Verejné pripomienkovanie - projekt pre dopytovú výzvu na governance kybernetickej bezpečnosti

Videl som, že sa začalo pripomienkovanie rôznych projektov. Zúčastňujem sa na príprave dopytového projektu v oblasti bezpečnosti, informácia o pripomienkovaní má ísť von budúci týždeň, ale vecne sú dokumenty na pripomienkovanie sú už hotové:

V skratke: toto je niečo ako horizontálny projekt/štúdia pre cca 28 projektov, aby boli žiadatelia čo najviac odbremenený od formalít. Má sa jednať o relatívne malé projekty do 200 tisíc, predmetom je tvorba zavedenie governance v oblasti IT bezpečnosti a dodávka dokumentov v zmysle zákona o kybernetickej bezpečnosti a zákona o ITVS. MIRRI poskytuje šablóny a dodávatelia ich majú prispôsobiť danej inštitúcii, zrealizovať analýzu rizík, BIA, atď.
projekt_1154_Pristup_k_projektu_detailny.doc (2.6 MB)
projekt_1154_Projektovy_zamer_detailny.doc (101.1 KB)

Edit: zverejnene aj na stranke MIRRI OZNAM: Verejné pripomienkovanie národného projektu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“ | Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

2 Likes

Zasa pripomienky k forme:

  • prečo na tejto lokalite sú dva rozdielne súbory s rovnakým názvom a rozdielnou veľkosťou - “I-01 Projektový zámer – detailný”
  • prečo detailný zámer má 12 strán a rámcový až 16 strán? Logicky by som predpoklada, že ak je niečo detailnejšie, tak to má asi väčší obsah…
  • “P-03 Prístup k projektu – rámcový” obsahuje jednu stranu iba z nadpisom. K čomu je taký dokument?

Forma vyplyva zo sablon, v ktorych MIRRI teraz pozaduje informacie o projektoch. Rovnake otazky a ovela viac som mal aj ja…
Riadenie kvality (QA) | Ministerstvo investícií, regionálneho rozvoja a informatizácie SR (gov.sk)
( VZORY a ŠABLÓNY NA STIAHNUTIE)
Ten ramcovy zamer bol dlhsi, lebo este neprebehol optimalizaciou (t.j. vymazanie zbytocnych textov zo sablony). Nasim cielom je mat co najkratsie dokumenty s iba relevantnymi informaciami.

Na zaciatok by som ocenil, ze sa pripravi jedna studia (resp. dokumenty) za vsetky OVM, ale…

  • nie je to trochu privela robit tieto cvicenia, kvoli vyhlaseniu dopytovej vyzvy na konzultacne prace? Aky bol effort na strane MIRRI kvoli priprave tychto 2 a dalsich dokumentov a ich pripominekovaniu? Nestacilo priamo pripravit dopytovu vyzvu, kde budu vsetky nalezitosti (tak ci tak sa musi vypracovat) a tu nechat schvalit riadiacemu vyboru? Mne uz rozum zostava stat na co vsetko je potrebne pripravit to mnozstvo dokumentov.
  • namiesto tychto dokumentov bolo potrebne urobit vzorovu ziadost kde by bolo vsetko vypracovane OVM by vsetku vatu okolo prepouzil a len by zaskrtol ktore oblasti (vystupy) riesi a za aku sumu
  • kedze ide o konzultacne sluzby a predpokladam ze konzultacky budu schopne rovnaky alebo takmer totozny produkt (analyticke prace) predavat napriec OVM, navrhujem stanovit jasne limity jednak vo vztahu k cene za osobohodinu a jednak vo vztahu k celkovemu objemu NFP na zaklade objektivnych kriterii (napr. pocet zamestnancov uradu, pocet systemov, maximalnu cenu za jeden produkt/vystup, alebo ich kombinaciu, pripadne nieco podobne co je objektivne a ma vypovednu hodnotu z hladiska oblasti bezpecnosti).

nie je to trochu privela robit tieto cvicenia, kvoli vyhlaseniu dopytovej vyzvy na konzultacne prace? Aky bol effort na strane MIRRI kvoli priprave tychto 2 a dalsich dokumentov a ich pripominekovaniu? Nestacilo priamo pripravit dopytovu vyzvu, kde budu vsetky nalezitosti (tak ci tak sa musi vypracovat) a tu nechat schvalit riadiacemu vyboru? Mne uz rozum zostava stat na co vsetko je potrebne pripravit to mnozstvo dokumentov.

