projekt_2524_Pristup_k_projektu_detailny
Povinná osoba | Mesto Liptovský Mikuláš |
Názov projektu | Zvýšenie úrovne kybernetickej bezpečnosti v meste Liptovský Mikuláš |
Zodpovedná osoba za projekt | Ing. Dušan Močarník |
Realizátor projektu | Mesto Liptovský Mikuláš |
Vlastník projektu | Ing. Ján Blcháč, PhD – primátor mesta Liptovský Mikuláš |
Schvaľovanie dokumentu
Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis (alebo elektronický súhlas) |
Vypracoval | Ing. Dušan Močarník, | Mesto Liptovský Mikuláš | Manažér KIB | 26.4.2024 |
|
1. História dokumentu
Verzia | Dátum | Zmeny | Meno |
1.0 | 26.4.2024 | Finálna verzia v súlade so žiadosťou o NFP | Ing. Dušan Močarník |
2. Účel dokumentu
V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.
Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky má obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie musí byť v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
2.1 Použité skratky a pojmy
| SKRATKA/POJEM | POPIS |
API | Application programming interface | |
BPMN | Business Process Model and Notation | |
CSRÚ | Centrálna správa referenčných údajov | |
DMS | Document management system | |
EDR | Endpoint Detection and Response | |
EÚ | Európska únia | |
HW a SW | Hardware a Software | |
HLD | High level dizajn – vysokoúrovňový dizajn napr architektúru, bezpečnosť | |
IaaS | Infrastructure as a service | |
IAM | Identity and Access Management | |
IKT | Informačno-komunikačné technológie | |
IS RR | Informačný systém pre riadenie rizík | |
IS VS | Informačný systém verejnej správy | |
AD | Active directory. | |
KPI | Key performance indicator – Kľúčové indikátory, prostredníctvom ktorých sa meria naplnenie cieľov projektu. | |
LLD | Low level dizajn – nízkoúrovňový dizajn napr. pre architektúru, bezpečnosť. Obsahuje detailné dizajny až na úrovní nastavení parametrov | |
BCM | Business Continuity Management | |
MIRRI | Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky | |
MV SR | Ministerstvo vnútra SR | |
NKIVS | Národná koncepcia informatizácie verejnej správy | |
OOÚ | Ochrana osobných údajov | |
PO | Plán obnovy a odolnosti | |
OVM | Orgán verejnej moci | |
PaaS | Platform as a service | |
PILOT | PILOT - Prevádzka riešenia na vybraných aktéroch na produkčnom prostredí. | |
PoC | PoC - Implementovaný prototyp riešenia nasadený do produkčnej prevádzky a overený E2E testami minimálne s využitím mockov | |
PR | Projektové riadenie | |
ROLLOUT | ROLLOUT - Postupné pripájanie ostatných aktérov na produkčnom prostredí. | |
RFO | Register fyzických osôb | |
RPO | Register právnických osôb | |
SFTP | SSH File Transfer Protocol | |
SLA | Service level agreement | |
SOAP | Simple Object Access Protocol | |
SOAR | Security orchestration, automation and response | |
SR | Slovenská republika | |
ŠÚ SR | Štatistický úrad Slovenskej republiky | |
VÚC | Vyšší územný celok alebo iný povoľovací orgán | |
PR | Projektové riadenie | |
VÚC | Vyšší územný celok alebo iný povoľovací orgán | |
LMS | Log management systém | |
SIEM | Security information and event management | |
SOC | Security Operation Center – dohľadové centrum | |
AD Tier model | Model Active Directory vrstiev | |
SOC-as-a-Service | Dohľadové centrum KB prevádzkované kvalifikovanými bezpečnostnými profesionálmi | |
NGFW | Firewall next generation | |
PZS | Prevádzkovateľ základnej služby | |
MLM | Mesto Liptovský Mikuláš | |
OvZP MLM | Organizácia v zriaďovateľskej pôsobnosti Mesta Liptovský Mikuláš | |
MCA | Multikriteriálna analýza | |
MKB | Manažér kybernetickej bezpečnosti | |
CGISS | Informačný systém samosprávy | |
CGDISS | Registratúrny systém | |
ISCSRU | Informačný systém centrálnej správy referenčných údajov | |
| KIB | Kybernetická a informačná beypečnosť |
3. Popis navrhovaného riešenia
