Úrad

Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS - Úrad priemyselného vlastníctva SR

Prijímateľ
Úrad priemyselného vlastníctva Slovenskej republiky, Švermova 43, 974 04 Banská Bystrica

Kód projektu
311071BNQ3

Názov projektu
Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS - Úrad priemyselného vlastníctva SR

Miesto realizácie projektu
Úrad priemyselného vlastníctva Slovenskej republiky, Švermova 43, 974 04 Banská Bystrica, Slovenská republika

Výška poskytnutého NFP
120 888,00 EUR

Dátum účinnosti zmluvy o NFP
08. 06. 2022

Zmluva
ZMLUVA

Stručný opis projektu
Úrad priemyselného vlastníctva SR (ďalej „ÚPV SR") je prevádzkovateľom základnej služby (patria sem webová stránka ÚPV SR ako aj všetky informačné systémy ÚPV SR evidované v Centrálnom metainformačnom systéme verejnej správy) registrovanej v registri prevádzkovateľov základných služieb NBÚ. Základným zámerom projektu je realizácia rozšírenia spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti ÚPV SR. Dôvodom realizácie projektu je zabezpečenie súladu so Zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a Zákonom č. 95/2019 Z.z. o informačných technológiách verejnej správy. ÚPV SR plánuje v rámci projektu zaviesť procesy governance kybernetickej bezpečnosti, realizovať analýzu rizík a analýzu dopadov, spracovať stratégiu informačnej a kybernetickej bezpečnosti, vrátane roadmapy na implementáciu navrhnutých opatrení, zabezpečiť proces formálneho rozhodnutia o riadení rizík a implementovať nástroj na evidenciu informačných aktív, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.

V rámci projektu sa uskutočnia nasledovné aktivity:

1. Analyzovať aktuálny stav v oblasti riadenia IB a KyB a jeho súladu s požiadavkami legislatívy – najmä Zákona o kybernetickej bezpečnosti č. 69/2018 (ZoKB) a súvisiacimi vyhláškami, najmä Vyhláškou č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, analýzu informačnej a kybernetickej bezpečnosti, a taktiež Zákona o informačných technológiách vo verejnej správe č. 95/2019 (ZoITVS) a súvisiacou Vyhláškou č. 179/2020 ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
2. Vykonať dôkladnú analýzu rizík a analýzu dopadov (AR/BIA) vrátane:
   1. identifikácie aktív a ohodnotenia ich kritickosti,
   2. klasifikácie aktív a kategorizácie IS a sietí,
   3. identifikácie hrozieb a vektorov útokov,
   4. analýzy potenciálnych dopadov,
   5. identifikácie rizík na základe pravdepodobností výskytu hrozieb a možných dopadov,
   6. identifikácie existujúcich opatrení a reziduálnych rizík,
   7. návrhu opatrení.
3. Na základe analýzy rizík spracovať stratégiu informačnej a kybernetickej bezpečnosti vrátane roadmapy na implementáciu navrhnutých opatrení.
4. Zabezpečiť proces formálneho rozhodnutia o riadení rizík (o ich akceptácii alebo prijatí adekvátnych opatrení na ich zníženie alebo úplnú elimináciu) vedením ÚPV SR.
5. Vytvoriť požadované interné dokumenty, smernice a prevádzkovú dokumentáciu pre relevantné oblasti riadenia IB a KyB:
   1. Stratégia kybernetickej bezpečnosti,
   2. Bezpečnostná politika,
   3. Smernica pre riadenie informačnej bezpečnosti,
   4. Klasifikácia informácií a kategorizácia sietí a informačných systémov,
   5. Smernica výkonu analýzy rizík a analýzy dopadov (AR/BIA),
   6. Smernica o bezpečnej prevádzke IS a sietí,
   7. Smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,
   8. Politika BCM (pre všetky informačné systémy ÚPV SR) vrátane stratégie obnovy a návrh pred-vyplnenej šablóny pre BCP a DRP,
   9. Smernica pre bezpečný vývoj a údržbu aplikácií a IS (Secure Software Development Life Cycle – SSDLC) a návrh bezpečnostných požiadaviek pre aplikácie podľa klasifikačných stupňov,
   10. Bezpečnostný projekt všetkých relevantných informačných systémov ÚPV SR, pre ktoré to vyžaduje platná legislatíva
6. Zaviesť do prostredia ÚPV SR klientsky nástroj (modul) poskytnutý MIRRI z projektu CMRKB pre evidenciu informačných aktív, ich klasifikácie, kategorizácie IS a sietí a riadenie identifikovaných rizík a incidentov.

Očakávanými prínosmi po realizácii projektu sú:

• rozšírenie spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v ÚPV SR,
• zabezpečenie súladu so zákonom o ITVS a zákonom o Kybernetickej bezpečnosti,
• nasadenie SW nástroja na evidenciu informačných aktív, rizík a monitorovanie a riadenie bezpečnostných incidentov,
• po implementácii projektu bude proces už zavedený a vykonávaný internými zamestnancami, predovšetkým manažérom kybernetickej bezpečnosti.

Informácie o Operačnom programe Integrovaná infraštruktúra 2014 – 2020 nájdete na www.opii.gov.sk

Hypertextový odkaz na webové sídlo riadiaceho orgánu: www.mindop.sk;
Hypertextový odkaz na webové sídlo Centrálneho koordinačného orgánu: www.eufondy.sk