projekt_2533_Projektovy_zamer_detailný

Schvaľovanie dokumentu

1  HISTÓRIA DOKUMENTU

1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a v zmysle výzvy: Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, číslo výzvy: PSK-MIRRI-611-2024-DV-EFRR (ďalej len „výzva“), na základe ktorej má mesto Nové Zámky záujem podať žiadosť o nenávratný finančný príspevok (ďalej len ŽoNFP) bude obsahovať: manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov a tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznam rizík a závislostí (ako príloha projektového zámeru).

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

• Použité skratky a pojmy

• Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka IDxx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: Nxx

N – nefunkčná požiadavka (NFR) IDxx – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka IDxx – číslo požiadavky

3. DEFINOVANIE PROJEKTU

3.1 Manažérske zhrnutie

Jedným zo strategickým cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Súčasné kybernetické útoky nie sú už len fiktívnou hrozbou. Prostredníctvom nich sú ohrozované nielen súkromné spoločnosti, ale aj kritická infraštruktúra štátu. Nedostatky v zabezpečení ochrany informácií zvyšujú riziko straty dôvery v štát a znižujú reputáciu krajiny. Je preto nevyhnutné prijať dôsledné opatrenia na zabezpečenie bezpečnosti krajiny v tejto oblasti a ochranu nielen dôležitých informačných systémov, ale aj informácií, ktoré sú vo veľkej miere, v rámci implementácie efektívnej verejnej správy, teda aj v sektore „Verejnej správy" poskytované, ukladané a vymieňané v kybernetickom priestore. Zavedením správnych opatrení je možné minimalizovať riziká, ktoré kybernetický priestor prináša, a to hlavne:

• odcudzenie, zneužitie alebo strata dôvernosti a/alebo dostupnosti osobných a inak citlivých údajov,
• poškodenie dobrého mena,
• znefunkčnenie vybraných služieb, a ďalšie.

Mesto Nové Zámky (ďalej len Mesto) je ako poskytovateľ základnej služby (ďalej len PZS) zapísané do registra prevádzkovateľov základnej služby. Mesto teda musí splniť povinnosti vyplývajúce zo Zákona o kybernetickej bezpečnosti a taktiež musí plniť povinnosti, ktoré vyplývajú zo zákona o informačných technológiách verejnej správy.

Mesto  má zavedenú dokumentačnú a základnú procesnú časť v zmysle Zákona 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ZoKB) a Zákona 95/2019 o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len ZoITVS)., ale na zabezpečenie udržateľnosti a dotiahnutie procesov kybernetickej a informačnej bezpečnosti potrebuje implementovať potrebné nástroje, vypracovať detailné dokumenty a nastaviť ďalšie procesy. Vzhľadom na finančné možnosti mesta sa tento projekt javí ako jediná možnosť prostredníctvom, ktorej môže Mesto Nové Zámky v najbližších rokoch získať v potrebnom rozsahu nástroje a zaviesť procesy pre zabezpečenie súladu so zákonmi.

Projekt bude realizovaný s cieľom implementovať nevyhnutnú ochranu pred hrozbami v oblasti informačnej a kybernetickej bezpečnosti a zároveň zavedie dlhodobý systém riadenia informačnej bezpečnosti. Výsledkom realizácie projektu bude aktualizácia bezpečnostnej dokumentácie, implementácia next-generation firewall technológie a segmentácia siete,  nasadená pokročilá EDR technológia ochrany koncových bodov a nasadenie on premise riešenie LMS, nasadenie zálohovacieho riešenia, využitie externého SOC a vytvorenie funkcie Kybernetického manažéra. Systémy budú úzko naviazané na organizačné opatrenia v zmysle systému pre riadenie bezpečnostných incidentov a opatrení z neho vyplývajúcich.

Naplnením cieľov projektu bude zabezpečený súlad so stratégiou kybernetickej bezpečnosti Mesta ako poskytovateľa základnej služby a

jeho bezpečnostnými politikami.

Výsledky projektu zabezpečia :

 Detailný a spoľahlivý prehľad o bezpečnosti IT prostredia, ktoré je prevádzkované u PZS ( Mesto Nové Zámky ), na základe implementovaných opatrení a vyhodnocovacieho nástroja, ktorý je nevyhnutný na včasné reakcie na kybernetické bezpečnostné ohrozenia.

  Zabezpečenie vyššej ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad PZS.

 Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.

 Zabezpečenie procesu detekcie kybernetických bezpečnostných incidentov prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.

 Súlad určených požiadaviek PZS na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu z vypracovanej stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonanej analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu.

     Ciele projektu:

      Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

• Zvýšenie kvality organizácie KIB
• Zvýšenie kvality riadenia rizík KIB
• Zaznamenávanie udalostí a monitorovanie
• Riešenie kybernetických bezpečnostných incidentov
• Zabezpečenie bezpečnosti prevádzky IS asietí
• Zabezpečenie kontinuity prevádzky IS

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Zlepšenie úrovne kybernetickej bezpečnosti v meste Nové Zámky.

Cieľová skupina – interní zamestnanci mesta Nové Zámky, obyvatelia mesta Nové Zámky, podnikateľské subjekty a ostatné právnické osoby pôsobiace na území mesta Nové Zámky.  Realizáciou aktivít projektu dosiahne mesto Nové Zámky naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia ochrany údajov a elektronických dát, ktoré sú využívané mestom, jeho organizáciami, zamestnancami ako aj občanmi.

