PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História dokumentu

2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

2.1       Použité skratky a pojmy

2.2       Konvencie pre typy požiadaviek (príklady)

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky budú mať nasledovnú konvenciu:

NREQ_X_Y_xx:

• X – nefunkčná požiadavka (NFR)

o              B – bezpečnostná požiadavka

o              K – kapacitná požiadavka

o              P – prevádzková požiadavka

• Y – označenie požiadavky (legislatíva, IKT, aktívum, skratka IS a pod..)
• xx – číslo požiadavky

3.    Popis navrhovaného riešenia

Ministerstvo životného prostredia Slovenskej republiky (MŽP SR) je ústredným orgánom štátnej správy pre tvorbu a ochranu životného prostredia vrátane:

• ochrany prírody a krajiny,
• vodného hospodárstva, ochrany pred povodňami, ochrany akosti a množstva vôd a ich racionálneho využívania a rybárstva s výnimkou akvakultúry a morského rybolovu,
• ochrany ovzdušia, ozónovej vrstvy a klimatického systému Zeme,
• ekologických aspektov územného plánovania,
• odpadového hospodárstva,
• posudzovania vplyvov na životné prostredie,
• zabezpečovania jednotného informačného systému o životnom prostredí a plošného monitoringu,
• geologického výskumu a prieskumu,
• ochrany a regulácie obchodu s ohrozenými druhmi voľne žijúcich živočíchov a voľne rastúcich rastlín, geneticky modifikovaných organizmov

Pri plnení svojich úloh a jednotlivých činnostiach, vo všetkých vecne prislúchajúcich oblastiach dochádza k neustálemu zvyšovaniu závislosti na informačných aktívach a IKT, čo zvyšuje hrozby, zraniteľnosti a riziká dopadov bezpečnostných incidentov v kybernetickom priestore.

Ministerstvo životného prostredia SR je prevádzkovateľom základnej služby v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti. V rezorte MŽP SR je v súčasnosti prevádzkovaných minimálne 5 kľúčových informačných systémov, ktoré prekračujú identifikačné kritéria prevádzkovanej služby podľa § 18 ZoKB. V rámci klasifikácie informácií, kategorizácie sietí a informačných systémov boli identifikované v zmysle § 4 vyhlášky č. 362/2018Z.z.  nasledovné maximálne stupne alebo úrovne:

1. a) klasifikačný stupeň - chránené informačné aktíva,
2. b) úroveň integrity – vysoká,
3. c) úroveň dostupnosti – vysoká,
4. d) kategória sietí a informačných systémov - kategória III.

Strategickým cieľom Národnej stratégie kybernetickej bezpečnosti SR na roky 2021 až 2025 je posilňovanie a vytvorenie otvoreného, slobodného a bezpečného kybernetického priestoru. V kybernetickom priestore sa vyskytuje veľké množstvo hrozieb, ktoré prechádzajú do reálneho útoku a ohrozujú vysoko citlivé informačné aktíva štátu. Vykonaná analýza rizík s presahom na celý rezort obsahuje zistenie aktuálneho stavu aktív a hrozieb, zraniteľností, závažnosti rizík a možných dopadov, popisuje kvantitatívne alebo kvalitatívne hodnotenie prítomných rizík. Na základe Auditu KB boli navrhnuté primerané a vyvážené opatrenia v oblasti zabezpečovania kybernetickej bezpečnosti.

Cieľom projektu je v súlade s týmto auditom zaistenie kybernetickej ochrany v podmienkach rezortu v súlade so zákonom ZoKB a ZoIKT. Zámerom predkladaného projektu je vykonať prioritné komplexné opatrenia v rezorte MŽP SR tak, aby bolo  možné zvýšiť úroveň bezpečnosti IKT, ochranu dôležitých informačných aktív a súvisiacich informácií poskytovaných, ukladaných a vymieňaných v kybernetickom priestore. Aktivity pokrývajú v kontexte rezortu princíp nastavenia harmonizácie sektorového governance, metodického riadenia, podporu minimálnych štandardov, efektívnej spolupráce zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti v rezorte a zdieľania nástrojov.

Výsledkom projektu bude optimalizácia procesov riadenia kybernetickej bezpečnosti, riadenie rizík, kontinuity činností a riadenie incidentov pre interné kybernetické prostredie rezortu MŽP SR a zabezpečovanie výmeny informácií o kybernetických hrozbách a riešení mimoriadnych situácií.

Projekt je v súlade so strategickými cieľmi definovanom v NKIVS a realizuje aktivity v záujme vybudovania ekosystému, legislatívneho, organizačného a technického prostredia schopného čeliť hrozbám najmä pre tie informačné technológie, ktoré sú zaradené do kritickej infraštruktúry:

• zvýšenie schopnosti včasnej identifikácie kybernetických incidentov v rezorte MŽP SR
• posilniť ľudské kapacity, organizačné opatrenia a jednotlivé nástroje v oblasti kybernetickej a informačnej bezpečnosti.

Projekt zabezpečuje podporu v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť) v oblastiach:

• zlepšovanie procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy;
• posilnenie prvkov kritickej infraštruktúry a budovanie nástroja pre manažment údajov;
• podporu včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9.

MŽP SR má dostatočné administratívne a prevádzkové kapacity na realizáciu projektu a zabezpečenie udržateľnosti. V rámci projektu bude zrealizovaný Audit KB

4.    Architektúra riešenia projektu

4.1       Biznis vrstva

V rezorte MŽP SR sa realizuje v zmysle zákona príslušná agenda, pričom na priamo riadené v rezorte sú nasledovné organizácie:

• Štátna ochrana prírody SR sopsr.sk

• Environmentálny fond envirofond.sk
  • Regionálne centrum BB, PO
• Slovenská inšpekcia životného prostredia sizp.sk
  • Inšpektoráty BA, ZA, KE, NR, BB, SN
• Slovenská agentúra životného prostredia sazp.sk
  • Regionálne pracoviská – 10
• Slovenský hydrometeorologický ústav shmu.sk
  • Regionálne pracoviská BB, KE, ZA
• Výskumný ústav vodného hospodárstva vuvh.sk
• SLOVENSKÝ VODOHOSPODÁRSKY PODNIK, štátny podnik svp.sk
  • Odštepné závody Dunaj, Váh, Hron, Hornád, Bodrog
• VODOHOSPODÁRSKA VÝSTAVBA, štátny podnik vvb.sk
  • Pracoviská ZA, KE, BB, Gabčíkovo
• Štátny geologický ústav Dionýza Štúra geology.sk                               
  • Regionálne centrá BB, KE, SN
• Slovenské banské múzeum muzeumbs.sk
  • BS + Handlová
• Slovenské múzeum ochrany prírody a jaskyniarstva smopaj.sk, LM
• Národná zoologická záhrada Bojnice zoobojnice.sk, Bojnice
• Správa Tatranského národného parku so sídlom v Tatranskej Lomnici tanap.sk
• Správa Pieninského národného parku so sídlom v Spišskej Starej Vsi pienap.sk
• Správa Národného parku Malá Fatra so sídlom vo Varíne npmalafatra.sk
• Správa Národného parku Veľká Fatra so sídlom v Martine npvelkafatra.sk
• Správa Národného parku Nízke Tatry so sídlom v Banskej Bystrici napant.sk
  • Lupča, Hrádok, Beňuš, Ružomberok, L. Teplička
• Správa Národného parku Slovenský raj so sídlom v Spišskej Novej Vsi npslovenskyraj.sk
• Správa Národného parku Muránska planina so sídlom v Revúcej npmuranskaplanina.sk
• Správa Národného parku Slovenský kras so sídlom v Brzotíne npslovenskykras.sk
• Správa Národného parku Poloniny so sídlom v Stakčíne sopsr.sk

Ministerstvo životného prostredia SR je prevádzkovateľom základnej služby v zmysle zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti.

V rezorte MŽP SR je v súčasnosti prevádzkovaných 5 kľúčových informačných systémov, ktoré prekračujú identifikačné kritéria prevádzkovanej služby podľa § 18 ZoKB. V rámci klasifikácie informácií, kategorizácie sietí a informačných systémov boli identifikované v zmysle § 4 vyhlášky č. 362/2018Z.z.  nasledovné maximálne stupne alebo úrovne:

1. a) klasifikačný stupeň - chránené informačné aktíva,
2. b) úroveň integrity – vysoká,
3. c) úroveň dostupnosti – vysoká,
4. d) kategória sietí a informačných systémov - kategória III.

Jednotlivé organizácie v rezorte MŽP SR teda musia povinne plniť všetky bezpečnostné opatrenia v zmysle § 20 ZoKB, niektoré sú prevádzkovateľom základnej služby. Preto v roku 2023 v zmysle § 29 ZoKB vykonalo MŽP SR posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami ZoKB a osobitných predpisov, ktoré sa vzťahujú na bezpečnosť sietí a informačných systémov – Audit KB. V rámci auditu kybernetickej bezpečnosti bola konštatovaná stredne vysoká úroveň zabezpečenia požadovanej úrovne kybernetickej bezpečnosti (48% súlad).Jednotlivé zistenia obsahujú citlivé informácie a sú v prílohe.Po ukončení projektu je plánované zabezpečenie súladu na minimálne 70-80%.

Rámec pre projekt určujú nasledovné parametre:

- počet rezortných organizácií, pre ktoré budú realizované aktivity: 21

- počet zamestnancov: 2100,

- počet rezortných IS (podľa META IS): 50

- počet kľúčových IS z pohľadu IKB a ZS NBU: 5

Realizovaný projekt sa týka celého rezortu, ktoré MŽP SR metodicky riadi a spolupracuje s rezortnými organizáciami pri prevádzke svojich a rezortných informačných systémov, zabezpečuje podporu procesov vrátane oblasti pre kybernetickú bezpečnosť.

MŽP SR a organizácie v rezorte prevádzkujú svoje informačné aktíva decentralizovane v rámci celého Slovenska. Každá z lokalít, v ktorých sú prevádzkované IKT, ako aj používateľské pracoviská rezortu majú vybudovanú vlastnú sieťovú infraštruktúru. V rámci prevádzky nie sú všade zavedené prevádzkové procesy a príslušné nástroje pre:

• riadenie zmien,
• správu a riadenie prístupov na úrovni používateľov aj prevádzky systémov,

4.2       Aplikačná vrstva

Aktuálne informácie o službách a rezortné informačné systémy verejnej správy sú evidované v META IS (v prevádzke alebo plánované naďalej používať a rozvíjať):

4.3       Dátová vrstva

N/A

4.4       Technologická vrstva

N/A

4.5       Bezpečnostná architektúra

Žiadateľ MŽP SR ku dňu predloženia ŽoNFP má zrealizované nasledovné aktivity (v zmysle vyhlášky NBÚ č. 362/2018 Z.z.) v rozsahu:

• vytvorenú stratégiu kybernetickej bezpečnosti (aktualizácia v rámci projektu)
• vytvorené bezpečnostné politiky kybernetickej bezpečnosti, (vytvorené v rámci projektu)
• vykonanú inventarizáciu aktív (vytvorená v rámci projektu)
• klasifikáciu informácií a kategorizáciu sietí a informačných systémov (aktualizovaná v rámci projektu),
• realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík (aktualizovaná v rámci projektu).

Jednotlivé rezortné organizácie majú v rôznom rozsahu a kvalite zabezpečenú podporu procesov informačnej a kybernetickej bezpečnosti. Okrem MŽP SR bude projekt realizovaný aj pre rezortné organizácie, ktoré:

• nemajú pokrytú oblasť KB vôbec (nesúlad), zabezpečí dodanie relevantných výstupov na zabezpečenie súladu,
• majú čiastočne alebo nedostatočne pokryté oblasti, zabezpečí metodický rámec a obsahový template danej aktivity v zmysle definovanej rezortnej stratégie riadenia KB (governance) a počas projektu bude zabezpečovať konzultačnú a metodickú podporu
• majú dostatočne pokryté oblasti, zabezpečí metodický rámec danej aktivity v zmysle definovanej rezortnej stratégie riadenia KB (governance) a počas projektu bude zabezpečovať konzultačnú a metodickú podporu.

Zároveň projekt dodá nástroj na vybrané aktivity a opatrenia (IAM, SIEM, SOC...) v rozsahu zberu požiadaviek a rámcovej analýzy, ako podklad pre ďalší rozvoj implementácie opatrení v oblasti KB v rezorte MŽP SR do budúcnosti

5.    Závislosti na ostatné ISVS / projekty

N/A

6.    Zdrojové kódy

N/A

7.    Prevádzka a údržba

N/A

8.    Požiadavky na personál

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Konečný používateľ
• Zástupca dodávateľa (bez hlasovacieho práva)

Zostavuje sa Projektový tím

• Projektový manažér
• Zástupca biznis vlastníka (hlavný štátny radca pre bezpečnosť, metodik)
• Manažér kybernetickej a informačnej bezpečnosti
• Vecne príslušný odborný garant (prevádzka, infraštruktúra, aplikačné služby, rezortná organizácia..)
• Expert dodávateľa na kybernetickú bezpečnosť (podľa jednotlivých oblastí a aktivít)
• Auditor KB

9.    Implementácia a preberanie výstupov projektu

V rámci realizácie projektu a harmonogramu projektu bude zabezpečené kontinuálne preberanie výstupov vecným a odborným garantom. V zmysle Vyhlášky 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke bude spôsob realizácie projektu metódou waterfall.

V zmysle vyhlášky 401/2023 Zz o riadení projektov a zmenových požiadaviek v prevádzke sa bude pristupovať k realizácii projektu prostredníctvom čiastkových plnení, t.j. inkrementov, a to:

• Prvý Inkrement bude obsahovať všetky hlavné výstupy projektu
• Druhý inkrement bude obsahovať Audit KB, ktorým sa potvrdi kvalita a splnenie opatrení z predošlého Auditu KB (2023)..

10.  Prílohy

• Zoznam rizík a závislostí (Excel): https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html
• Zistenia z auditu KB na MŽP SR (12/2023 – neverejné citlivé informácie)
• Opatrenia na odstránenie zistení z Auditu KB na MŽP SR (03/2024 – neverejné citlivé informácie)
• Kvantifikácia hrozieb KB incidentov (Excel minimálne obsahové náležitosti výzvy - neverejné citlivé informácie)
• Katalóg požiadaviek