Zoznam jednotlivých modulov ( komponentov ) tvoriacich riešenie projektu :
- Riadenie kontinuity činností (BCM)
- Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov
- SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností + implementácia
- SW pre LMS a eArchiv SW + implementácia
- SW nástroj pre zber dát 200 Mbps + implementácia
- Dodávka Firewall - ového riešenia
- Migrácia FW a vertikálna segmentácia siete
- AD Tier model (PAM)
- Základné školenie obsluhy
Popis modulov ( komponentov ), ktoré sú predmetom projektu :
1.Riadenie kontinuity činností (BCM)
- Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17), v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie v súvislosti s implementovanými opatreniami KB. Kontinuita činností musí obsahovať minimálne:
- plán kontinuity na stanovenie požiadaviek a zdrojov,
- plán reakcie na incidenty a plány havarijnej obnovy prevádzky,
- scenáre udalostí s negatívnym vplyvom na činnosti organizácie,
- postupy zálohovania a obnovy siete a informačných systémov,
- politiku a ciele kontinuity,
- metodiku analýzy funkčných dopadov,
- stratégiu riadenia kontinuity vrátane evakuačných postupov,
- plán údržby a kontroly BCM.
2.Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov
- Identifikácia rôznych kategórií procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti,
- Určenie potenciálnych dôsledkov (škody/straty) pri rôznych dobách trvania kritických situácií,
- Identifikácia potenciálne dopady vyplývajúce z možného prerušenia činností a stanoviť výšku:
- funkčných dopadov,
- finančných dopadov,
- dopadov spôsobených stratou údajov a dokumentov .
Príprava takých postupov a vytvorenie takých podmienok, ktoré zabezpečia v prípade krízovej situácie vo vopred stanovenom rozsahu a čase návrat k fungovaniu organizácie v normálnom režime,
3.SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností
- časovo neobmedzená licencia pre neobmedzený počet používateľov,
-vrátane implementácia SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností +vypracovanie prvotnej analýzy rizík a šablón. SW pre identifikáciu a riadenie rizík musí umožňovať vykonávať revízie a aktualizáciu analýzy rizík, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný. SW musí byť typu klient – server nasadený na serveroch prevádzkovateľa bez závislosti na cloudových službách, aktualizáciách cez internet a inom komerčnom programovom vybavení okrem operačného systému a webového prehliadača.
4.SW pre LMS a eArchiv SW
vrátane implementácie komponenty SysMon bude zabezpečené zvýšenie úrovne výpovednej hodnoty log záznamov serverov s OS Windows Server, čím dôjde k zjednodušeniu a zrýchleniu manažmentu incidentov. Úlohou komponentu LMS je poskytnúť funkcionalitu centrálneho úložiska log záznamom a zároveň umožní vykonávať nad zozbieranými údajmi vyhodnocovacie a notifikačné funkcionality za účelom včasnej notifikácie administrátorov o možnom vzniku incidentu. Komponent eArchív spracuje výstupy LMS, elektronicky ich podpisuje (vrátane časovej pečate), archivuje a umožňuje aplikovať retenčné politiky.
5.SW nástroj pre zber dát 200 Mbps
- platnosť licencie minimálne 12 mesiacov,
- vrátane implementácie, konfigurácie, ladenie SW nástroja pre zber dát
Implementáciou Software - ového nástroja pre zber dát bude zabezpečené aktívne sledovanie diania na sieti a v informačných systémoch prevádzky PZS ako aj podporných systémoch. Na monitorovaní sa môžu podieľať aj zamestnanci IT oddelenia. Cieľom je včas rozpoznať kybernetický útok alebo náznak potencionálneho vniknutia do systémov a sietí tak, aby bolo možné útoku či zlyhaniu siete zabrániť alebo prijať opatrenia, aby sa takýmto útokom či zlyhaním minimalizovali následky. Zároveň umožňuje jednotlivé útoky analyzovať a vyhodnocovať.
