzky IKT
• Riadenie súladu
• Riadenie kontinuity procesov a činností

- vytvorenie a schválenie organizačného rámca riadenia informačnej a kybernetickej bezpečnosti (sektorové KB governance),

- vytvorenie komplexnej analýzy dopadov na činnosti a procesy MŽP SR,

- vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov podľa ich hodnoty vrátane určenia ich vlastníka, a zadefinovať požiadavky na ich dôvernosť, dostupnosť a integritu,

- vykonanie analýzy rizík kybernetickej bezpečnosti na základe identifikácie hrozieb a zraniteľnosti podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti,

- zavedenie riadenia bezpečnosti prevádzky - Implementovať politiku riadenia zmien - Definovať inštalačný postup pre softvér a zariadenia v sieťach a vyžadovať ich aplikovanie pri inštalácií,

- riadenie kontinuity - Dopracovať plány kontinuity činností PZS a dopracovať plány obnovy po havárií,

- vypracovanie hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,

- vypracovanie plánov kontrol dodržiavania bezpečnostných politík zamestnancami, administrátormi, osobami zastávajúcimi niektorú z bezpečnostných rolí a dodávateľmi a po vykonaní kontroly vypracovať správu/protokol s popisom zistení a záverov kontroly,

- vytvorenie a formalizovanie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky zo strany používateľov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,

- vytvorenie a formalizovanie postupov na obmedzenie alebo odňatie prístupových oprávnení a privilégií v prípade porušenia bezpečnostných politík vybranými pozíciami v spoločnosti,

- schválenie organizačného rámca riadenia informačnej a kybernetickej bezpečnosti,

- vytvorenie komplexnej analýzy dopadov na činnosti a procesy MŽP SR,

-  audit a zber  námetov na bezpečnostné opatrenia a zabezpečenie súladu so zákonmi zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z.,

- vytvorenie metodík a podporu procesov riadenia dodávateľských služieb, definovanie RTO (recovery time objective) a RPO (recovery point objective) pre kritické systémy, riadenie SLA, SDLC (Service Delivery Life Cycle),

- podpora zberu požiadaviek pre nástroje na aktívne riadenie rizík, procesov BCM, budúcu implementáciu SOC, ktorý zabezpečí monitoring logov a detekciu incidentov a hrozieb, na detekciu technických zraniteľností systémov

- zvýšenie odbornosti odborných zamestnancov, aj koncových používateľov.

V prípade nerealizácie projektu môže toto spôsobiť závažný kybernetický bezpečnostný incident, ktorý ma dopad na nasledujúce počty postihnutých osôb:

• MŽP má systémy, ktorých nedostupnosť by zasiahla viac ako 100 000 osôb. Jedná sa o právnické osoby ako aj fyzické osoby. Napr. agendové systémy majú závažný dopad na používateľov. Nedostupnosť ISOH by zasiahla viac ako 25 000 osôb, RPI systém na základe direktívy NIPI naviac sprístupňuje svoj obsah členským štátom EU a dopad aj na cezhraničných používateľov.
• MŽP rovnako ako rezortné organizácie prevádzkujú základnú službu pre používateľov na celom území SR. Výpadok základnej služby resp. ISVS a jej obmedzenie alebo narušenie prevádzky má dopad v rozsahu viac ako 100 000 používateľských hodín. Pri systémoch ISOH a RPI viac ako 15 000 používateľských hodín.
• V rámci súčasného stavu v prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie, jeho spracovanie bude predmetom projektu.
• Nefunkčnosť rezortných systémov má vplyv na spoločenské činnosti, verejný poriadok a verejnú bezpečnosť napr. ohlasovanie environmentálnych havárií alebo nedostupnosť služieb OVM ako takých. Prostredníctvom PRO (napr. SHMÚ) rezort zabezpečuje predpovedné služby pre LPS.

Znamená to, že potenciálny incident by viedol ku konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb organizácie poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktorá postihuje najmenej 10 000 osôb a viacej.

