V predchádzajúcich častiach nášho seriálu o Jednotnom metodickom rámci sme vysvetlili úlohu Bezpečnostnej stratégie kybernetickej bezpečnosti a tiež princípy organizácie a riadenia kybernetickej bezpečnosti. Teraz sa pozrieme na ďalší kľúčový dokument – Bezpečnostný projekt informačného systému, ktorý predstavuje povinný bezpečnostný dokument podľa platnej legislatívy pre informačné systémy verejnej správy.

Čo je bezpečnostný projekt?

Bezpečnostný projekt je povinný bezpečnostný dokument, ktorý určuje, ako má byť konkrétny informačný systém chránený pred kybernetickými hrozbami. Je to technicko-organizačná mapa pre:

• ochranu údajov a služieb,
• nastavenie technických, organizačných a personálnych opatrení,
• riadenie rizík počas celého životného cyklu systému – od jeho návrhu až po vyradenie z prevádzky.

Prečo ho potrebujeme?

Kybernetické hrozby nezasahujú len organizácie ako celok, ale týkajú sa aj jednotlivých informačných systémov. Každý informačný systém má svoje špecifiká, ktoré si vyžadujú individuálne nastavené bezpečnostné opatrenia.

Bezpečnostný projekt:

• znižuje riziká ohrozenia informačného systému na prijateľnú úroveň,
• zabezpečuje dôvernosť, integritu a dostupnosť spracúvaných informácií,
• pomáha plniť povinnosti podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a vyhlášky č. 179/2020 Z. z. ktorá ustanovuje obsah a kategorizáciu bezpečnostných opatrení informačných technológií verejnej správy,
• podporuje systematické riadenie bezpečnostných rizík.

Z čoho vychádza?

Bezpečnostný projekt sa spracováva na základe :

• Zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe,
• Vyhlášky č. 179/2020 Z. z. ktorá ustanovuje obsah a kategorizáciu bezpečnostných opatrení informačných technológií verejnej správy.

Čo musí obsahovať?

Podľa Jednotného metodického rámca by mal bezpečnostný projekt zahŕňať:

• Bezpečnostné ciele vyplývajúce z legislatívy a interných predpisov,
• Zoznam uplatnených právnych predpisov a riadiacich aktov,
• Analýzu rizík konkrétneho informačného systému – identifikáciu aktív, hrozieb a zraniteľností,
• Navrhované technické, organizačné a personálne opatrenia,
• Kritériá akceptácie rizík a prijateľné úrovne rizika,
• Ohraničenia projektu (čo projekt pokrýva a čo nepokrýva),
• Postupy revízie a aktualizácie,
• Záverečnú správu s návrhom odporúčaní na realizáciu opatrení.

Kľúčová úloha analýzy rizík

Analýza rizík je srdcom bezpečnostného projektu.

Pomáha:

• získať aktuálny obraz o možných hrozbách,
• odhaliť zraniteľnosti systému,
• určiť priority pre zavedenie opatrení,
• prijať iba také zvyškové riziká, ktoré sú akceptovateľné.

Ako s ním pracovať?

Tak ako pri ostatných dokumentoch Jednotného metodického rámca, aj pri bezpečnostnom projekte sú k dispozícii odporúčané vzory. Tieto vzory je potrebné prispôsobiť konkrétnemu informačnému systému a prostrediu organizácie. Bezpečnostný projekt je účinný iba vtedy, ak :

• sa pravidelne aktualizuje podľa zmien v informačnom systéme alebo legislatíve,
• je prepojený s ostatnými riadiacimi dokumentmi kybernetickej a informačnej bezpečnosti,
• je reálne zavedený do praxe – nie len formálne vedený v dokumentácii.

Návrh na doplnenie na záver.

Dobrý bezpečnostný projekt nie je len dokument pre audítora. Je to návod, ako udržať informačný systém dostupným a funkčným počas jeho životnosti.

V ďalšom článku sa pozrieme na to, ako funguje riadenie ľudských zdrojov z pohľadu kybernetickej a informačnej bezpečnosti.