Deklarácia súladu projektu s horizontálnym projektom[1] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[2]

a)     Popis projektu[3]

Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb.

Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti.

Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík.

Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.

b)     Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa

ÚVO ako prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb využíva na pokrytie týchto základných služieb informačné systémy, aplikačnú a komunikačnú infraštruktúru. Správa a prevádzka týchto systémov je v prevažnej miere zabezpečovaná formou služieb  prostredníctvom zmlúv na prevádzku, údržbu a rozvoj. Bezpečnostné opatrenia v oblasti správy privilegovaných účtov na ÚVO majú teda vysokú prioritu a zatiaľ nie sú implementované v plnom rozsahu požiadaviek pre zabezpečenie a udržanie zákonom požadovanej kybernetickej bezpečnosti v podmienkach ÚVO. V súčasnosti jednou z dôležitých úloh v oblasti kybernetickej bezpečnosti je zabezpečenie centrálnej správy, riadenia a monitorovania privilegovaných používateľov, evidencia informačných aktív, ich klasifikácia, kategorizácia IS a sietí, riadenie a taktiež vyhodnocovanie identifikovaných rizík, hrozieb, incidentov, ktoré nie je podporované nástrojmi IS.

Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď.

V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k:

- Informačným systémom (Systémy úradu ISVS (gov.sk))

- Operačným systémom  (Windows, RedHat, CentOS,..)

- Databázam (Oracle, SQL, MySQL,..)

- Komunikačným prvkom a firewallom

- atď.

Riadenie IB a KB

UVO má definované a schválené základné strategické bezpečnostné ciele pre oblasť' riadenia IB a KyB.  V zmysle platnej legislatívy boli prijaté a sú dodržiavané bezpečnostné opatrenia, jedná sa hlavne o  smernice na riadenie IB a KB na úrade, ale aj ďalšie opatrenia v zmysle legislatívnych požiadaviek.

Organizácia informačnej bezpečnosti ÚVO má tri úrovne:

- Úroveň stratégie a auditu

- Úroveň metodiky a operačného riadenia

- Úroveň implementácie, prevádzky a administrácie

Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení.

Bezpečnostná dokumentácia

Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti.

Súčasťou sekundárnych aktivít na ktoré žiadame finančné zdroje prostredníctvom tejto Deklarácie súladu a pripravovanej Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zabezpečenie riešenia pre Riadenie a správa privilegovaných účtov (RaSPU) a zavedenie modulu pre evidenciu informačných aktív (EIA).

Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy)

Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít PIM a PAM.

PIM – Privileged Identity Management - centralizovaná správa, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel

PAM – Privileged Access Management - centralizované riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam

Pod pojmom privilegovaný účet označujeme pre tento účel účet v informačnom systéme, ktorý má vysoké oprávnenia, t. j. účty typu/role root v Linux/UNIX systémoch, účty typu/role Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na fyzickú osobu. S týmito účtami pracujú privilegovaní užívatelia. Pojem privilegovaný užívateľ označuje fyzickú osobu, ktorá používa privilegované účty. Ide hlavne o pracovníkov prevádzky, dodávateľov, alebo vývojárov. Cieľový systém označuje systém, na ktorý sa privilegovaný užívateľ pripojuje prostredníctvom privilegovaných účtov.

Riešenie má zaznamenávať činnosť systémového administrátora, ktorý pristupuje k citlivým dátam alebo vykonáva konfiguračnú činnosť a vytvárať auditnú stopu pre potreby možného sledovať udalosti presne tak, ako sa v skutočnosti odohrali.

Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo.

Riešenie by malo zabezpečiť hlavne:

• skenovanie, identifikácia a enrolment privilegovaných účtov zariadení a aplikácií,
• automatickú zmenu/rotácia hesiel na základe definovaných politík a komplexicity hesla, úložisko hesiel,
• auditné záznamy o prístupoch k heslám o operáciách nad spravovanými privilegovanými prístupmi, účtami,
• delegovanie správy prístupov, členenie na logické celky s vymedzenými oprávneniami
• monitoring, správa a nahrávanie používateľských (administrátorských) session počas prístupu pod privilegovaným účtom,
• spracovanie metadát o nahrávaných session tak aby bolo možné v nahrávkach vyhľadávať napr. spustené aplikácie a príkazy,
• správa SSH kľúčov v prostredí UNIX a Linux,
• podpora využitia jump host (Windows RDP, Unix SSH) na nadviazanie spojenia s koncovým zariadením,
• zabezpečenie prístupu tak, aby administrátor nevedel heslo k privilegovaného účtu ku koncovému zariadeniu,
• podpora  dvojfaktorovej autentifikácie,
• centrálnu autentizáciu a riadenie prístupu,
• full-textové vyhľadávanie v záznamoch,
• tvorba black-listov a white-listov,
• behaviorálnu analýzu správania užívateľov.

ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh:

• RFI_Privil_ucty_opis – Príloha k Deklarácií súladu

Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU.

c)      Spôsob realizácie aktivít projektu

Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania podľa zákona 343/2015 z. z. o verejnom obstarávaní v súčinnosti s pracovníkmi ÚVO.

Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:

Hlavné aktivity[4]: - harmonogram realizácie (predpokladaný) od 10/2022 do 5/2023

Hlavné aktivity:

Aktivita 1 - Analýza a Dizajn

• Analýzy - v rozsahu potreby projektu pre detailný návrh riešenia RasPU a modulu EIA , dátová, bezpečnostná, architektúra, integrácia, analýza prístupov, účtov, návrh procesov, katalógu rolí...
• DNR - detailný návrh riešenia - funkčný, architektúra technická, aplikačná, bezpečnosť, integrácia, testovanie - plán testov, školenia, dokumentácia, detailný harmonogram...

Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb pre potreby projektu

Aktivita 3 - Implementácia  a Testovanie

• Implementácia, alebo kastomizácia funkcionality RaSPU, príprava inštalačného prostredia, vytvorenie rolí,..
• Implementácia, kastomizácia offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia prispôsobí na potreby ÚVO.
• Testovanie, vrátane akceptačnéh testovania
• Vyhotovenie dokumentácie

Aktivita 4 – Nasadenie

• Tvorba detailných plánov nasadenia do prevádzky (Cut-over)
• Nasadenie riešení do prevádzkového prostredia (inštalácie, konfigurácie, priradenie rolí, ...) podľa Cut-over

QA manažér bude vykonávať riadenie kvality projektu - realizácia aktivít projektu v oblasti Quality Assurance podľa aktuálne platnej Metodiky riadenia QAMPR  z gescie MIRRI SR.

Ďalšie pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby úrad realizoval projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.).

Podporné aktivity:

Riadenie projektu:

• Projektový manažér: bude vykonávať činností spojené s riadením projektového tímu a samotné projektové riadenie v zmysle metodík pre riadenie projektov a v súlade s aktuálnymi Príručkami EŠIF platnými pre OPII PO7. PM je interný zamestnanec úradu.

Publicita a informovanosť:

• Bude uskutočnená s aktuálne platným Manuálom pre informovanie a komunikáciu.

Zoznam produktov, ktoré projekt dodáva je nasledovný:

- Analýza celkových nákladov na vlastníctvo (TCO)

- Funkčná a technická špecifikácia

- Projektový iniciálny dokument (PID)

- Detailný návrh riešenia (DNR)

- Plán Testov

- Dokumentácia (Aplikačná, Používateľská, Inštalačná a Konfiguračná, Prevádzková)

- Klientsky modul evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov

- Informačný systém RaSPU

Aktivity Implementácia a Testovanie, Nasadenie  prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB.

Informačný systém RaSPU plánujeme realizovať obstaraním dodávateľa na realizáciu IS, vrátane softvérových produktov.

Z realizovaného prieskumu trhu, podľa vyššie uvedenej špecifikácie, nám vyšla sumu 149 660,80  EUR s DPH, celková suma v Žiadosti o NFP spolu s internými výdavkami (priame a nepriame) je 164 234,71 EUR s DPH.

Analýzu a implementáciu modulu EIA plánujeme realizovať internými kapacitami zapojenými do projektu.      

d)     Situácia po realizácii projektu a udržateľnosť

ÚVO bude mať k dispozícii IS, ktorý mu zabezpečí dostatočnú podporu pre riadenie prístupov privilegovaných používateľov k IS ÚVO a jeho infraštruktúre, vrátane modulu EIA na evidenciu informačných aktív, ich klasifikáciu, kategorizáciu, riadenia rizík a incidentov. Tým zabezpečí primeranú kybernetickú a informačnú bezpečnosť vo vzťahu k poskytovaniu základných služieb.  Zabezpečenie prevádzky, údržby a podpory IS RaSPU bude zabezpečené prostredníctvom SLA zmluvy financovanej z vlastných finančných zdrojov, ktorá pokryje prevádzku IS a budúci rozvoj.

V rámci udržateľnosti ÚVO plánuje nasledovné riešenie:

1. Realizáciu diela – implementáciu RaSPU (do majetku) a licencií
2. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline)
3. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti.

[1]   Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“.

[2]  Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy.

[3] Žiadateľ je povinný vypracovať Deklaráciu súladu a predložiť ju na posúdenie Ministerstvu investícií, regionálneho rozvoja a informatizácie SR (ďalej ako „MIRRI“), sekcii kybernetickej bezpečnosti, ktorá vydá k Deklarácii súladu stanovisko. Následne žiadateľ predkladá Stanovisko a Deklaráciu súladu ako prílohu Žiadosti o NFP v rámci konania o Žiadosti o NFP na MIRRI, sekcii sprostredkovateľského orgánu informatizácie spoločnosti v súlade s podmienkou poskytnutia príspevku „Podmienka súladu Žiadosti o NFP s horizontálnym projektom a s minimálnymi obsahovými a formálnymi náležitosťami definovanými Prílohou č. 9. výzvy“.

[4] V súlade s Vyhláškou Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o riadení projektov