3.3       Zainteresované strany/Stakeholderi

Zoznam subjektov, ktorý sa zúčastňuje projektu a akú rolu zastáva

3.4       Ciele projektu

Do tabuliek nižšie sú doplnené ciele projektu a ich mapovanie na strategické ciele z NKIVS a iných strategických dokumentov) a súvisiace merateľné ukazovatele (KPI- key performance indicators). Ciele sú S.M.A.R.T. -  konkrétne, merateľné, dosiahnuteľné, relevantné, časovo ohraničené.

Aktuálne prebiehajú v rezorte MŽP komplementárne aktivity

• Pravidelné kontroly
• Zvyšovanie úrovne povedomia
• IAM kontroly a čistenie
• Smernice
• Školenia KB

V rámci sieťovej architektúry sú riešené opatrenia týkajúce sa KB:

• Upgrade kľúčových prvkov sieti
• Segmentácia sietí

3.5       Merateľné ukazovatele (KPI)

3.6       Špecifikácia potrieb koncového používateľa

N/A

3.7       Riziká a závislosti

V prílohe projektového zámeru sú popísané RIZIKÁ a ZÁVISLOSTI (detail v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI).

3.8       Stanovenie alternatív v biznisovej vrstve architektúry

1. Alternatíva 1: nulový variant, ktorý sa neposudzuje v MCA a je automaticky porovnávajúcim variantom v M-05 Analýza nákladov a prínosov, - NEBUDE SA REALIZOVAŤ PROJEKT

1. Alternatíva 2: preferovaný variant, ktorý splnil všetky kritéria MCA,- BUDE SA REALIZOVAŤ PROJEKT

1. Alternatíva 3: „minimalistický variant“, ktorý vychádza z rovnakého biznis variantu ako preferovaný variant, ale realizuje iba „nutné“ aplikačné moduly, BUDE SA REALIZOVAŤ LEN PRE MŽP, NIE REZORT

3.9       Multikriteriálna analýza

Výsledkom je, že Alternatíva 2 je preferovaný variant, ktorý splnil všetky kritéria MCA a BUDE SA REALIZOVAŤ PROJEKTOM.

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

N/A

3.11    Stanovenie alternatív v technologickej vrstve architektúry

N/A

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

• POPIS PRODUKTOV

o    projektové výstupy podľa vyhlášky 401/2023 o riadení projektov (vrátane zdrojových kódov)

o    špecializovaná dokumentácia v oblasti KB, Bezp.projekt, BIA, BCM, smernice, postupy, školenia, katalógy, iné dokumenty a výstupy v súlade s prijatými Opatreniami.

o     Audit KB /vykonaný na konci projektu aby overil prijaté opatrenia/

5.    NÁHĽAD ARCHITEKTÚRY

N/A

5.1       Prehľad e-Government komponentov

N/A

6.    LEGISLATÍVA

Slovenská republika ITVS

• Zákon 95/2019 Z.z. o informačných technológiách vo verejnej správe (od 27.3.2019)
• Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS (od 1.5.2020)
• Vyhláška č.85/2020 Z.z. o riadení projektov (od 1.5.2020 do 14.11.2023)
• Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy (od 15.11.2023)
• Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS (od 30.6.2020)
• Vyhláška 547/2021 Zz (UX/IDSK) o elektronizácii agendy verejnej správy (od 1.1.2022)
• Uznesenie Vlády SR z 13.10.2020 – 5 IT princípov (UV-22052/2020)
• Usmernenie č.10/2021 SO OPII – k využitiu interných kapacít (v1.1)
• Metodické usmernenie – k aplikácii základných princípov pri realizácii projektov IT financovaných z verejných zdrojov a zdrojov EÚ
• Metodické usmernenie č. 024077/2023 – o kvalite zdrojových kódov a balíkov softvéru
• Metodické usmernenie č. 24769/2023/oSBATA-1 – o zverejňovaní projektovej dokumentácie na portáli MetaIS