Ak sa nemylim, tak prave specificke ciele urceny na informatizaciu maju za povinnost pri ziadosti mat aj studiu (teraz to nazvali projektovy zamer + pristup). Cize bez tejto horizontalnej casti by kazdy musel pisat aj tu studiu.

namiesto tychto dokumentov bolo potrebne urobit vzorovu ziadost kde by bolo vsetko vypracovane OVM by vsetku vatu okolo prepouzil a len by zaskrtol ktore oblasti (vystupy) riesi a za aku sumu

Presne taky je plan. MIRRI im okrem toho co pises chce pripravit aj sablonu na VO.

kedze ide o konzultacne sluzby a predpokladam ze konzultacky budu schopne rovnaky alebo takmer totozny produkt (analyticke prace) predavat napriec OVM, navrhujem stanovit jasne limity jednak vo vztahu k cene za osobohodinu a jednak vo vztahu k celkovemu objemu NFP na zaklade objektivnych kriterii (napr. pocet zamestnancov uradu, pocet systemov, maximalnu cenu za jeden produkt/vystup, alebo ich kombinaciu, pripadne nieco podobne co je objektivne a ma vypovednu hodnotu z hladiska oblasti bezpecnosti).

Zatial takto neuvazujeme. Chceme skusit iny pristup - co najviac tie VO otvorit, aby bola realna sutaz. Ta by mala ceny udrzat na rozumnej urovni a zaroven z toho nevzniknu unintended consequences, ktore podla mojich skusenosti pri takychto limitoch vzdy nastanu.

1 Like

Nejdem rozporovat nepoznam podrobne pravidla OPII, ale pre mna je to zbytocnost.

Ako otvorite VO? Predpokladam ze sa budu vyzadovat dodavatelia, ktori disponuju ludmi s nejakymi certifikatmi v oblasti bezpecnosti? Kolko je takych firiem? velke konzultacne spolocnosti? Aby to nedopadlo ako ked jedna velka konzultacna firma 2x zinkasovala za velmi podobny dokument pre rozne ministerstva.

Ako otvorite VO? Predpokladam ze sa budu vyzadovat dodavatelia, ktori disponuju ludmi s nejakymi certifikatmi v oblasti bezpecnosti? Kolko je takych firiem? velke konzultacne spolocnosti?

Nejake certifikaty tam asi budu (moj osobny nazor CISA/CISM/CISSP/ekvivalenty), ale to ma pomerne vela ludi/firiem, ci nie? Zaroven to bude 30 paralelnych obstaravani, zrejme sa nezapoja do vsetkych vsetci, kedze by to nestihali dodavat. Aj ked pri VO clovek nikdy nevie…

Aby to nedopadlo ako ked jedna velka konzultacna firma 2x zinkasovala za velmi podobny dokument pre rozne ministerstva.

Sablony dokumentov bude dodavat MIRRI. Predmetom VO bude iba ich customizacia a hlavne realizacia inventarizacie aktiv, analyza rizik a BIA.

Cize podstatou bude, aby dodavatel pre OVM spracoval bezpecnostnu dokumentaciu, urobil bezpecnostne projekty, pripravil ho na audit KB atd., pricom pri tychto aktivitach moze v nejakej miere vyuzit podporu z MIRRI (sablony)? Myslim, ze kazdy, kto dokaze spravit bezpecnostnu dokumentaciu v takej kvalite, aby bola implementovatelna, nepotrebuje k tomu sablony :slight_smile: Pokial by ale zvysovanie KB prebiehalo formou vyplnania sablon, ktore niekto doda, tak OVM pribudne par sanonov dokumentacie, ale realnu uroven KB u OVM to nijako nezmeni. S tou dokumentaciou suvisi aj jej implementacia, realne zavedenie v nej popisanych procesov a budovanie kompetencii.

Navyse, vypracovanie kvalitnych a prakticky vyuzitelnych sablon a metodik pre OVM vobec nie je jednoduche. Ak by bolo, uz ich davno mame :slight_smile:

Urcite je ale tato vyzva pozitivna aktivita.

Cize podstatou bude, aby dodavatel pre OVM spracoval bezpecnostnu dokumentaciu, urobil bezpecnostne projekty, pripravil ho na audit KB atd., pricom pri tychto aktivitach moze v nejakej miere vyuzit podporu z MIRRI (sablony)?

V podstate ano.

