Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS

Stiahnuť PDF

Dopytovo-orientovaná výzva primárne určená na zavedenie systému riadania kybernetickej bezpečnosti OVM a vypracovanie súvisiacich dokumentov.

Náklady na projekt

5M Eur spolu na dopytovú výzvu

Garant

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

Zhrnutie hodnotenia Red Flags

Realizácia tejto dopytovej výzvy má napomôcť zaviesť procesy riadenia bezpečnosti a vytvoriť súvisiace dokumenty, čo už je v súčasnosti povinné zo zákona. Z toho vyplývajú viaceré riziká, najmä trvanie nezákonného stavu do r.2023, pre tie OVM, ktoré si neplnia povinnosti nedostatok motivácie zapojiť sa. Prínos výzvy je pozitívny, ale pre vyhodnotenie v širšom kontexte absentuje zasadenie do exaktne určeného stavu v oblasti bezpečnosti.

Stanovisko Slovensko.Digital

Túto dopytovú výzvu vnímame ako prospešnú a oceňujeme, že vnikla presmerovaním zdrojov pôvodne určených na interné projekty MIRRI. Počas jej realizácie bude potrebné zamerať veľké úsilie, aby to neskončilo opäť iba “vypracovaním dokumentov”. Z hľadiska strategického plánovania vidno potrebu systematického určenia cieľov a vyhodnotenie skutočného stavu v oblasti informačnej bezpečnosti verejnej správy.

Hodnotenie zverejnené dňa

27.06.2024

Aktuálny stav projektu

Príprava projektu

Čo sa práve deje

  • 11.6.2021 Plánované schvaľovanie štúdie uskutočniteľnosti

Hodnotenie


Reforma VS

Merateľné ciele (KPI)

Postup dosiahnutia cieľov

Biznis prínos

Príspevok v informatizácii

Štúdia uskutočniteľnosti

Alternatívy

Kalkulácia efektívnosti

Participácia na príprave projektu

Detailné hodnotenie projektu

I. Prípravná fáza


Reforma VS :star::star::grey_star::grey_star:

Ide o realizačný projekt zameraný výlučne na konkrétne čiastkové riešenia v oblasti kybernetickej bezpečnosti, nie je zasadený do širšieho rámca reformy/zmeny činností verejnej správy.


Merateľné ciele (KPI) :star::grey_star::grey_star::grey_star:

KPI podľa dokumentu Projektový zámer:

Merateľné ukazovatele sú zamerané na “vytvorenie dokumentov”, čo však nenaplní zamýšľaný účel zvýšenia úrovne riadenia bezpečnosti (prípadne vôbec jeho zavedenie) u zapojených organizácií. V súčasnosti častokrát úrady “dokumenty” aj vypracované majú (napr. na splnenie zákonných povinností), avšak nie sú používané pri praktickom riadení IT.
Merateľné ukazovatele sú nevypovedajú nič o tom, aký pokrok v téme riadenia IT bezpečnosti realizácia tejto dopytovej výzvy prinesie na úrovni celej verejnej správy.


Postup dosiahnutia cieľov :star::grey_star::grey_star::grey_star:

V súčasnosti už realizácia väčšiny aktivít - a vytvorenie dokumentov, ktoré je plánované aj financovať z tejto dopytovej výzvy, je pre orgány verejnej správy uložené ako povinnosť daná všeobecne záväznými predpismi, najmä Zákonom o KyB, Zákonom o ITVS a predpismi týkajúcimi sa ochrany osobných údajov.

S MIRRI sa zhodujeme v zámere, že v oblasti riadenia KyB u OVM je dôležité nie “vypracovanie dokumentov”, ale “zavedenie procesov a ich efektívny výkon” - čo je však podstatne ťažšie dosiahnuť a aj kontrolovať. Aj vzhľadom na súčasný stav, kedy je možné predpokladať, že mnohé OVM “dokumenty majú”, avšak procesy riadenia KyB zavedené nie, vnímame ako zásadné riziko tejto dopytovej výzvy, že to dopadne opäť rovnako. MIRRI by malo tejto oblasti venovať zvýšenú pozornosť, najmä:

  • do katalógu rizík zaradiť túto skutočnosť - čo zabezpečí jej dlhodobé sledovanie a pozornosť
  • v ďalších podkladoch výzvy konkretizovať, akým spôsobom bude MIRRI overovať zavedenie a funkčnosť súvisiacich procesov riadenia KyB - napr. by nemalo ísť o jednorazovú aktivitu
  • zo strany MIRRI realizovať informačné aktivity, ktorých cieľom je zvýšiť povedomie OVM v tejto oblasti
  • poskytnúť OVM podklady dobrej praxe v tejto oblasti, najlepšie aj konkrétnych príkladov OVM ktoré majú túto oblasť dobre zvládnutú

Závislosť úspechu projektov realizovaných z tejto výzvy na dostupnosti podkladov a ďalších služieb z projektu Centralizovaný manažment riadenia KyB vnímame ako kritický, a súvisiace riziko ako vysoké aj vzhľadom na skutočnosť, že v tomto projekte ešte neprebehlo VO (a riziká tohto procesu).


Súlad s KRIS (nie je vyhodnotený)

Súlad s KRIS/KRIT jednotlivých OVM, ktoré budú do tejto výzvy zapojené, sme nevyhodnocovali.