6.Dodávka Firewall - ového riešenia
- zabezpečenie ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad organizácie. Brána firewall predstavuje bariéru medzi dôveryhodnou a nedôveryhodnou sieťou, akou je napríklad
internet. Implementácia dvoch úrovní FW umožní realizovať vertikálnu segmentáciu siete s ukončením segmentov na firewalloch podľa ich kategorizácie a zároveň umožní optimalizáciu nákladov na udržateľnosť.
7.Migracia FW a vertikálna segmentácia siete
Migrácia FireWall-ov a doplnenie NGFW funkcionalít predstavuje začlenenie nových prvkov dátovej infraštruktúry do existujúcej dátovej infraštruktúry s definovaním nových pravidiel komunikácie a ochrany. Vertikálna segmentácia počítačovej siete je potrebná ako prvok rozvoja informačnej bezpečnosti a riadenia prístupu. Rozdeľuje virtuálne segmenty podľa ich kategorizácie medzi jednotlivé vrstvy firewallov. Tento prístup umožňuje riadiť dátové toky prevádzky medzi podsieťami na základe podrobných pravidiel. Zavedenie vertikálnych virtuálnych segmentov siete zlepšuje možnosti monitorovania sieťovej komunikácie, zvýšenie výkonu, lokalizáciu technických problémov ako aj zvýšenie úrovne informačnej bezpečnosti. Segmentácia siete mitiguje možnosti neoprávneným používateľom alebo útočníkom v získaní prístupu k digitálnemu vlastníctvu.
8.AD Tier model (PAM)
Model Active Directory vrstiev vytvára delenie IS a používateľských a administrátorských účtov na základe toho, aké zdroje spravujú. Administrátori s kontrolou nad užívateľskými pracovnými stanicami sú oddelení od tých, ktorí riadia aplikácie alebo spravujú servery prevádzky základnej služby. Implementuje sa obmedzenie prístupu podľa úrovní, so zabezpečením, aby vysoko privilegované účty nemali prístup k menej bezpečným zdrojom. Tento princíp vhodne dopĺňa segmentáciu siete a zároveň predstavuje ďalší stupeň ochrany pred napr. útokom typu ransomware."
9.Základné školenie v potrebnom rozsahu na implementované opatrenia
Potreba jednotlivých modulov ( komponentov ) cieľovej architektúry vychádza z výsledkov auditu KB a potreby naplnenia legislatívnych požiadaviek..
4. Architektúra riešenia projektu
Súčasný stav ( AS IS ) :
MLM ako PZS v súčasnej dobe nemá k dispozícii nástroje na dostatočnú identifikáciu zraniteľnosti, identifikáciu hrozieb, identifikáciu a analýzu rizík s ohľadom na aktívum, určenia vlastníka rizika.
MLM nemá v súčasnosti definované určenie cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb.
MLM nemá v súčasnej dobe zabezpečené riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami tak, aby pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona sa analyzovali riziká dodávateľských služieb, spôsobom podľa § 6.
Zaznamenávanie a vyhodnocovanie prevádzkových záznamov sa v súčasnosti na MLM nevykonáva.
V súčasnej dobe sa na MLM nedostatočne identifikujú technické zraniteľnosti informačných systémov ako celku a nástroj určený na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí nie je používaný.
Procesy pre riadenie záplat a aktualizácií nie sú v súčasnosti na MLM pravidelne zdokumentované.
Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa v súčasnosti neuskutočňuje na MLM implementovaným centrálnym nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
Nástroj na automatizované zaznamenávanie činnosti sietí a informačných systémov a ich používateľov, ktorý umožňuje vytvárať prevádzkové záznamy a zaznamenávať rizikové udalosti v súčasnej dobe nie je na MLM používaný.
Prevádzkové záznamy nie sú zabezpečené na MLM štandardne ( napr. podľa technológie SIEM )
Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia podozrivej aktivity nie je momentálne jednoznačne zodpovedný na to poverený zamestnanec PZS ( MLM) alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
Proces detekcie kybernetických bezpečnostných incidentov sa v súčasnosti nezabezpečuje na MLM prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa v súčasnosti na MLM nezabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí.
Schéma súčasného stavu ( AS IS ) :
Budúci stav ( To Be ) :
Za účelom zvýšenia úrovne zavedených postupov a opatrení týkajúcich sa kybernetickej a informačnej bezpečnosti (KIB) v MLM je potrebné konsolidovať existujúcu bezpečnostnú architektúru a dobudovať dohľadovú službu, implementáciou nových a inováciou existujúcich bezpečnostných nástrojov a procesov, a to najmä v nasledovných oblastiach:
- kybernetická ochrana a bezpečnostný monitoring a identifikácia bezpečnostných incidentov,
- riadenie bezpečnostných incidentov,
- ochrana proti externým hrozbám,
- ochrana dát, dátových prenosov a komunikácie,
- zvyšovanie bezpečnostného povedomia,
- implementácia bezpečnostných opatrení na zabezpečenie súladu so zákonom a výsledkami auditu KB
Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií:
- Kybernetická ochrana a detekcia škodlivých aktivít a bezpečnostných incidentov: Bezpečnostný monitoring IS, platforiem, aplikácií a používateľských činností a aktivít. Monitoring sietí, monitoring činností a aktivít privilegovaných používateľov.
- Riadenie bezpečnostných incidentov: Identifikácia a hlásenie bezpečnostných incidentov, registrácia, kategorizácia a klasifikácia bezpečnostných incidentov. Akceptácia bezpečnostných incidentov a určenie riešiteľov. Analýza a vyšetrovanie bezpečnostných incidentov a zber dôkazov. Riešenie bezpečnostných incidentov a obnova prevádzky, uzatvorenie bezpečnostných incidentov, vyhodnotenie bezpečnostných incidentov, zavedenie do KB DB, spätná väzba a poučenie sa z bezpečnostného incidentu.
- Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).
- Ochrana dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení. Riadenie SW záplat (Patch management), manažment zraniteľností.
- Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware. Manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií.
Výsledky projektu zabezpečia :
- Detailný a spoľahlivý prehľad o bezpečnosti IT prostredia, ktoré je prevádzkované u PZS ( Mesto LM ), na základe implementovaných opatrení a vyhodnocovacieho nástroja, ktorý je nevyhnutný na včasné reakcie na kybernetické bezpečnostné ohrozenia.
- Zabezpečenie kontroly dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov.
- Zabezpečenie vyššej ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad PZS.
- Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
- Zabezpečenie procesu detekcie kybernetických bezpečnostných incidentov prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
- Súlad určených požiadaviek PZS na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu z vypracovanej stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonanej analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu.
Schéma po implementácii riešenia ( To Be ) :
4.1 Biznis vrstva
V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a výsledky auditu KB a celú problematiku KB komplexne.
Alternatíva 1 - Ponechanie súčasného stavu
Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov a ochranu informácií v súčasnom prostredí MLM a prevádzkovaných informačných systémov a zabezpečenie kybernetickej bezpečnosti ponechať v riešení existujúcich zmlúv SLA a interných kapacít MLM. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z. o KB. Rovnako dôjde k obmedzenému odstráneniu negatívnych zistení výsledkov auditu, dôsledkom čoho dôjde aj k podstatnému zvýšeniu rizika pre vznik bezpečnostných incidentov bez ich prípadnej včasnej eliminácie.
Alternatíva 2 – Implementácia opatrení v zmysle zistení auditu KB v podmienka MLM s plným externým zabezpečením služieb dohľadového centra
Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom resp. voči politicky motivovaným kampaniam. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tejto alternatívy dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.
Hlavné prínosy tejto alternatívy predstavuje:
- technické vybavenie, ktorým sa zabezpečí zvýšenie viditeľnosti a kvality zbieraných a vyhodnocovaných informácií z informačných systémov, zvýšenie miery automatizácie a rozsahu procesov životného cyklu kybernetických incidentov a s tým spojené zníženie chybovosti ľudského faktoru.
- personálne zabezpečenie je riešené externe na základe zmluvy SLA po implementácii projektu, čím sa zvýši spôsobilosť.
- procesná spôsobilosť zabezpečená vytvorením detailných postupov práce a dokumentácie, čím sa zabezpečí automatizácia a zníži chybovosť ľudského faktoru.
Alternatíva 3 – Implementácia opatrení v zmysle zistení auditu KB v podmienka MLM s externým zabezpečením služieb dohľadového centra počas testovacej prevádzky a následným prechodom zabezpečenia služieb dohľadového centra vlastnými kapacitami
Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom resp. voči politicky motivovaným kampaniam. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tejto alternatívy dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.
Hlavné prínosy tejto alternatívy predstavuje:
- technické vybavenie, ktorým sa zabezpečí zvýšenie viditeľnosti a kvality zbieraných a vyhodnocovaných informácií z informačných systémov, zvýšenie miery automatizácie a rozsahu procesov životného cyklu kybernetických incidentov a s tým spojené zníženie chybovosti ľudského faktoru.
- personálne zabezpečenie je riešené externe len počas implementácie projektu, čím sa zvýši spôsobilosť a následne sa ušetria finančné prostriedky nakoľko bude minimalizované využívanie externých kapacít poskytovaných tretími stranami.
- procesná spôsobilosť zabezpečená vytvorením detailných postupov práce a dokumentácie, čím sa zabezpečí automatizácia a zníži chybovosť ľudského faktoru.
4.2 Multikriteriálna analýza ( MCA )
Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele MLM, jeho požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.
Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)
Kritériá pre MCA
| KRITÉRIUM | ZDÔVODNENIE KRIÉRIA | OBČAN/ PODNIKATEĽ | Pracovník MLM | Samospráva MLM |
Biznis vrstva Stanovené alternatívy
| Kritérium A (KO) Kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti, Monitorovanie kritických informačných systémov | Nový systém by mal výrazne skvalitniť poskytovanie služieb kybernetickej ochrany pre IS v MLM. | X | X | X |
Kritérium B (KO) Zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov. | Automatizácia výkonu administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov. | X | X | X | |
Kritérium C (KO) Zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS. | Kvalitné a efektívne riadenie kybernetickej bezpečnosti sa dá zabezpečiť iba pomocou monitoringu štruktúrovaných informácií na základe ktorých sa dajú prijímať rýchle a kvalifikované rozhodnutia. | X | X | X | |
Kritérium D (KO) | Úspora finančných nákladov počas prevádzky nasadených opatrení |
|
| X |
Vyhodnotenie MCA
Zoznam kritérií | Alternatíva 1 | Spôsob dosiahnutia | Alternatíva 2 | Spôsob dosiahnutia | Alternatíva 3 | Spôsob dosiahnutia |
Kritérium A | nie | alternatíva 1 je zachovanie súčasného stavu bez realizácie projektu | áno | Implementáciou alternatívy 2 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpeč-nosti, Monitorovanie kritických informačných systémov. | áno | Implementáciou alternatívy 3 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpeč-nosti. Monitorovanie kritických informačných systémov. |
Kritérium B | nie | alternatíva 1 je zachovanie súčasného stavu bez realizácie projektu | áno | Implementácia alternatívy 2 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov. | áno | Implementácia alternatívy 3 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov. |
Kritérium C | nie | alternatíva 1 je zachovanie súčasného stavu bez realizácie projektu | áno | Implementáciou alternatívy 2 monitoringu štruktúrovaných informácií bude možné prijímať rýchle a kvalifikované rozhodnutia. | áno | Implementáciou alternatívy 3 monitoringu štruktúrovaných informácií bude možné prijímať rýchle a kvalifikované rozhodnutia. |
Kritérium D | nie | alternatíva 1 je zachovanie súčasného stavu bez realizácie projektu | áno | Poskytnutím externých služieb dohľadového centra dôjde k výraznému navýšeniu finančných prostriedkov MLM vynaložených pre tretie strany k zabezpečeniu prevádzky implemento-vaných opatrení | nie | Zabezpečením služieb dohľadového centra internými kapacitami nedôjde výraznému navýšeniu finančných prostriedkov MLM k zabezpečeniu prevádzky implementovaných opatrení |
Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 2 ako jediná, ktorá spĺňa všetky požiadavky.
4.3 Stanovenie alternatív v aplikačnej vrstve architektúry
Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 3. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
4.4 Stanovenie alternatív v technologickej vrstve architektúry
Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie bude prevádzkované čiastočne na HW infraštruktúre MLM a čiastočne na dodanej novej HW infraštruktúre a s úspešným uchádzačom bude podpísaná zmluva o dielo.
4.5 Technologická vrstva
4.5.1 Prehľad technologického stavu - AS IS
Súčasné riešenie dátovej infraštruktúry sa ukazuje byť ako nedostatočné z dôvodu zabezpečenie zvýšenej ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).
Rovnako ochrana dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení nezodpovedá súčasným potrebám.
4.5.2 Prehľad technologického stavu – TO BE
Dodávka FireWall -ového riešenia predstavuje ochranu dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad organizácie. Brána firewall predstavuje bariéru medzi dôveryhodnou a nedôveryhodnou sieťou, akou je napríklad internet. Implementácia dvoch úrovní FW umožní realizovať vertikálnu segmentáciu siete s ukončením segmentov na firewalloch podľa ich kategorizácie. Tiež zabezpečí zvýšenú ochranu pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).
Zároveň bude predstavovať vyššiu ochranu dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení. V konečnom dôsledku umožní optimalizáciu nákladov na udržateľnosť.
4.5.1 Návrh riešenia technologickej architektúry
Návrh riešenia technologickej architektúry zodpovedá schémam uvedeným v časti 4. Architektúra riešenia projektu
4.6 Návrh riešenia infraštruktúry
Návrh riešenia infraštruktúry zodpovedá popisom a schémam uvedeným častiach 3. Popis navrhovaného riešenia
a 4. Architektúra riešenia projektu.
4.7 Bezpečnostná architektúra
Popis súčasného stavu ( AS IS ) bezpečnostnej architektúry je popísaný v časti 4. Architektúra riešenia projektu
Popis budúceho stavu ( TO BE ) bezpečnostnej architektúry je popísaný v časti 4. Architektúra riešenia projektu
Navrhovanej bezpečnostná architektúra s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS, pre manipuláciu so samotnými dátami, alebo technické/technologické/personálne zabezpečenie samotnej výpočtovej techniky/HW vybavenia je v súlade s :
- Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe
- Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti
- Zákon č. 45/2011 Z.z. o kritickej infraštruktúre
- vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy
- vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
- vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
- Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Úrovne bezpečnosti a spôsob zabezpečenia aktív projektu na jednotlivých vrstvách architektúry (dôvernosť, dostupnosť a integrita) je popísaná v časti 4. Architektúra riešenia projektu
Uveďte požiadavky na realizáciu Bezpečnostného projektu sú spracované v projektovom zámere
Požiadavky na používateľské role, správu prístupov a správu aplikácie sú spracované v projektovom zámere.
5. Prevádzka a údržba
Prevádzka a údržba výstupov projektu sú spracované v projektovom zámere a časti 4. Architektúra riešenia projektu.
Prevádzka a údržba výstupov projektu nie sú predmetom ŽoNFP.
6. Požiadavky na personál
Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:
- Predseda RV PhDr. Michal Lavrík, PhD.
- Biznis vlastník Ing. Dušan Močarník
- Zástupca prevádzky Ing. Miroslav Berník
- Zástupca prevádzky Ing. Peter Veselovský
- Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
- Projektový manažér objednávateľa (PM) Ing. Jana Kormaníková
Zostavuje sa Projektový tím objednávateľa:
- kľúčový používateľ a IT architekt: Ing. Miroslav Berník
- kľúčový používateľ a IT architekt: Ing. Peter Veselovský
- manažér kybernetickej a informačnej bezpečnosti - Ing. Dušan Močarník
- Projektový manažér objednávateľa (PM) Ing. Jana Kormaníková
ID | Meno a Priezvisko | Pozícia | Oddelenie | Rola v projekte |
1. | Ing. Miroslav Berník | Referent | MLM oddelenie informatiky | kľúčový používateľ a IT architekt |
2. | Ing. Peter Veselovský | Referent | MLM oddelenie informatiky | kľúčový používateľ a IT architekt |
3. | Ing. Dušan Močarník | manažér kybernetickej a informačnej bezpečnosti | MLM oddelenie informatiky | manažér kybernetickej a informačnej bezpečnosti |
4. | Ing. Jana Kormaníková | vedúca oddelenia | MLM oddelenia projektového a energetického manažmentu | Projektový manažér |
Uvedený projektový tím, ktorí tvoria zamestnanci MLM a externí spolupracovníci je garanciou úspešnej realizácie projektu po zabezpečení jeho financovania na základe ŽoNFP v rámci výzvy.
6.1 PRACOVNÉ NÁPLNE
Projektová rola: | PROJEKTOVÝ MANAŽÉR (projektová rola bude obsadená a financovaná v rámci paušálnych výdavkov) |
Stručný popis: | ● zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa. ● zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia. ● zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka. |
Detailný popis rozsahu zodpovednosti, povinností a kompetencií | Zodpovedný za: ● Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z.z. o riadení projektov ● Riadenie prípravy, inicializácie a realizácie projektu ● Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii ● Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu ● Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu ● Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov ● Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 ● Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z. ● Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 401/2023 Z.z., Prílohy č.1 ● Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 na rokovanie RV ● Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí ● Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV) ● Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV ● Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte ● Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby ● Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV ● Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien ● Riadenie implementačných a prevádzkových aktivít v rámci projektov. ● Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov, ● Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie ● Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom, ● Dodržiavanie metodík projektového riadenia, ● Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV), ● Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr |
Odporúčané kvalifikačné predpoklady |
|
Poznámka |
|
Projektová rola: | IT ARCHITEKT |
Stručný popis: | ● zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi. ● vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia. ● zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia. |
Detailný popis rozsahu zodpovednosti, povinností a kompetencií | Zodpovedný za: ● Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu. ● Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení. ● Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu. ● Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu. ● Zodpovednosť za technické navrhnutie a realizáciu projektu. ● Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola. ● Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania. ● Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.) ● Vytvorenie požiadaviek na HW/SW infraštruktúru IS ● Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru ● Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS ● Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia, ● Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami ● Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry ● Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu ● Prípravu akceptačných kritérií ● Analýza nových nástrojov, produktov a technológií ● Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov ● Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS ● Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania ● Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných ● Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení ● Participáciu na výkone bezpečnostných testov, ● Participáciu na výkone UAT testov, ● Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa ● Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 ● Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu |
Odporúčané kvalifikačné predpoklady |
|
Poznámka |
|
Projektová rola: | KĽUČOVÝ POUŽIVATEĽ (end user) |
Stručný popis: | ● zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu. ● zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť. ● Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov |
Detailný popis rozsahu zodpovednosti, povinností a kompetencií | Zodpovedný za: ● Návrh a špecifikáciu funkčných a technických požiadaviek ● Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy ● Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, ● Špecifikáciu požiadaviek koncových používateľov na prínos systému ● Špecifikáciu požiadaviek na bezpečnosť, ● Návrh a definovanie akceptačných kritérií, ● Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania) ● Finálne odsúhlasenie používateľského rozhrania ● Vykonanie akceptačného testovania (UAT) ● Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov ● Finálny návrh na spustenie do produkčnej prevádzky, ● Predkladanie požiadaviek na zmenu funkcionalít produktov ● Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 ● Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu |
Odporúčané kvalifikačné predpoklady |
|
Poznámka |
|
Projektová rola: | MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB) |
Stručný popis: | ● zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti. ● koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB: 1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných. 2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle: a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov |
Detailný popis rozsahu zodpovednosti, povinností a kompetencií | Zodpovedný za: ● špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB, ● ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB, ● špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte, ● špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia, ● špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB, ● špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy, ● špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB, ● špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB, ● špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB, ● realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia ● špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu, ● špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu, ● špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies", ● špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte, ● špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“, ● špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“ ● špecifikáciu akceptačných kritérií za oblasť ITB a KIB, ● špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB, ● poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB, ● získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB, ● špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB, ● konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB, ● špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB, ● realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB ● realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí, ● realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí, ● realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB, ● realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB, ● realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek) ● realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti, ● poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB, ● získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB, ● aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 ● plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu |
Odporúčané kvalifikačné predpoklady |
|
Poznámka |
|
7. Implementácia a preberanie výstupov projektu
Výstupom projektu bude funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Zabezpečenie zavedenia systémových opatrení a zároveň vytvorenie predpokladov pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou týchto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tohto projektu dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov auditu KB v podmienka MLM.
Výstupom bude aj dodanie dokumentácie, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (BCM).
Realizácia projektu bude v zmysle vyhlášky ÚPVII č. 85/2020 Z. z. pozostávať z uvedených etáp:
- Analýza a dizajn,
- Nákup technických prostriedkov, programových prostriedkov a služieb
- Implementácia a testovanie,
- Nasadenie
Etapa | Požadované výstupy |
Analýza a dizajn | Úvodná správa (Projektový iniciálny dokument, ďalej ako „PID“) pre všetky funkčné oblasti - Zoznam požiadaviek - Akceptačné kritériá - Rámcová špecifikácia riešenia (Popis produktu, - Technologická architektúra – časť systémová architektúra - Bezpečnostná architektúra - Stratégia testovania - Plán testovania - Testovacie scenáre a prípady Detailná funkčná špecifikácia riešenia - detailný popis funkcionality a biznis požiadaviek, Detailná technická špecifikácia, pre všetky systémy samostatne - technická architektúra – časť fyzická architektúra - Plán testovania - Testovacie scenáre a prípady - Plán Implementácie |
Implementácia a testovanie | Implementácia: - Implementácia a integrácia systémov pre všetky funkčné oblasti samostatne - Úvodná konfigurácia systému podľa reálnych biznis procesov pre testovacie účely - Vybudovanie testovacieho prostredia, jeho nasadenie a oživenie diela pre všetky systémy a pre všetky funkčné oblasti samostatne - Implementácia procesov Testovanie: Zrealizovanie testovania minimálne v nasledovnom rozsahu: - Funkčné testy - Bezpečnostné testy - Záťažové testy - Používateľské akceptačné testovanie |
Nasadenie | Nasadenie do produkcie: - Príprava produkčného prostredia - Administratívna príprava produkčného prostredia (procesy, dokumentácia) - Inštalácia riešenia do produkčného prostredia - Sprístupnenie riešenia v produkčnom prostredí vybraným používateľom |
Predpokladaný harmonogram realizácie projektu
ID | FÁZA/AKTIVITA | ZAČIATOK (odhad termínu) | KONIEC (odhad termínu) | POZNÁMKA |
1. | Prípravná fáza a Iniciačná fáza | 9/2024 | 12/2024 | Podpísanie zmluvy o NFP Spustenie procesov VO |
2. | Realizačná fáza | 04/2025 | 10/2025 | Podpísanie zmlúv s dodávateľmi po ukončení VO |
2a | Analýza a Dizajn | 04/2025 | 05/2025 | Začiatok činnosti riadiaceho výboru a projektových tímov Odsúhlasenie detailného popisu funkcionality a požiadaviek riešenia |
2b | Nákup technických prostriedkov, programových prostriedkov a služieb | 04/2025 | 08/2025 |
|
2c | Implementácia a testovanie | 08/2025 | 10/2025 | Min. 2 mesiace test. prevádzky dohľadového centra |
2d | Nasadenie opatrení | 10/2025 | 11/2025 |
|
3. | Dokončovacia fáza | 11/2025 | 12/2025 | Akceptácia prevzatia predmetu zmlúv |
4. | Podpora prevádzky (SLA) | 12/2025 | 12/2026 | Možnosť obstarania SLA zmluvy pre dohľadové centrum |
Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám MLM.
Schéma metódy projektového riadenia:
8. Prílohy
Dokument neobsahuje prílohy.
Koniec dokumentu.