Průběh realizace
Projekt je realizován v jedné etapě v rámci, které dojde k verifikaci navržených technických požadavků pro účely studie proveditelnosti a přípravy další nezbytné dokumentace pro předložení žádosti do programu IROP. Následně v této etapě proběhne příprava projektové dokumentace, podání žádosti a příprava a realizace výběrových řízení. Dále je etapa zaměřena zejména na vlastní implementaci technických opatření na infrastruktuře Ministerstva spravedlnosti a resortu justice. Dojde k provedení testování technického opatření, měření zátěže vyvolané vlastním testováním zranitelnosti na infrastrukturu MSp. Proběhne též pilotní provoz a jeho vyhodnocení. Součástí pilotního provozu bude provedení bezpečnostního auditu a penetračních testů, které potvrdí bezpečnost předávaného řešení. Souběžně s testováním technického opatření proběhne proškolení odpovědných pracovníků resortu MSp v oblasti kybernetické bezpečnosti.
Důvody realizace
V současné době rostou rizika a úroveň hrozeb, která jsou představována kybernetickými útoky proti informačním systémům. Ministerstvo spravedlnosti je jedním z významných správců informačních systémů a informační infrastruktury veřejné správy. Tato skutečnost klade před zaměstnance MSp řadu otevřených otázek a úkolů. Tyto úkoly vycházejí nejen z platné legislativy, ale i z reálného stavu a potřeb MSp. V rámci resortu justice není například zatím zaveden nástroj pro odhalování zranitelností pomocí nástrojů tzv. vulnerability managementu. Vzhledem k tomu, že v resortu je v současné době provozováno osm významných a kritických informačních systémů, je zapotřebí tento nástroj zavést.
Výstupy projektu
Cílem projektu je vytvořit a implementovat nástroje a opatření, která umožní sledování stavu aplikační bezpečnosti. Řešení pokryje řadu aktivit: identifikace/sledování IT aktiv, kategorizace aktiv do skupin, skenování aktiv na známé zranitelnosti, rozřazení rizik dle závažnosti, patch management, testování patchů, aplikace patchů, následné skenování po aplikaci patchů, zefektivnění detekce zranitelností softwarového vybavení resortu. Součástí je také identifikace konkrétních technických specifikací HW a SW naplňujících potřeby resortu justice a případné ověření těchto parametrů třetí stranou.