Slovenská republika KB

• Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025
• Akčný plán realizácie Národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025
• Uznesenie Bezpečnostnej Rady SR č. 656 k pravidlám pre blokovanie útokov
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
• Vyhláška Národného bezpečnostného úradu č. 166/2018 Z. z. o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov
• Vyhláška Národného bezpečnostného úradu č. 165/2018 Z. z., ktorou sa určujú identifikačné kritériá pre jednotlivé kategórie závažných kybernetických bezpečnostných incidentov a podrobnosti hlásenia kybernetických bezpečnostných incidentov
• Vyhláška Národného bezpečnostného úradu č. 164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)
• Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
• Vyhláška Národného bezpečnostného úradu 493/2022 Z. z. o audite kybernetickej bezpečnosti
• Vyhláška Národného bezpečnostného úradu č. 492/2022 Z. z. ktorou sa ustanovujú znalostné štandardy v oblasti kybernetickej bezpečnosti

 Európska únia KB

• Nariadenie Európskeho parlamentu a Rady (EÚ) 2019/881 zo 17. apríla 2019 o agentúre ENISA (agentúra Európskej únie pre kybernetickú bezpečnosť) a o certifikácií kybernetickej bezpečnosti informačných a komunikačných technológií a o zrušení nariadenia (EÚ) č. 526/2013
• Vykonávacie nariadenie komisie (EÚ) 2018/151 z 30. januára 2018, ktorým sa stanovujú pravidlá uplatňovania smernice Európskeho parlamentu a Rady (EÚ) 2016/1148, pokiaľ ide o bližšiu špecifikáciu prvkov, ktoré musia poskytovatelia digitálnych služieb zohľadňovať pri riadení rizík v oblasti bezpečnosti sietí a informačných systémov, a parametrov na posudzovanie toho, či má incident závažný vplyv (13.03.2018, pdf, 388 kB)
• Smernica Európskeho parlamentu a Rady (EÚ) 2022/2555 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (Smernica NIS 2)
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2021/887 z 20. mája 2021, ktorým sa zriaďuje Európske centrum priemyselných, technologických a výskumných kompetencií v oblasti kybernetickej bezpečnosti a sieť národných koordinačných centier

V rámci projektu budú výstupy, vytvorené alebo aktualizované rezortné smernice, politiky, metodiky a postupy.

7.    ROZPOČET A PRÍNOSY

7.1       Sumarizácia nákladov a prínosov

Kvantitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie nákladov súvisiacich s odstraňovaním kybernetických incidentov.

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie pravdepodobnosti a hodnoty dopadov rizika kybernetického incidentu.
• Zvýšenie súladu s platnou legislatívou.
• Zvýšenie úrovne riadenia kybernetickej a informačnej bezpečnosti v rezorte.
• Zvýšená dôveryhodnosť a spokojnosť používateľov.

Rozpočet:

CELKOVE NAKLADY NA PROJEKT: 282 060,00 €

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

9.    PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Konečný používateľ
• Zástupca dodávateľa (bez hlasovacieho práva)

Zostavuje sa Projektový tím

• Projektový manažér
• Zástupca biznis vlastníka (hlavný štátny radca pre bezpečnosť, metodik)
• Manažér kybernetickej a informačnej bezpečnosti
• Vecne príslušný odborný garant (prevádzka, infraštruktúra, aplikačné služby, rezortná organizácia..)
• Expert dodávateľa na kybernetickú bezpečnosť (podľa jednotlivých oblastí a aktivít)
• Auditor KB

10.  PRÍLOHY

Príloha :

• Zoznam rizík a závislostí (Excel): https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html
• Zistenia z auditu KB na MŽP SR (12/2023 – neverejné citlivé informácie)
• Opatrenia na odstránenie zistení z Auditu KB na MŽP SR (03/2024 – neverejné citlivé informácie)
• Kvantifikácia hrozieb KB incidentov (Excel minimálne obsahové náležitosti výzvy - neverejné citlivé informácie)
• Katalóg požiadaviek