Biznis prínos :star::star::grey_star::grey_star:

Vypracovanie dokumentov, resp. zavedenie systému riadenia bezpečnosti, ktoré je hlavným cieľom tohto projektu, je už v súčasnosti pre OVM povinné podľa aktuálnych všeobecne záväzných právnych predpisov. Z toho vyplýva viacero neštandardných okolností, s ktorými je potrebné sa zo strany MIRRI vysporiadať:

  • ak doteraz pre niektoré OVM nebola dostatočná “motivácia” na splnenie súvisiacich povinností ani ich povinné uloženie zákonom, nie je jasné, prečo by práve poskytnutie peňazí z tejto výzvy malo priniesť zásadnú zmenu ich postoja
  • pred ukončením projektov, t.j. do roku 2023, budú OVM, kde ešte iba bude prebiehať “vypracovanie dokumentov” v skutočnosti porušovať zákonom dané povinnosti - z čoho vyplývajú okrem iného aj bezpečnostné riziká pre tieto OVM
  • takto žiadatelia zapojením do tejto výzvy de-facto deklarujú porušovanie uvedených povinností
  • ne/plnenie týchto povinností má byť kontrolované a sankcionované podľa zákona zo strany MIRRI, ÚOOÚ a NBÚ
  • v situácii ak by tieto “nezodpovedné” OVM neboli sankcionované, ale naopak dostanú finančnú a organizačnú podporu, budú “zodpovedné” OVM, ktoré si zákonné povinnosti splnili, podstatne znevýhodnené (čo okrem iného zakladá zlý precedens pre plnenie budúcich povinností)

Zároveň dopytová výzva je slabo zasadená do kontextu stavu v oblasti KyB verejnej správy. Nie je jasný súčasný stav, celkové ciele, ani nakoľko sa k splneniu týchto cieľov verejná správa priblíži pomocou realizácie tejto dopytovej výzvy. Merateľné ukazovatele výzvy sú triviálne a majú iba minimálnu výpovednú hodnotu v tejto oblasti. Takto je opäť zadanie a ciele výzvy iba v anekdotickej forme “veľa organizácií to potrebuje a ešte nemá spravené”.


Príspevok v informatizácii :star::star::star::star:

Reálne fungujúci systém riadenia je pre OVM kriticky dôležitý na efektívne zvládanie výziev v oblasti informačnej bezpečnosti. Primárne aktivity tejto výzvy sú zamerané práve podporu v tejto oblasti.


Štúdia uskutočniteľnosti :star::star::star::grey_star:

Táto dopytová výzva je vnímaná ako “projekt” a sú k nej vypracované príslušné projektové dokumenty, najmä Projektový zámer, Prístup k projektu, CBA a Katalóg rizík, čo hodnotíme pozitívne. Nedostatočne vyriešené témy v týchto dokumentoch prípravnej fázy sú uvedené v hodnotení ostatných kritérií.


Alternatívy :star::star::grey_star::grey_star:

Dosiahnutie primárnych cieľov tejto výzvy, t.j. zavedenie systému riadenia bezpečnosti u OVM, je už v súčasnosti povinné z existujúcich predpisov, preto nie je potrebné k nemu zvažovať alternatívy (snáď okrem rôznych možností financovania týchto aktivít).

Naopak, zaradenie iných oblastí podpory ako riadenie KyB do tejto dopytovej výzvy vnímame ako rizikové z nasledovných dôvodov:

  • riešenie väčšieho množstva tém bude zbytočne odvádzať pozornosť a zdroje potrebné na riadenie zo strany MIRRI od primérneho cieľa výzvy (riadenie KyB)
  • náklady technologické riešenia (HW+SW) sú zásadne vyššie ako pre riadenie bezpečnosti, hrozí teda, že nezostane dostatočné množstvo zdrojov na aktivity, ktoré sú primárne pre dosiahnutie cieľov výzvy
  • príslušné oblasti sú iba slabo rozpracované, či už z hľadiska kritérií pre hodnotenie žiadostí o podporu, cieľov, spôsobu kontroly dosiahnutia cieľov, ale aj centrálnej metodickej a organizačnej podpory
    Z týchto dôvodov považujeme za vhodné ponechať túto dopytovú výzvu zameranú výhradne na aktivity riadenia KyB.

Kalkulácia efektívnosti :star::star::star::grey_star:

Povinnosti vypracovať dokumentáciu súvisiacu so zavedením systému riadenia bezpečnosti u OVM už mali byť zo strany OVM realizované, vrátane vlastného financovania. Odhadnuté súvisiace náklady v tejto výzve na úrovni 150.000 Eur / organizácia hodnotíme ako reálne pre najväčšie OVM.

K nákladom na “prevádzku” riešení v oblasti riadenia informačnej bezpečnosti je v podkladoch výzvy uvedené, že budú realizované internými zamestnancami bez priameho vplyvu na rozpočet. Vzhľadom na to, že práve reálny výkon riadenia bezpečnosti doteraz u mnohých OVM viazne, v rámci zvládania rizika že to podobne dopadne aj po realizácii projektov z tejto výzvy, by bolo prínosné pracovať aj so súvisiacimi “prevádzkovými” nákladmi. V CBA by takéto náklady uvedené rozhodne mali byť


Participácia na príprave projektu :star::star::star::star:

Sekcia kybernetickej bezpečnosti MIRRI o tejto pripravovanej výzve komunikovala a na väčšinu pripomienok reagovala. O skutočný stav a potreby orgánov verejnej správy sa sekcia KyB MIRRI detailne zaujíma, realizuje aj audit formou samo-hodnotenia (výsledky zatiaľ nie sú dostupné).


:file_folder: Dokumenty


:clock2: Aktivity

V tomto projekte už prebehli nasledovné dôležité aktivity / míľniky:

  • 29.4.2021 Verejné prerokovania zámeru dopytovej výzvy
  • 28.5.2021 Hodnotiace kritériá dopytovej výzvy schválené MV OPII