Myslim, ze kazdy, kto dokaze spravit bezpecnostnu dokumentaciu v takej kvalite, aby bola implementovatelna, nepotrebuje k tomu sablony :slight_smile: Pokial by ale zvysovanie KB prebiehalo formou vyplnania sablon, ktore niekto doda, tak OVM pribudne par sanonov dokumentacie, ale realnu uroven KB u OVM to nijako nezmeni. S tou dokumentaciou suvisi aj jej implementacia, realne zavedenie v nej popisanych procesov a budovanie kompetencii.
Navyse, vypracovanie kvalitnych a prakticky vyuzitelnych sablon a metodik pre OVM vobec nie je jednoduche. Ak by bolo, uz ich davno mame

Ciastocne suhlasim, ale napriek tomu si myslim, ze ak by tie sablony neboli, tak dodavatelia by si za to dali 30x krat zaplatit. A tie peniaze chceme radsej smerovat do realneho vykonu AR/BIA.

Ako sa hovori neviem posudit, nie som bezpecak, ale neviem ci IT bezpecak co robi v IT firme poskytne svoje kapacity nejakej mensej konzultacnej firme, co by tu zakazku mohla dostat. Skor to vidim na zakazky pre velke poradenske firmy.

K tomuto mam taky laicky navrh. Nestalo by za zvazenie prave na takomto mensom projekte budovat aj interne kapacity v oblasti IT bezpecnosti? Teda ze prave tu bude povinne zapojenie internych ludi v projekte, ktori systemom learning by doing ziskaju nielen dokumentaciu ale aj know-how pre tuto oblast od konzultaciek?

1 Like

Tomuto nerozumiem. Keď dodávateľ vykona a zdokumentuje analyzu rizík, tak metodika je ramcovo daná (iso 27005). Neviem si predstaviť ako šablóna môže pomôcť firme, ktorá už urobila x analýz rizik, ma knowhow, skúsenosti a svoje postupy. Aj svoje šablóny. To je ako keby som prišiel do reštaurácie, doniesol tam recepty a čakal ze jedlo co si objednám bude lacnejšie.

Skor mi to pride ze sa vyrobia sablony a metodiky ktoré žiadny dodávateľ nepoužije, lebo ma vlastné. A ich prínos je teda možno otázny.
Urobiť .xls na klasifikáciu/kategorizáciu je tiez hračička . Skutočný problém je na strane OVM a spočíva v tom, aby sa procesy v bezpečnostnej dokumentácii implementovali, aby sa rizika riadili…

K tomuto mam taky laicky navrh. Nestalo by za zvazenie prave na takomto mensom projekte budovat aj interne kapacity v oblasti IT bezpecnosti? Teda ze prave tu bude povinne zapojenie internych ludi v projekte, ktori systemom learning by doing ziskaju nielen dokumentaciu ale aj know-how pre tuto oblast od konzultaciek?

Akym sposobom? Do zakazky ako takej budu urcite interni ludia zapojeni, lebo inak sa dodavatel nedostane k informaciam o aktivach rizikach atd. Je toto navrhom, alebo este nejake vacsie zapojenie?
Prekazkou moze byt fakt, ze vela organizacii zatial nema vymenovaneho ani manazera kybernetickej bezpecnosti, cize je mozne ze nebude koho zapojit.
Ale do podmienok VO mozme dat princip, ze je potrebne internym ludom odovzdat know how, otazkou je ako to napisat tak, aby sa to aj zrealizovalo.

Skor mi to pride ze sa vyrobia sablony a metodiky ktoré žiadny dodávateľ nepoužije, lebo ma vlastné. A ich prínos je teda možno otázny.

Ak by som ja bol dodavatel a priniesol si vlastne sablony, tak si urcite za ne dam aj zaplatit. Ak su poskytnute, tak si mozem dat zaplatit iba za customizaciu…a kludne moze pouzit aj svoje, len to nebude moct vyfakturovat.
A tie usetrene peniaze sa mozu investovat do skutocnej implementacie tych procesov, nech im dodavatel pomoze prave s tym.

Zapojenie v tom zmysle, ze interny clovek je priamo v time, ktory bude vypracovavat dokumenty, to znamena, nie len ze uradnici zaslu udaje, ktore si dodavatel vyziada, ale priamo na dokumentoch pracuje. Mozno nieco v style job shadowing. Z praxe - ked sa prebera nova technologia tak mame skusenosti nielen ze sa poskytne dokumentacia a skolenia ale pokial to ide, tak sa vysiela tim ludi tam kde sa technologia pouziva a robi sa job shadowing. Nieco podobne navrhujem aj tu, aby ten interny clovek dokumentaciu chapal a vedel ju aplikovať.