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

• súlad projektu so špecifickým cieľom: 2 (opatrenie 1.2.1)
• súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 26
• súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele:

PO095 / PSKPSOI12 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: 1 verejná inštitúcia (Mesto Nové Zámky)

   PR017 / PSKPRCR11 – Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 120 používateľov / zamestnanci Mesta

Predpokladaný rozpočet projektu (oprávnené priame výdavky) je: z PHZ 220.041,26 EUR s DPH

V prípade, že by malo mesto Nové Zámky investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

Sumarizácia hlavných parametrov hodnotenia predkladaného hodnotenia projektu:

3.2 Motivácia a rozsah projektu

Mesto Nové Zámky je právnickou osobou (IČO: 00309150) zapísanou v registri organizácií vedenom Štatistickým úradom Slovenskej republiky v zmysle § 3 ods. 1 písmena b) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, t.j. ide o subjekt vo verejnej správe, konkrétne územnej samospráve. Zároveň je mesto Nové Zámky zaradené v registri prevádzkovateľov základných služieb podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti“) v sektore Verejná správa (viď: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/), t.j. je poskytovateľom základnej služby (ďalej len PZS).

Z uvedeného vyplýva o.i. skutočnosť, že mesto Nové Zámky má povinnosť realizovať a financovať opatrenia kybernetickej a informačnej bezpečnosti (ďalej len KIB) definované najmä v zákonoch o kybernetickej bezpečnosti a v zákone 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ISVS“) a ďalších súvisiacich predpisoch.

Mesto ako správca a prevádzkovateľ informačného systému samosprávy je povinný okrem iného zaistiť aj primeranú ochranu spracúvaných informácií voči kybernetickým hrozbám aj v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Pri rozhodovaní o potrebe implementovaných opatrení v prostredí Mesta je potrebné zohľadniť fakt morálnej a fyzickej opotrebovanosti existujúcich bezpečnostných technológií. Na základe výsledkov vykonanej analýzy súladu s dotknutou legislatívou bol stanovený zoznam kľúčových aktív, bola vykonaná klasifikácia informácií a kategorizácia sietí a informačných systémov, boli identifikované možné hrozby, ako aj pravdepodobnosť ich výskytu. V kontexte už prijatých opatrení vznikli odporúčania, ktoré opatrenia je potrebné zaviesť, resp. modifikovať už existujúce tak, aby bola zabezpečená ochrana aktív v zmysle platnej legislatívy.

Zo záverečnej správy aktuálneho stavu IB a KyB vyplynula  potreba zavedenia mnohých opatrení, ktoré sa priebežne zavádzajú. Mnohé opatrenia už boli realizované, napríklad zavedenie prísnejších autentifikačných pravidiel, zabezpečenie priestorov dodatočnými prostriedkami fyzickej ochrany, výmena aktívnych prvkov siete a rekonfigurácia počítačovej siete.

Niektoré opatrenia si vyžadujú nemalé finančné zdroje a tie by sme chceli realizovať pomocou NFP z tohto projektu.

3.2.1 Hlavný popis problému

Mesto Nové Zámky má ku dňu spracovania tohto projektového zámeru realizovanú internú analýzu informačného systému a má spracované samohodnotenie. Na základe výsledkov bol stanovený zoznam kľúčových aktív, bola vykonaná klasifikácia informácií a kategorizácia sietí a informačných systémov, boli identifikované možné hrozby, ako aj pravdepodobnosť ich výskytu.

Celková úroveň riadenia kybernetickej bezpečnosti Mesta Nové Zámky v zmysle požiadaviek zákona o kybernetickej bezpečnosti a zavedených opatrení v zmysle vyhlášky 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) sú považované za čiastočne splnené. Mesto Nové Zámky ako poskytovateľ základnej služby vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.. Touto vyhláškou Národného bezpečnostného úradu sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Stratégia kybernetickej bezpečnosti obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z..

Zavedený proces klasifikácie informácií je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z interného auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oblastiach:

• Potreba aktualizácie a revízie a dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti, interných dokumentov a smerníc, ktoré nie sú v nej zapracované a potreba doplnenia identifikovaných zistení.
• Potreba vypracovania plánu kontinuity procesov a činností
• Potreba zvýšenia zabezpečenia sieťovej bezpečnosti na internej i externej úrovni.
• Za účelom detekcie bezpečnostných incidentov, postupov a reakcie pri kybernetických útokoch zaviesť nástroje na zber a analýzu bezpečnostných udalostí so službou SOC.
• Potreba kompletne zabezpečiť kontinuitu prevádzky, nakoľko prípadný čas potrebný na obnovenie základnej služby je neprimerane dlhý.

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

- organizácia KIB,

- riadenie rizík KIB,

- bezpečnosť pri prevádzke informačných systémov a sietí,

- hodnotenie zraniteľností a bezpečnostné aktualizácie,

- sieťová a komunikačná bezpečnosť,

- zaznamenávanie udalostí a monitorovanie,

- riešenie kybernetických bezpečnostných incidentov,

- kontinuita prevádzky.

Hlavným problémom, ktorému Mesto Nové Zámky ako PZS čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby pri najbližšom hodnotení kybernetickej bezpečnosti bol konštatovaný najvyšší možný súlad v oblasti príslušných predpisov KIB a súčasne, aby boli administratívne a technologické náležitosti KIB realizované tak, aby:

• reálne chránili informačné systémy (ďalej len „IS“), ktoré zabezpečujú prevádzku základnej služby pred kybernetickými útokmi,
• plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,
• boli pripravené na ďalší rozvoj informačný technológií (ďalej len „IT“) PZS.

3.2.2 Biznis procesy

Predmetom realizácie projektu bude zavedenie alebo aktualizácia a IT podpora nasledovných business procesov:

• Organizácia a riadenie rizík KIB
• Klasifikácia informácií a kategorizácia sietí a informačných systémov
• Riadenie aktív, hrozieb a rizík
• Riadenie prevádzky a ochrany siete Mesta Nové Zámky
• Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti
• Zabezpečovanie kontinuity prevádzky

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané Mestom Nové Zámky ako PZS, a ktoré sú realizované prostredníctvom informačných systémov Mesta Nové Zámky za účelom poskytovania základnej služby

3.2.3 Oblasti zamerania projektu

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS. Ako bude uvedené

ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy, ktoré sú určené na poskytovanie základnej služby Mesta Nové Zámky, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

3.2.4 Rozsah projektu

Realizácia projektu sa dotkne nasledovných ISVS prevádzkovaných na úrovni Mesta Nové Zámky:

• komplexný mestský informačný systém Korwin isvs_14143
• registratúrny systém Memphis isvs_14145
• webové sídlo mesta novezamky.sk isvs_14146
• e-mailový systém Microsoft Exchange Online isvs_14151
• systém pre stavebný úrad Vita isvs_14148
• geografický informačný systém GisPlan isvs_14149

    Realizácia projektu sa dotkne nasledovných subjektov:

• Mesta Nové Zámky ako PZS
• Interných zamestnancov Mesta Nové Zámky
• Občanov, podnikateľov a iných subjektov využívajúcich základné služby Mesta Nové Zámky
• IS externých subjektov, ktoré sú poskytované ako služba pre Mesto Nové Zámky

Zoznam jednotlivých komponentov projektu :

• Aktualizácia a dopracovanie bezpečnostnej dokumentácie
• Vypracovanie plánu kontinuity činností (BCM)
• Dodávka next generation firewall vrátanie licencií
• Dodaná pokročilá EDR technológia ochrany koncových bodov
• Dodávka logovacieho softvéru a hardvéru
• Dodávka zálohovacieho serveru a úložiska, vrátane zdrojov nepretržitého napájania
• Zabezpečenie bezpečnostného a prevádzkového monitoringu a SOC
• Vykonanie bezpečnostnej segmentácie lokálnej počítačovej siete
• Školenie pre zamestnancov IT oddelenia

Stručný popis komponentov, ktoré sú predmetom projektu :

1. Aktualizácia a dopracovanie bezpečnostnej dokumentácie

• Analýza rizík
• Klasifikácia informácií a kategorizácia informačných systémov
• Bezpečnostná stratégia kybernetickej bezpečnosti
• Bezpečnostná politika
• Riadenie aktív, hrozieb a rizík

1. Riadenie kontinuity činností (BCM)

• Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 z. a vyhlášky 362/2018 Z. z. (§17), v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie v súvislosti s implementovanými opatreniami KB. Kontinuita činností musí obsahovať minimálne:

 plán kontinuity na stanovenie požiadaviek a zdrojov,

 plán reakcie na incidenty a plány havarijnej obnovy prevádzky,  scenáre udalostí s negatívnym vplyvom na činnosti organizácie,  postupy zálohovania a obnovy siete a informačných systémov,  politiku a ciele kontinuity,

 metodiku analýzy funkčných dopadov,

 stratégiu riadenia kontinuity vrátane evakuačných postupov,  plán údržby a kontroly BCM.

1. Dodávka next generation firewall vrátanie licencií

V rámci projektu budú dodané dva firewally najnovšej generácie vrátanie licencií zapojené v režime vysokej dostupnosti (HA) zabezpečujúcich oddelenie internej siete od internetu, monitoring a filtráciu kompletného toku dát medzi nimi. Budú poskytovať pokročilú ochranu siete a aplikácií pred škodlivou prevádzkou a hrozbami z internetu.  Zariadenia budú poskytovať pokročilé funkcie ako hĺbková inšpekcia sieťovej prevádzky, detekcia a prevencia hrozieb (IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam Service),

1. Dodaná pokročilá EDR technológia ochrany koncových bodov

Ochrana koncových bodov musí detegovať a blokovať škodlivý softvér v reálnom čase, vrátane vírusov, červov, trójskych koní, spyware, ransonwéru, Adware a rootkitov. Technológia bezpečnosti koncových bodov musí zahŕňať technológiu založenú na správaní, poskytovanie signatúr pre známe hrozby, prístup založený na detekcii zraniteľnosti, heuristike, sandboxingu. Bude dodaný EDR nástroj na identifikáciu nezvyčajného správania a útokov, vyhodnocovanie rizík, riešenie incidentov, skúmanie a odstraňovanie problémov. V reálnom čase monitoruje a vyhodnocuje všetky aktivity v sieti. Kompletná správa koncových zariadení bude vykonávaná z jednej konzoly.

1. Dodávka logovacieho softvéru a hardvéru

Realizácia projektu zabezpečí dodávku a implementáciu systému pre centralizované ukladanie a správu logov s integrovaným systémom analýzy a riešenia bezpečnostných udalostí/incidentov zo systémov a aplikácií žiadateľa. Systém bude vykonávať správu protokolov udalostí (logov), poskytujúci jednoduché zobrazenie všetkých strojovo generovaných dát, zhromažďovanie, unifikáciu a dlhodobé uchovávanie protokolov udalostí a záznamov o udalostiach z aktívnych sieťových prvkov, bezpečnostných zariadení, operačných systémov a aplikačného softvéru v sieti Mesta Nové Zámky. Ukladanie a zhromažďovanie dát musí prebiehať „takmer reálnom čase“ (near real-time) do definovanej výkonnej databázy, ku ktorej môžu IT špecialisti pristupovať prostredníctvom preddefinovaných riadiacich panelov a štruktúrovaného i fulltextového vyhľadávania s grafickým zobrazením výsledkov. Systém obsahuje základné SIEM funkcie, ako sú upozornenia s limitmi a jednoduché korelácie. Súčasťou dodávky je kompletný hardvér a softvér na on premise prevádzku.

1. Dodávka zálohovacieho serveru a úložiska, vrátane zdrojov nepretržitého napájania

Zálohovací server bude zálohovať dáta jednotlivých užívateľov a databázy informačných systémov s dennou periodicitou.

Archívne úložisko bude slúžiť na dlhodobé uchovávanie kriticky dôležitých dát a bude umiestnené v geograficky vzdialenej lokalite a pripojené optickým pripojením do siete úradu. Úložisko a zálohovací server  bude napájané zo zdroja nepretržitého napájania (UPS),

1. Zabezpečenie bezpečnostného a prevádzkového monitoringu a SOC

Bezpečnostný a prevádzkový monitoring bude dohliadať, aby informačné systémy, sieťová infraštruktúra a napájanie fungovali v  nastavených štandardných parametroch. Pokiaľ dôjde k odchýlke od nastavených parametrov alebo neštandardnému správaniu informačných systémov alebo infraštruktúry bude to automaticky reportované zodpovedným osobám. SOC bude dohliadať nad kompletnou infraštruktúrou a proaktívne reagovať na možné ohrozenia štandardnej prevádzky informačných systémov.

1. Vykonanie bezpečnostnej segmentácie lokálnej počítačovej siete

Segmentácia siete je najdôležitejšia časť ochrany podnikovej siete pre zníženie rizika úniku, alebo poškodenia dát pri úspešnom prieniku do siete. Cieľom je veľmi sťažiť pohyb útočníka v rámci siete a zabrániť mu tak v prístupe k získaniu oprávnení  a zneužitiu kritických služieb pre podnik. Na na firewalle budú  vytvorené sieťové rozhrania, ktoré budú bránou pre daný segment a zaradené do patričnej bezpečnostnej zóny. Každá bezpečnostná zóna bude plniť svoju logickú úlohu a komunikácia medzi zónami bude striktne riadená.

1. Školenie pre zamestnancov IT oddelenia

Zamestnanci oddelenia informatiky mestského úradu, ktorý administrujú informačné systémy, budú zaškolení na dodanú technológiu.

3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu

Hlavnou motiváciou je realizácia opatrení KIB na zabezpečenie bezproblémovej a neprerušovanéj prevádzky informačných systémov mestského úradu, zabezpečujúcich obsluhu interných a externých klientov. V neposlednom rade mesto chce spĺňať ustanovenia definované v zákone o kybernetickej bezpečnosti, v zákone o ISVS a v príslušných vyhláškach. Vďaka realizácii týchto opatrení budú IS Mesta Nové Zámky (a to primárne najmä tie, ktoré zabezpečujú prevádzku základnej služby) chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na poskytovanie základnej služby a prevádzku IS Mesta Nové Zámky nasledovný dopad:

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti, s vyhláškou 362/2018 Z. z. a so zákonom o ISVS.

Obmedzenia projektu:

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

3.3 Zainteresované strany/Stakeholder

• Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“) Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická a informačná bezpečnosť.

Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade sním je aj nižšie citovaný strategický cieľ.

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

4.1 Dôveryhodný štát pripravený na hrozby.

V definícii tohto strategického cieľa uvádza, cit:

„Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov.

Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

Všetky ciele projektu sú v súlade s vyššie uvedenými strategickými dokumentmi:

Ciele projektu

• Merateľné ukazovatele (KPI)

• Špecifikácia potrieb koncového používateľa

Z pohľadu Mesta Nové Zámky je koncovým používateľom IT oddelenie a sekundárne zamestnanci Mesta, občania, podnikateľské subjekty pôsobiace na území mesta, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS mesta a tým sa de facto znefunkční poskytovanie základnej služby Mesta Nové Zámky. Z výsledkov samohodnotenia a internej analýzy informačního systému vyplynuli definície potrieb a požiadaviek na realizáciu opatrení KIB, v ktorých Mesto ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z. Ide o:

• Potreba aktualizácie a revízie existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti, interných dokumentov a smerníc a  potreba doplnenia dokumentácie na základe identifikovaných zistení v zmysle vykonanej analýzy KIB.
• Potreba zvýšenia zabezpečenia sieťovej bezpečnosti na internej i externej úrovni.
• Za účelom detekcie bezpečnostných incidentov, postupov a reakcie pri kybernetických útokoch zaviesť nástroje na zber a analýzu bezpečnostných udalostí so službou SOC.
• Potreba kompletne zabezpečiť kontinuitu prevádzky, nakoľko prípadný čas potrebný na obnovenie základnej služby je neprimerane dlhý.

Podrobne boli špecifikované požiadavky na realizáciu v rámci prieskumu trhu na realizáciu opatrení nasledovne:

1. Aktualizácia a dopracovanie bezpečnostnej dokumentácie
2. Vypracovanie plánu kontinuity činností (BCM)
3. Dodávka next generation firewall vrátanie licencií
4. Dodávka tokenov pre dvojfaktorovú autentizáciu
5. Dodávka logovacieho softvéru a hardvéru
6. Dodávka zálohovacieho serveru a úložiska, vrátane zdrojov nepretržitého napájania
7. Zabezpečenie bezpečnostného a prevádzkového monitoringu a SOC
8. Vykonanie bezpečnostnej segmentácie lokálnej počítačovej siete
9. Školenie pre zamestnancov IT oddelenia

1. Aktualizácia a dopracovanie bezpečnostnej dokumentácie

• aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
• vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;
• identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
• riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
• vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.
• vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;
• zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, zaznamenávania bezpečnostných záznamov a zaznamenávania a vyhodnocovania prevádzkových záznamov;

1. Vypracovanie plánu kontinuity činností (BCM)

Vypracovanie kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17), Kontinuita činností musí obsahovať minimálne:

• plán kontinuity na stanovenie požiadaviek a zdrojov,
• plán reakcie na incidenty a plány havarijnej obnovy prevádzky, scenáre udalostí s negatívnym vplyvom na činnosti organizácie,
• postupy zálohovania a obnovy siete a informačných systémov, politiku a ciele kontinuity,
• metodiku analýzy funkčných dopadov,
• stratégiu riadenia kontinuity vrátane evakuačných postupov, plán údržby a kontroly BCM.

1. Dodávka next generation firewall vrátanie licencií

Minimálne požiadavky pre NG FW:

• Porty: 1x USB Management Port, 1x Console Port, 2x 10/5/2.5/ GE RJ45 or 10GE/GE SFP+/SFP Shared Media Ports, 8 x GE RJ45 Internal Ports,
• Firewall Throughput (1518 / 512 / 64 byte UDP packets) - 28 / 28 / 27.9 Gbps
• Firewall Latency (64 byte UDP packets) - 3.23 μs
• Firewall Throughput (Packets Per Second) - 41.85 Mpps
• Concurrent Sessions (TCP) - 1.5 M
• New Sessions/Second (TCP) - 124 000
• Firewall Policies - 5000
• IPsec VPN Throughput (512 byte) – 25 Gb
• Gateway-to-Gateway IPsec VPN Tunnels - 200
• Client-to-Gateway IPsec VPN Tunnels – 2500
• SSL-VPN Throughput - 1.4 Gbps
• SSL Inspection Throughput (IPS, avg. HTTPS) 2.6 Gbps
• SSL Inspection CPS (IPS, avg. HTTPS) 1400
• SSL Inspection Concurrent Session (IPS, avg. HTTPS) 300 000
• Application Control Throughput (HTTP 64K) 6.7 Gbps
• Maximum Number of FortiTokens 500
• High Availability Configurations - Active-Active, Active-Passive, Clustering
• Interné úložisko 1 x 120 GB SSD
• Vlastný free klient na VPN pripojenie
• Minimálny možný počet tokenov na viacfaktorové overovanie VPN prístupu - 500
• High Availability Configurations - Active-Active, Active-Passive, Clustering
• Existencia Endpoint klienta toho istého výrobcu spolupracujúceho s NGFW
• Redundantný zdroj napájania, External DC Power Adapters, 80Plus Compliant
• Licencia Unified Threat Protection - IPS, Advanced Malware Protection, Application Control, Web & Video Filtering, Antispam Service, and 24x7 FortiCare

1. Dodaná pokročilá EDR technológia ochrany koncových bodov

Minimálne požiadavky na riešenie bezpečnosti koncových bodov:

• Centrálna konzola s možnosťou on premise/cloud
  • Moderná ochrana koncových zariadení - ochrana pred ransomvérom, blokovanie cielených útokov, predchádzanie únikom údajov, zastavenie bezsúborových útokov, detekcia pokročilých pretrvávajúcich hrozieb
  • Strojové učenie
  • Hĺbková analýza správania
  • Proaktívna ochrana pred novovzniknutými hrozbami
  • Cloudový sandbox
• Ochrana serverov
• Ochrana pred mobilnými hrozbami
• Šifrovanie celého disku
• Pokročilá ochrana pred hrozbami
• Ochrana cloudových aplikácií
• Ochrana e‑mailových serverov
• Vulnerability & Patch Management
• Rozšírená detekcia a reakcia (XDR)
• Dvojfaktorová autentifikácia

1. Dodávka logovacieho softvéru a hardvéru

Minimálne požiadavky pre logovací softvér a hardvér:

• Riešenie „všetko v jednom“ - Server, OS, Databáza aj Aplikácie
• Centrálne úložisko strojových dát organizácie a ich analýza
• Systém má prijímať a spracováva logy, udalosti a ďalšie strojovo generované dáta prostredníctvom minimálne nasledujúcich protokolov: UDP/TCP 514 (SYSLOG), TCP 20514 (RELP, nešifrovane) a TCP 20515 (RELP, šifrovane)
• Systém musí umožňovať zber udalostí vo formátoch RAW, Syslog, CEF, LEEF, JSON RFC7159
• Zjednotenie formátu ľubovoľných dát do definovanej štruktúry
• Spracovanie, vizualizácia aj upozornenie v reálnom čase
• Rýchle prehľadávanie dát bez nutnosti znalosti SQL jazyka
• SIEM/XDR funkcie, upozornenie s limitmi a koreláciami
• Unikátne grafické konfiguračné a programovacie rozhranie
• Radikálna jednoduchosť a užívateľská prívetivosť
• Jednoduché vytváranie reportov a auditných správ za behu
• Bez licenčných obmedzení na zdroje, výkon aj uložené dáta
• Úspora na poplatkoch pri napojení na externú SOC
• Trvalé spracovanie viac ako 2 000 udalostí za sekundu (EPS – očakávané množstvo udalostí za sekundu, log mix s RAW veľkosťou logov priemerne 700 Bytov)
• Špičkové spracovanie viac ako 4 000 udalostí za sekundu /10 min (EPS – očakávané množstvo udalostí za sekundu, log mix s RAW veľkosťou logov priemerne 700 Bytov)
• Retencia logov pri 1000 EPS – 230 dní (log mix s RAW veľkosťou logov priemerne 700 Bytov)
• Kapacita databázy logov 12 TB
• Možnosť horizontálneho aj vertikálneho škálovania
• Podpora veľkého množstva zdrojových zariadení, OS a aplikácií
• Centrálne riadený klient pre zber logov z MS Windows
• Integrované rozšírenie bezpečnostných udalostí v prostredí MS
• Jednoduchá integrácia s externým SOC alebo SIEM/EUBA systémami
• Rýchle nasadenie a ľahké zaškolenie pre bežné operácie
• Rozhranie aj kompletná dokumentácia v slovenskom jazyku
• Priama technická podpora výrobcom
• HW appliance v rackovom prevedení s 1U, vrátane ramena pre organizáciu zapojených káblov umožňujúceho vysunutie zapnutého systému z racku pre servisné účely
• HW appliance musí obsahovať všetky potrebné komponenty a musí byť nezávislá na ďalších systémoch
• Minimálne parametre HW appliance:
• 1 procesor, 16 jadier s podporou HyperThreadingu
• Min. 64GB RAM DDR-4
• Diskový subsystém s čistou dostupnou kapacitou min. 12TB pre integrovanú databázu
• HW akcelerovaný SAS RAID radič s read-write cache min. 8GB umožňujúci zapojenie RAID 5
• Min. 4 ks rovnakých RAID edition diskov určených pre použitie v datacentrách, s rýchlosťou 7200 otáčiek/m
• Min. 4x 1Gbit LAN porty + 1x dedikovaný 1Gbit port pre management HW
• Redundantné ventilátory, vymeniteľné za chodu
• Napájacie zdroje s redundanciou 1+1, vymeniteľné za chodu, účinnosť min. 94%
• Virtuálne KVM, tj. prevzatie textovej i grafickej konzoly serveru a prenos povelov z klávesnice a myši vzdialeného počítača
• Systém pre vzdialenú správu serveru vrátane potrebnej licencie
• Dual port SFP+ LAN card
• Podpora na HW NBD RMA

1. Dodávka zálohovacieho serveru a úložiska, vrátane zdrojov nepretržitého napájania

Minimálne požiadavky na zálohovací server:

• DELL PowerEdge R760 Server
• 5" Chassis with up to 16 SAS/SATA Drives, Smart Flow, Front PERC 11, 1 CPU
• Procesor Intel Xeon Gold 6526Y 2.8G, 16C/32T, 20GT/s, 37.5M Cache, Turbo, HT (195W) DDR5-5200
• Pamäť 8 x 64GB RDIMM, 5600MT/s, Dual Rank
• Radič RAID PERC H755 SAS Front
• Pevný disk 2 x 480GB SSD SATA Read Intensive 6Gbps 512 2.5in Hot-plug AG Drive, 1 DWPD
• Pevný disk 14 x 1.2TB Hard Drive ISE SAS 12Gbps 10k 512n 2.5in Hot-Plug
• Zdroj napájania Dual, Hot-Plug, Power Supply, 700W MM HLAC (ONLY FOR 200-240Vac) Titanium, Redundant (1+1)
• OCP 3.0 Network Adapters Broadcom 57414 Dual Port 10/25GbE SFP28, OCP NIC 3.0
• Additional Network Cards Broadcom 5720 Dual Port 1GbE LOM
• Licencia na iDRAC
• Operačný systém Windows Server 2022 Standard,16CORE,FI,No Med,No CAL, Multi Language
• Licencie klientskeho prístupu 120 x Windows Server 2022/2019 User CALs

Minimálne požiadavky na archívne úložisko:

• Synology RS1221RP+ Rack Station
• Výkonné 8 šachtové rackové riešenie sieťového úložiska 2U
• procesor AMD RyzenTM V1500B, štvorjadrový 2,2 GHz
• Paměť 4 GB DDR4 ECC SODIMM (rozšiřitelná až na 32 GB)
• Pevný disk 8 x 3,5" SATA HDD HAT5310-8T, vymeniteľné za prevádzky
• Externý port 2 x port USB 3.0; 1 x eSATA
• Sieťová karta 4 x 1GbE (RJ-45)
• Pridaná sieťová karta Synology 10GbE SFP+
• Sada ližin Synology RKM114 (sada pevných ližin)
• Redundantní napájení
• Možnosť rozšírenia diskovej kapacity
• Záruka 3 roky na pole, 5 rokov na disky

Minimálne požiadavky na zdroj neprerušovaného napájania – typ 1:

• APC SRT5KXLI
• Ochrana napájania online s vysokou hustotou a skutočnou dvojitou konverziou a sinusoidou
• Typ Tower
• Výstupný výkon 4500W / 5000VA
• Vstupné napätie 230V (220, 240)
• Výstupné napätie 230V (220, 240), 50/60 Hz +/-3 Hz
• Výstupy 6x C13, 4x C19, 2x IEC Jumpers
• Typ batérie: bezúdržbová olovená uzavretá batéria so suspendovaným elektrolytom
• Možnosť rozšírenia o batériový modul
• Port rozhrania: oddelenie kontaktov, RJ-45 10/100 Base-T konektor, RJ-45 Serial, Smart-Slot (Smart Socket), USB
• Ovládací panel: multifunkčná stavová a ovládacia konzola LCD

Minimálne požiadavky na zdroj neprerušovaného napájania – typ 2:

• APC SRT2200RMXLI
• Ochrana napájania online s vysokou hustotou a skutočnou dvojitou konverziou a sinusoidou
• Typ rack
• Výstupný výkon 1980W / 2200 VA
• Vstupné napätie 230V (220, 240)
• Výstupné napätie 230V (220, 240), 50/60 Hz +/-3 Hz
• Výstupy 8x C13, 2x C19, 2x IEC Jumpers
• Typ batérie: bezúdržbová olovená uzavretá batéria so suspendovaným elektrolytom
• Možnosť rozšírenia o batériový modul
• Port rozhrania: RJ-45 10/100 Base-T konektor, RJ-45 Serial, Smart-Slot (Smart Socket), USB
• Ovládací panel: multifunkčná stavová a ovládacia konzola LCD

1. Zabezpečenie bezpečnostného a prevádzkového monitoringu a SOC

Minimálne požiadavky na bezpečnostný a prevádzkový monitoring:

• Monitoring bude zabezpečovaný ako služba od externého dodávateľa
• Monitorované entity: fyzické servery, virtuálne servery, firewally, kritické sieťové prvky, teplota a vlhkosť v serverovni, SQL server, webové stránky, záložné zdroje (UPS)
• Neustále sledovanie IT prostredia v režime 24x7
• Pravidelné reportovanie stavu infraštruktúry na mesačnej báze
• Okamžité reportovanie problémov a incidentov na definovanú e-mailovú adresu Objednávateľa
• Okamžité reportovanie kritických, užívateľom definovaných problémov a incidentov formou SMS na tri mobilné čísla napr. nefunkčnosť servera, reštart servera, nedostatok voľného diskového priestoru
• Okamžité riešenie problémov, incidentov v závislosti od definovanej úrovne služby
• Súčasťou služby je aj nasadenie potrebných technológií a hardvéru zabezpečujúce monitorovanie v prostredí objednávateľa
• Monitorovanie serverov bez ohľadu či je virtuálny alebo fyzický a bez ohľadu na platformu a operačný systém:
• základné informácie ako boot time, uptime, hostname, system information, host local time
• CPU (vyťaženie, teplota)
• súborový systém (celkový, použitý a voľný diskový priestor)
• sieťová komunikácia na každý interface samostatne – pokiaľ to zariadenie umožňuje
• procesy
• stav agenta ako agent ping, hostname, verzia agenta
• Monitorovanie firewallov a sieťových prvkov:
• základné informácie ako hostname, IP adresa, location, uptime, firmware verzia
• sieťové informácie ako ping loss, ping status, rýchlosť komunikácie, stav komunikačných portov, chybové pakety
• Meranie teploty a vlhkosti v miestnosti serverov:
• nie teploty a vlhkosti v miestnosti serverov, reportovanie prekročenia medzných hodnôt
• Monitorovanie SQL servera:
• dostupnosť
• Monitorovanie webových stránok
• dostupnosť
• Monitorovanie záložných zdrojov
• informácie o zariadení ako hostname, status, firmware verzia, systémové informácie
• input/output power, input/output voltage, input/output frequency
• output load
• stav batérií
• last test status
• výpadok napájania

Minimálne požiadavky na SOC:

• Security Operations Center – SOC bude zaisťovať komplexnú centralizáciu riadenia bezpečnostných udalostí a incidentov, s cieľom minimalizovať reakčnú dobu na incident a škody z nej vyplývajúce
• Poskytovanie služby externým dodávateľom v režime 8/5
• Pomocou dát z logovacieho systému a bezpečnostného a prevádzkového monitoringu budú operátori SOC nepretržite (8/5) monitorovať bezpečnostné incidenty
• Detekcia - identifikuje sa, prípadne sa príjme, notifikácia o potenciálne škodlivom chovaní v chránenej infraštruktúre
• Analýza  - určí sa, či sa jedná o bezpečnostnú udalosť alebo o bezpečnostný incident, ktorý môže mať negatívny dopad na nami chránenú infraštruktúru – analýza
• Investigácia  - cieľom skúmania daného bezpečnostného incidentu bude zistiť konkrétne dopady a cestu, ktorou sa útočníkovi podarilo preniknúť do infraštruktúry v maximálnom časovom rozsahu predplatených hodín a vo funkčnom rozsahu bezpečnostného a prevádzkového monitoringu.

              Služby nad rámec predplatených hodín budú spoplatnené podľa dohody, vždy po vzájomnom odsúhlasení zmluvnými stranami.

• Reakcia  - okamžitou reakciou sa minimalizuje dopad bezpečnostných incidentov
• Návrh nápravných opatrení

1. Vykonanie bezpečnostnej segmentácie lokálnej počítačovej siete

• Analýza topológie siete a dátovej prevádzky, identifikácia počtu a druhov aktívnych bodov v sieti.
• Analýza a návrh IP adresného plánu.
• Kategorizácia zariadení do jednotlivých VLAN – segmentov.
• Konfigurácia firewall-ov vo vysokej dostupnosti (HA).
• Vytvorenie sieťových rozhraní a bezpečnostných zón na firewalle.
• Analýza súčasných NAT pravidiel
• Analýza a konfigurácia pravidiel medzi jednotlivými internými sieťami
• Analýza a konfigurácia pravidiel medzi internými sieťami a internetom
• Konfigurácia site-to-site VPN spojení (IPSec)
• Konfigurácia remote access VPN spojení (SSL VPN)
• Konfigurácia VLAN na switchoch
• Testovanie a riešenie problémov
• Aktualizácia firmvérov aktívnych prvkov
• Dokumentácia

1. Školenie pre zamestnancov IT oddelenia

Zamestnanci oddelenia informatiky mestského úradu, ktorý administrujú informačné systémy, budú zaškolení na dodanú technológiu, konkrétne firewall a logovací systém.

Predpokladaný rozsah školení vybraných pracovníkov v počte max 3 počas min. 14 hodín.

3.6 Riziká a závislosti

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

3.7 Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a celú problematiku KB komplexne.

1.   Alternatíva: Ponechanie súčasného stavu

Alternatíva znamená nerealizovanie projektu, to zn. nerealizovanie zistení a nápravných opatrení vyplývajúcich z internej analýzy informačného systému a zo samohodnotenia kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

2.   Alternatíva: Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení z internéj analýzy informačného systému a zo samohodnotenia KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

3.   Alternatíva: Plnohodnotná realizácia opatrení kybernetickej bezpečnosti

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci interného auditu a samohodnotenia kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

3.8 Multikriteriálna analýza

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele Mesta Nové Zámky, jeho požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

Kritériá pre MCA

Vyhodnotenie MCA

Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 3 ako jediná, ktorá spĺňa všetky požiadavky.

3.9 Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného internej analýzy a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni mesta, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

3.10 Stanovenie alternatív v technologickej vrstve architektúry

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 3 na základe MCA. Riešenie bude prevádzkované čiastočne na HW infraštruktúre Mesta a čiastočne na dodanej novej HW infraštruktúre a s úspešným uchádzačom bude podpísaná zmluva o dielo.

4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Zabezpečenie zavedenia systémových opatrení a zároveň vytvorenie predpokladov pre včasné reakcie na kybernetické útoky a hrozby. Realizáciou týchto opatrenií sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Realizáciou tohto projektu dôjde k naplneniu predpokladov pre odstráneniu negatívnych zistení výsledkov interného auditu KB v podmienka Mesta Nové Zámky.

   Výstupom projektu budú:

• projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
• vytvorená, aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.
• nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu:

    Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

Realizácia projektu bude v zmysle vyhlášky ÚPVII č. 85/2020 Z. z. pozostávať z uvedených etáp:

• Analýza a dizajn
• Nákup technických prostriedkov, programových prostriedkov a služieb
• Implementácia a testovanie,
• Nasadenie

5. NÁHĽAD ARCHITEKTÚRY

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z interného auditu a vykonaného samohodnotenia kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

Schéma navrhovaného riešenia:

6. LEGISLATÍVA

Projekt nepredpokladá potrebu legislatívnych zmien pre naplnenie cieľov a dodanie výstupov projektu. V tejto kapitole sú vymenované legislatívne normy, ktoré sa týkajú informačných systémov verejnej správy. Zoznam neobsahuje usmernenia a technické predpisy. Zoznam legislatívnych noriem v tomto dokumente iba orientačný.

Zákon Národnej rady Slovenskej republiky č. 145/1995 Z. z. o správnych poplatkoch v znení neskorších predpisov, Zákon č. 71/1967 Zb. o správnom konaní (správny poriadok) v znení neskorších predpisov.

Zákony a vyhlášky týkajúce sa eGovernmentu:

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe

Vyhláška ÚPVII č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy Zákon č. 540/2001 Z. z. o štátnej štatistike

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)

Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii)

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti Vyhláška ÚPVII č. 85/2020 Z. z. o riadení projektov

Zákon č. 275/2006 Z. z. o informačných systémoch verejnej správy,

Výnos č. 55/2014 Z. z. o štandardoch pre informačné systémy verejnej správy,

Výnos č. 478/2010 Z. z. o základnom číselníku úsekov verejnej správy a agend verejnej správy,

Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e- Governmente),

Vyhláška MF SR č. 275/2014 Z. z. o zaručenej konverzii. Zákon č. 215/2002 Z. z. o elektronickom podpise,

Výnos MV SR č. 525/2011 Z. z. o štandardoch pre elektronické informačné systémy na správu registratúry, Zákon č. 125/2015 Z. z. o registri adries a o zmene a doplnení niektorých zákonov,

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy (dostupným na https://www.mirri.gov.sk/sekcie/oddelenie-behavioralnych-inovacii

/jednotny-dizajn-manual-elektornickych-sluzieb-verejnej-spravy/index.html )

Metodické pokyny, usmernenia a príručky zverejnené na https://metais.vicepremier.gov.sk/help.

Pri tvorbe, vývoji a implementácii diela dodržiavať bezpečnostné požiadavky špecifikované v Metodike pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (dostupná na https://www.csirt.gov.sk/wp-content/uploads/2021/08/MetodikaZabezpeceniaIKT_v2.1.pdf? csrt=3181741314547744407 ),

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 546/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 547/2021 Z. z. o elektronizácii agendy verejnej správy

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Ako metóda riadenia projektu bude použitá metóda „Waterall“. Táto metóda sa ukázala byť ako najvhodnejšia nakoľko svojimi charakteristikami a možnosťami plne zodpovedá požiadavkám a predstavám Mesta Nové Zámky

Schéma metódy projektového riadenia:

8. ROZPOČET A PRÍNOSY

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

Rozpočet projektu – položkový:

Sumarizácia nákladov a prínosov

Vzhľadom na obsah projektu a definované ciele projektu /oblasť kybernetickej a informačnej bezpečnosti/ je pomerne náročné jednoznačne kvantifikovať

návratnosť realizovanej investície. Realizované náklady primárne prispejú k zabezpečeniu poskytovania základnej služby, k minimalizovaniu zraniteľnosti

systémov Mesta a zvýšeniu ochrany MsÚ. Z pohľadu návratnosti je však možné zdôrazniť hodnotenie možných škôd, ktoré by vznikli v prípade, že nebude vhodne riešená oblasť kybernetickej a informačnej bezpečnosti na úrovni PZS.

Jedná sa o nasledovné škody v závislosti na daných rizikách:

Reputačné riziko - v prípade neplnenia legislatívnych požiadaviek v zmysle Zákona o kybernetickej bezpečnosti a Zákona o ISVS a následného výpadku prevádzky základnej služby, či prípadného úniku citlivých a osobných údajov v kombinácii s prípadnou medializáciou je toto riziko pomerne vysoké v nadväznosti na zákonné povinnosti Mesta Nové Zámky.

Finančné riziko /externé/- súvisí s možnými sankciami, pokutami vyplývajúce priamo z legislatívnych rámcov v rámci prípadných súdnych sporov, napr. pri úniku osobných údajov v súvislosti s kybernetickým útokom na Mesto Nové Zámky. Výšku finančných sankcií/pokút nie je možné jednoznačne vyčísliť, keďže je závislá od rozsahu uniknutých informácií a ďalších faktorov. Môže však dôjsť k výraznému zaťaženiu rozpočtu Mesta Nové Zámky.

Finančné riziko /interné/- súvisí s výpadkom poskytovania základnej služby, kedy zamestnanci úradu nebudú schopní pracovať so systémami mesta a zabezpečovať poskytovanie základnej služby. Celková strata v prípade výpadku poskytovania základne služby na úrovni straty miezd zamestnancov je závislá na dĺžke výpadku poskytovania základnej služby.  

9. PROJEKTOVÝ TÍM

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

• Predseda RV - Mgr. art. Otokar Klein, ArtD.
• Biznis vlastník – (doplní sa na základe personálneho výberu)
• Zástupca prevádzky – Ing. Vladimír Vrzák
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektová manažérka – Ing. Nikoleta Záležáková

Zostavuje sa Projektový tím objednávateľa (PM)

• kľúčový používateľ,
• IT analytik,
• IT architekt,
• biznis vlastník,
• manažér kybernetickej a informačnej bezpečnosti,
• projektový manažér/ka

Uvedený projektový tím, ktorí tvoria zamestnanci Mesta Nové Zámky je garanciou úspešnej realizácie projektu po zabezpečení jeho financovania na základe ŽoNFP v rámci výzvy.

9.1 PRACOVNÉ NÁPLNE

1. PRÍLOHY

Príloha : Zoznam rizík a závislostí (Excel): 1_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_NOVEZAMKY.xlsx

Koniec dokumentu