A nedopadne to potom tak ze sa urobi dokumentacia, ktorou sa nebude nik riadit? Toto by asi malo byt podmienkou, aby vobec mohli podat projekt. Lebo robit dokumentaciu do suflika je asi ten najhorsi sposob minutia penazi.

realita funguje inak, vlastne sablony pozna a vie vyuzit uz vytvorene know how ( CTRL C CTRL V), ak to bude prepisovat do inych sablon, tak to stoji cas, ktory nevyuzije na skutocnu implementaciu.
A fakturovat bude to co co je v zmluve, (technika rozpisania na chlebicky :slight_smile: ). V tomto pripade sa to objavi v clovekohodinach, spokojne si odskrtnete usetrenie na sablonach ale vysledok bude o cosi horsi.

vlastne sablony pozna a vie vyuzit uz vytvorene know how

To je mozne, rovnako ako fakt, ze tie vlastne sablony mavaju este obrovsky priestor na zlepsenie. Takto im MIRRI (snad) doda hned prvotriednu kvalitu :slight_smile:

spokojne si odskrtnete usetrenie na sablonach ale vysledok bude o cosi horsi

To mi logicky nesedi. Ak ma dodavatel viac podkladov (sablony) tak vysledok nemoze byt horsi, ako keby ich nemal.

To nie je zly napad, mozme to skusit napisat do podkladov na VO.

A nedopadne to potom tak ze sa urobi dokumentacia, ktorou sa nebude nik riadit? Toto by asi malo byt podmienkou, aby vobec mohli podat projekt. Lebo robit dokumentaciu do suflika je asi ten najhorsi sposob minutia penazi.

To riziko je tu vzdy. Obmedzit to nechceme, ale po projekte uz manazer urcite vymenovany bude, kedze vysledkom ma byt aj ziadost o audit KyB a to by bolo jedno z prvych zisteni.
Mimochodom volame to Governance aj preto, aby bolo jasne, ze vysledkom maju byt implementovane procesy, nielen dokumentacia do suplika…

1 Like

za predpokladu ze MIRRI doda praxou odskusane prvotriedne podklady aby aj horsi dodavatel dodal lepsiu pracu :), drzim palce

1 Like

Ale vypracovanie bezpečnostnej dokumentácie nie je o šablónach :slight_smile:
Ona sa musí vypracovať podľa požiadaviek legislatívy, v súlade s normami a štandardami, tak aby procesy v nej navrhnuté zapadli do existujúceho prostredia. Tu nikomu žiadna generická šablóna nepomôže.

Dodávateľ si nenecháva zaplatiť za šablóny :slight_smile: Ale za analytické práce a vypracovanie konkrétnych výstupov určených pre konkrétne prostredie. Neviem si predstaviť, ako by napr. šablóna pre analýzu rizík / vypracovanie bezpecnostného projektu mohla dodávateľovi pomôcť. Katalóg aktív musí aj tak vytvoriť pre konkrétne prostredie / IS. Rozsah projektu / oblasti bezpečnosti má dané štandardom iso27002. Riziká sú individuálne pre konkrétne prostredie / architektúru. Čo customizovateľné by teda tá šablóna obsahovala ?

Vypracovanie bezpečnostnej dokumentácie a implementácia procesov v nich stanovených musí ísť ruka v ruke. Veľakrát sa už stalo, že dodávateľ dodal veci postavené práve na CUSTOMIZÁCII SABLÓN, a výsledok boli semigenerické dokumenty s výraznym gapom medzi ich obsahom a realitou. Toto nikomu nepomôže.

Na druhej strane, sú aj dodávatelia ktorí riešia BOZP, GDPR a najnovšie pribrali aj KB. Áno, používajú šablóny, ktoré s klientom vyplnia. Úroveň KB síce ostane nezmenená, ani procesy sa nezmenia, ale klient má falošný pocit istoty, lebo “veď má tie papiere čo zákon požaduje”. Ale touto cestou asi nechceme ísť…či?

Na druhej strane, sú sablóny, ktoré sa zídu, napr. klasifikácia informácií / kategorizácia systémov. Ale tie sú určené pre OVM. Alebo sa to myslí tak, že klasifikáciu/kategorizáciu spraví dodávateľ a využije šablónu ktorú dostane ? Keď tá šablóna bude vymakaná, to zmysel dáva. Ale takýchto prípadov je len zopár.

preco by mal OVM vyberať horšieho dodávateľa?

Lebo VO a nizsia cena ? :slight_smile: