projekt_2540_Projektovy_zamer_detailny

= {{id name="projekt_2540_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

100

101

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

102

103

104

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

105

106

107

== {{id name="projekt_2540_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

108

109

110

(% class="wrapped" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

BEZP

)))|(((

Bezpečnosť/Bezpečnostný

)))

|(((

EDR

)))|(((

Endpoint Detection & Response

)))

|(((

EPP

)))|(((

Endpoint protection

)))

|(((

FW

)))|(((

Firewall

)))

|(((

HW

)))|(((

Hardvér

)))

|(((

IKT

)))|(((

Informačno-komunikačné technológie

)))

|(((

IRA

)))|(((

Interný riadiaci akt

)))

|(((

IS

)))|(((

Informačný systém

)))

|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

|(((

IT

)))|(((

Informačné technológie

)))

|(((

KB

)))|(((

Kybernetická bezpečnosť

)))

|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

|(((

NGFW

)))|(((

Next Generation Firewall

)))

|(((

RACI

)))|(((

responsible, accountable, consulted, and informed

)))

|(((

R OIT

)))|(((

Riaditeľ odboru IT (vedúci zamestnanec na úseku IT)

)))

|(((

SIEM

)))|(((

Security Information and Event Management

)))

|(((

SOC

)))|(((

Security Operations Center

)))

|(((

SPoF

)))|(((

Single Point of Failure

)))

|(((

SW

)))|(((

Softvér

)))

|(((

UTM

)))|(((

Unified Threat Management

)))

|(((

VS

)))|(((

Verejná správa

)))

== {{id name="projekt_2540_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

224

225

226

**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:

**FRxx**

* U – užívateľská požiadavka

231

* R – označenie požiadavky

232

* xx – číslo požiadavky

233

234

**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:

**NRxx**

* N – nefukčná požiadavka (NFR)

239

* R – označenie požiadavky

240

* xx – číslo požiadavky

241

242

Ostatné typy požiadaviek môžu byť ďalej definované PM.

**// //**

= {{id name="projekt_2540_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

247

248

249

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

250

251

Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).

252

253

Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie samosprávy ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia samosprávy je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.

254

255

Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT mesta Spiššká Belá, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.

256

257

Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia mesta Spiššká Belá a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti samosprávnych subjektov. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:

258

259

1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;

260

1. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;

261

1. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;

262

1. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;

263

1. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;

264

1. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.

265

266

Mesto Spiššká Belá má dodávateľsky zavedené a implementované bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 3 zákona o kybernetickej bezpečnosti minimálne v rozsahu:

267

268

1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

269

1. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

270

1. personálnej bezpečnosti,

271

1. riadenia prístupov,

272

1. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

273

1. bezpečnosti pri prevádzke informačných systémov a sietí,

274

1. hodnotenia zraniteľností a bezpečnostných aktualizácií,

275

1. ochrany proti škodlivému kódu,

276

1. sieťovej a komunikačnej bezpečnosti,

277

1. akvizície, vývoja a údržby informačných sietí a informačných systémov,

278

1. zaznamenávania udalostí a monitorovania,

279

1. fyzickej bezpečnosti a bezpečnosti prostredia,

280

1. riešenia kybernetických bezpečnostných incidentov,

281

1. kryptografických opatrení,

282

1. kontinuity prevádzky,

283

1. auditu, riadenia súladu a kontrolných činností.

284

285

Bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 4 zákona o kybernetickej bezpečnosti zahŕňajú najmenej:

286

287

1. detekciu kybernetických bezpečnostných incidentov,

288

1. evidenciu kybernetických bezpečnostných incidentov,

289

1. postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

290

1. určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

291

1. prepojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania

292

293

Jednotlivé subjekty verejnej správy a samosprávy ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Mesto napriek svojim výrazným odborným a finančným limitom je samo zodpovedné za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.

294

295

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

296

297

1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

298

299

2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26

300

301

3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

302

303

304

Aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 25 tým, že sa implementuje do prostredia mesta Spišská Belá riešenie v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie, ochrane proti škodlivému kódu.

305

306

307

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

308

309

310

**Realizované aktivity z množiny oprávnených aktivít výzvy:**

311

312

Mesto Spišská Belá deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:

313

314

1. vytvorenú stratégiu kybernetickej bezpečnosti,

315

1. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,

316

1. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,

317

1. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

318

319

320

Mesto Spišská Belá má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti, ktorý však nepredstavuje ucelenú a systematicky aktualizovanú koncepciu. V zmysle samohodnotenia prevádzkovateľa základnej služby (mesta) vykonanej interným manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom obce, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.

321

322

323

**Realizované podaktivity z množiny oprávnených podaktivít výzvy:**

324

325

1. Organizácia kybernetickej a informačnej bezpečnosti

326

11. Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

327

11. vypracovanie štatútu bezpečnostného výboru;

328

11. vypracovanie bezpečnostného projektu informačného systému verejnej správy.

329

330

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

331

332

* Aktualizácia bezpečnostnej dokumentácie vrátane spresnenia rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení:

333

* Bezpečnostná stratégia kybernetickej bezpečnosti

334

* Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti

335

* Bezpečnostná politika kybernetickej bezpečnosti: Deklarácia a záväzok vedenia;

336

* vypracovanie bezpečnostného projektu ISVS.

337

338

1. Riadenie rizík

339

11. Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

340

11. Implementácia systému pre inventarizáciu aktív;

341

11. Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

342

11. Vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

343

344

Mesto má v rámci bezpečnostnej politiky čiastočne identifikované informačné aktíva a všetky podporné aktíva, ako aj ich evidenciu, ktoré podporujú niektorú z identifikovaných základných služieb. Rovnako boli identifikovaní relevantní dodávatelia, ktorí podporujú prevádzku základných služieb.

345

346

V súčasnom stave je tiež iba čiastočne vedená a známa klasifikácia aktív z hľadiska dôvernosti, integrity a dostupnosti. Z pohľadu udržateľnosti stavu je výrazným nedostatkom čiastočné zavedenie procesu na aktualizáciu evidencie aktív ako aj neúplná identifikácia vlastníkov jednotlivých aktív. Evidencia o konfiguračných nastaveniach identifikovaných aktív a služieb je vedená iba čiastočne. Rovnako aj proces pravidelného aktualizovania záznamov o evidencii konfigurácií aktív a služieb je vedený čiastočne. Kumulatívne dochádza k synergickému ovplyvňovaniu jednotlivých oblastí a ich dopadov, kedy neúplná a neaktualizovaná evidencia aktív stráca kvalitatívne aspekty a predstavuje vzrastajúce riziko z pohľadu kyberbezpečnosti.

347

348

Pre danú oblasť zo samohodnotenia tiež vyplýva, že poskytovateľ základnej služby identifikuje a vyhodnocuje riziká kybernetickej bezpečnosti, navrhuje a implementuje bezpečnostné opatrenia kybernetickej bezpečnosti, ktorými by znižoval neakceptovateľne veľké zvyškové riziká, avšak bez nadväzných procesov je výsledný efekt kybernetickej ochrany limitovaný.

349

350

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

351

352

* Identifikácia všetkých aktív

353

* Implementácia systému pre inventarizáciu aktív - Katalóg aktív

354

* Riadenie rizík

355

* Smernica pre riadenie bezpečnostných rizík

356

* Metodika pre riadenie bezpečnostných rizík

357

* Implementácia predmetných IRA

358

359

1. Personálna bezpečnosť

360

11. Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

361

11. vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;

362

11. Vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

363

364

V oblasti personálnej bezpečnosti sebahodnotenie konštatuje, že je čiastočne vykonávaná kontrola bezpečnostných politík zo strany vlastných zamestnancov a zamestnancov dodávateľov.

365

366

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

367

368

* Smernica Plán rozvoja bezpečnostného povedomia vrátane spôsobov hodnotenia účinnosti plánu, vrátane určenia pravidiel a postupov na riešenia prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík

369

* Smernica pre používateľov

370

* Riadenie personálnej bezpečnosti

371

372

1. Riadenie prístupov

373

11. Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;

374

11. Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;

375

11. Vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.

376

377

V oblasti riadenia prístupov sú definované rozsahy logických aj fyzických prístupových oprávnení vlastných zamestnancov a zamestnancov dodávateľom ku všetkým aktívam hodnoteného subjektu. Je vykonávaná pravidelná kontrola nad nastavenými rozsahmi prístupových oprávnení na aktivitách. Vzhľadom na súvislosť s ostatnými oblasťami samohodnotenia je potrebné vykonať celkovú aktualizáciu riadenia prístupov po zmapovaní informačných a podporných aktív.

378

379

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

380

381

* Smernica Riadenie prístupových práv;

382

* Zapracovanie a implementácia postupov a procesov napr. prostredníctvom RACI matice v nadväznosti na implementované technické riešenie, pravidlá pre oddelenie právomocí

383

384

1. Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

385

11. Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;

386

11. analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

387

11. vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

388

11. vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

389

390

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

391

392

* Metodika pre riadenie bezpečnostných rizík vo vzťahu k tretím stranám

393

* Analýza a posúdenie súladu

394

* Vypracovanie návrhov dodatkov zmlúv

395

* Smernica riadenie tretích strán

396

* Smernica požiadavky pre tretie strany

397

398

1. Bezpečnosť pri prevádzke informačných systémov a sietí

399

11. Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

400

11. Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;

401

11. Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

402

403

Sebahodnotenie v oblasti riadenia bezpečnosti sietí konštatuje implementovanú bezpečnostnú sieťovú segmentáciu a aktívnu a priebežnú správu pravidiel na zariadeniach oddeľujúcich jednotlivé segmenty. Sieťová bezpečnosť je realizovaná v rámci existujúcich nasadených prvkov a technológií, ktoré je navrhnuté nahradiť prvkami novej generácie s využitím strojového učenia a umelej inteligencie na mapovanie prevádzky a automatizovanú ochranu pred známymi i neznámymi hrozbami v čo najkratšom čase.

404

405

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

406

407

* Smernica pre riadenie zmien

408

* Smernica správa a prevádzka IS a služieb

409

410

1. Hodnotenie zraniteľností a bezpečnostné aktualizácie

411

11. Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

412

11. Vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

413

414

Z pohľadu schopnosti identifikovať známe zraniteľnosti aktív a vyhodnocovania potencionálneho prieniku zneužitím týchto zraniteľností absentuje systematické získavanie informácií o zraniteľnostiach od dodávateľov aktív a KB autorít. Rovnako iba čiastočne je realizované vyhodnocovanie dopadu známych zraniteľností na aktíva a vyhodnocovanie rizika spojeného s týmito zraniteľnosťami.

415

416

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

417

418

* Smernica riadenie a implementácia bezpečnostných záplat a bezpečnostných aktualizácií

419

420

1. Ochrana proti škodlivému kódu

421

11. Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;

422

11. Implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;

423

11. Vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

424

425

V kontexte už uvedeného, poskytovateľ základnej služby vykazuje rezervy v orchestrácii oblasti ochrany proti škodlivému kódu. Proces zmenového konania je zavedený iba čiastočne. Naopak procesy incident manažmentu a zálohovania sú zavedené, no odporúčame zrevidovanie nastavených procesov a zosúladenie s implementovanou bezpečnostnou politikou ako celkom.

426

427

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

428

429

* Smernica pre ochranu proti škodlivému kódu a inštaláciu a hardening IS;

430

* Vypracovanie a implementácia postupov a procesov v nadväznosti na technické riešenie

431

432

1. Sieťová a komunikačná bezpečnosť

433

11. Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

434

11. Vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov.

435

11. vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;

436

437

V oblasti sieťovej a komunikačnej bezpečnosti je plánovaná implementácia novej generácie FW disponujúcej dynamickou segmentáciou siete, automatizáciou identifikácie hrozieb pomocou systémových agentov a REST API a zvýšenie počtu vrstiev ochrany. V sieťovej infraštruktúre sú zakomponované switche, z ktorých ¾ celkového počtu neposkytujú dostatočné možnosti manažovania siete.

438

439

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

440

441

* Smernica pre pravidlá sieťovej a komunikačnej bezpečnosti

442

443

1. Akvizícia, vývoj a údržba informačných technológií verejnej správy

444

11. Vypracovanie metodiky softvérového vývoja v podobe interného riadiaceho aktu, definujúce bezpečnostné požiadavky na všetky fázy životného cyklu vývoja SW (SSDLC).

445

446

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

447

448

* Metodika Požiadavky pre bezpečný vývoj SSDLC

449

450

1. Zaznamenávanie udalostí a monitorovanie

451

11. Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

452

11. Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);

453

11. Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

454

11. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov; implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania.

455

11. vypracovanie interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou;

456

457

V rámci sebahodnotenia oblasti KB boli konštatované rezervy v oblasti prevádzkového monitoringu, nakoľko mesto má iba čiastočný prehľad o aktívach a komponentoch, nad ktorými potrebuje mať implementovaný prevádzkový monitoring. Zároveň iba v čiastočnom rozsahu je vykonávaný monitoring parametrov aktív a komponentov prostredia tak, aby bol zaznamenávaný nepretržitý prehľad o stave prostredia.

458

459

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

460

461

* Smernica o bezpečnostnom monitoringu IS a sietí

462

463

1. Riešenie kybernetických bezpečnostných incidentov

464

11. Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

465

11. Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov;

466

11. Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí; - vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

467

11. Vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

468

11. Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

469

470

V rámci hodnotenia oblasti bezpečnostného monitoringu samohodnotenie konštatuje absenciu implementovaného nástroja na výkon bezpečnostného monitoringu nad aktívami, ktoré sa podieľajú na základnej službe. Na druhú stranu mesto má stanovený proces, ktorým bude obec vedieť reagovať na kybernetický bezpečnostný incident. V dôsledku celkového mapovania aktív a revidovania bezpečnostnej politiky ho však bude potrebné zosúladiť a aktualizovať.

471

472

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

473

474

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov - Súčasť smernice a metodiky pre riešenie bezpečnostných incidentov;

475

* Smernica pre riešenie bezpečnostných incidentov

476

* Metodika pre riešenie bezpečnostných incidentov

477

478

1. Kryptografické opatrenia

479

11. Vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

480

11. Definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

481

11. Vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;

482

483

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

484

485

* Smernica Riadenie kryptografických opatrení

486

* Metodika pre Riadenie kryptografických opatrení

487

* Metodika pre správu kryptografických kľúčov a certifikátov

488

489

1. Kontinuita prevádzky

490

11. Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnosť. incidentu na základnú službu;

491

11. vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

492

11. vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

493

11. vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

494

495

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

496

497

* Stratégia Riadenie kontinuity prevádzky

498

* Analýza dopadov (BIA)"

499

* BCP (plánov kontinuity prevádzky)

500

* DRP (plánov obnovy prevádzky IS)

501

* Testovanie BCP a DRP

502

* Smernica Riadenie kontinuity prevádzky

503

* Metodika Riadenie kontinuity prevádzky

504

* Zálohovacie politiky

505

506

1. Audit a kontrolné činnosti

507

11. Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov;

508

509

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

510

511

* vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy

512

513

514

Vychádzajúc z výsledkov samohodnotenia úrovne kybernetickej bezpečnosti u poskytovateľa základnej služby, mesta Spišská Belá, má byť rešpektujúc jednotlivé podaktivity výzvy v budúcom stave implementované:

515

516

1. Centralizovaná platforma NGFW alebo UTM firewall v konfigurácii aktívneho/záložného klastra vrátane inštalácie zariadení a príslušného softvérového riešenia a školení. Riešenie umožní dynamickú segmentáciu vnútornej siete, zabezpečenie ochrany perimetra pred pokročilými hrozbami. Minimálne požiadavky:

517

1*. Aktívna/pohotovostná konfigurácia klastra

518

1*. Redundantné napájanie

519

1*. Dostatočný počet portov 10G/1G (externé pripojenie + interná segmentácia)

520

1*. Podpora IPv4 a IPv6

521

1*. podpora dynamického smerovania

522

1*. Podpora VLAN

523

1*. riadenie prevádzky až do úrovne L7

524

1*. Kontrola prevádzky na úrovni aplikácií a URL - webový filter, aplikačný filter

525

1*. Podpora SSL VPN a Site2Site

526

1*. antivírusová/antiransomvérová/antimalvérová kontrola prevádzky s automatickou aktualizáciou podpisov

527

1*. technológia sandboxing

528

1*. Integrácia služby Active Directory

529

1*. centralizovaná správa konfigurácie a zhromažďovanie protokolov

530

1*. analytický nástroj na hodnotenie kybernetických incidentov

531

1. Log manažment umožňujúci správa logov podľa požiadaviek vyhlášky k zákonu o kybernetickej bezpečnosti podľa § 20 ods. 3 písm. k) zákona zaznamenávanie udalostí a monitorovanie.

532

1*. Požiadavky na výkon: Schopnosť spracovať 5000 EPS (udalostí za sekundu), Uchovávanie logov minimálne 12 mesiacov s dostatočnou rezervou pre plánovaný nárast objemu uchovávaných logov v priebehu nasledujúcich 5 rokov, Údaje sú uložené na vlastnom internom úložisku, nie v cloude

533

1*. Požiadavky na komunikáciu: Schopnosť prijímať protokoly z viacerých zdrojov, Pravidelná aktualizácia vstupných filtrov, Prijímanie protokolov prostredníctvom protokolu SYSLOG cez UDP aj TCP, Schopnosť prijímať správy s veľkosťou aspoň 4 kB, Preposielanie protokolov prostredníctvom protokolu SYSLOG v nezmenenej podobe, Schopnosť preposielať štandardizované informácie v určitom spoločnom štruktúrovanom formáte

534

1*. Požiadavky na používateľov: RBAC (prístupové práva na základe rolí používateľov, t. j. kombinácia jednotlivých systémov a atribútov protokolov voči používateľom a ich rolám), audit činnosti používateľov

535

1*. Funkcie spracovania údajov: Vyhľadávanie a filtrovanie na základe normalizovaných atribútov, fulltextové vyhľadávanie, asynchrónne vyhľadávanie (nie je potrebné čakať na výsledok dlhšieho dotazu, možno ho „vyzdvihnúť“ dodatočne), zobrazené výsledky vyhľadávania rešpektujú rolu používateľa (nezobrazujú sa ani výňatky z neprístupných protokolov), Funkcia „Live tail“ (priebežné zobrazovanie prijatých protokolov), Možnosť anonymizovať vybrané atribúty, Možnosť definovať vlastné výstrahy spúšťané na základe výskytu a frekvencie definovaných podmienok, Možnosť definovať vlastný panel v grafickom používateľskom rozhraní

536

1*. Dostupnosť dobre zdokumentovaného rozhrania API

537

1. Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností on-premise nástroj od špecializovaného dodávateľa na identifikáciu a hodnotenie technických zraniteľností podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií. Ponúkané riešenie musí obsahovať tieto požiadavky:

538

1*. automatický technický nástroj na skenovanie zraniteľností (Vulnerability scanner), ktorý minimálne upozorňuje na aktuálne hrozby prostredníctvom oznámenia, identifikuje a vyhodnocuje technické zraniteľnosti v prostredí zákazníka, navrhuje riešenia zraniteľností podľa ich technickej povahy, podporuje integráciu na ďalšie systémy zadávateľa, ktoré ďalej spracúvajú výstupy, zabezpečuje dôvernosť, integritu a dostupnosť spracovávaných informácií (údajov)

539

1*. Celá správa komponentov riešenia a životného cyklu správy zraniteľností sa musí vykonávať prostredníctvom jednotnej webovej konzoly na správu nástroja.

540

1*. Podpora skenovania zraniteľnosti aktív prostredníctvom technického účtu (overovacie skenovanie).

541

1*. Návrh dimenzovania riešenia zameraný na 256 IP

542

1. Softvérové vybavenie typu Endpoint Detection & Response vrátane inštalácie a príslušných školení. Softvérové vybavenie slúžiace na prevenciu kybernetických útokov, detekciu a reakciu na už existujúce hrozby pre pracovné stanice poskytovateľa základnej služby. Prioritou implemntácie modulu EDR je detekcia, monitorovanie a rýchla reakcia na kybernetické hrozby. Implemntáciou modulu EDR sa zabezpečí schopnosť identifikovať a zabrániť rôznym typom hrozieb, vrátane malvéru, ransomvéru a iných škodlivých aktivít, pričom toto riešenie podporuje tzv. „samoučiaci režim“, ochranu pred neznámymi hrozbami a anti-ransomware ochranu. Riešenie umožní monitorovať všetky koncové zariadenia v reálnom čase, ponúknuť centralizovanú správu, vytvárať správy pre bezpečnostných administrátorov a definovať politiky pre jednotlivé skupiny administrátorov. EDR riešenie umožní rýchlu reakciu na incidenty, vrátane izolácie postihnutých zariadení, odstránenia hrozieb a obnovy systémov, a podporí threat hunting s funkciou vizualizácie a minimálnou 30-dňovou retenciou dát. Možnosť integrácie s Microsoft Active Directory s cieľom importovať strom Active Directory.

543

1. Posilnenie komunikačnej infraštruktúry podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť a podľa § 20 ods. 3 písm. o) zákona kontinuita prevádzky

LAN - ks prepínače

* výška 1U, možnosť stackovania

548

* 4ks - 48x GBase-T portov napájenie PoE 802.3at, min. 4x SFP56 porty, vrátane transceiverov, redundantné napájanie

549

* jumbo frames 9kB

550

* podpora IPv4 a IPv6, OSPF,

551

* inštalácia, konfigurácia, integrácia do existujúceho prostredia

Bezdrôtová sieť

* 10ks prístupových bodov AP WIFI6, dual radio 4x4:4 MIMO (2.4GHz, 5GHz, multirate port, vrátane montážnej sady)

556

* Centrálna administrácia v cloude

557

* inštalácia vrátane natiahnutie kabeláže, konfigurácie, prieskumu miesta bezdrôtovej siete

558

559

802.1x - Networks Access Control

560

561

* 1x virtuálne zariadenie

562

* riadenie prístupu do siete pre približne 200 zariadení

563

* inštalácia, konfigurácia a integrácia do existujúceho prostredia

Správa siete

* centralizovaná správa sieťových zariadení v cloude

568

* minimum 14 zariadení, škálovateľné

569

* podpora automatizácie sieťových úloh

* rozhranie REST API

* konfigurácia

(% class="wrapped" %)

|(((

**P.č.**

)))|(((

**Názov hodnotiaceho kritéria**

579

)))|(((

580

**Parametre v projekte**

)))|(((

**Zdroj**

)))

|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

588

)))|(((

589

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

590

)))|(((

591

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.

)))

|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

597

)))|(((

598

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

599

)))|(((

600

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

)))

|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu.

610

)))|(((

611

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.

612

)))|(((

613

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

614

615

- Organizácia kybernetickej a informačnej bezpečnosti

- Riadenie rizík

- Personálna bezpečnosť

620

621

- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

622

623

- Personálna bezpečnosť

- Riadenie prístupov

- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

628

629

- Bezpečnosť pri prevádzke informačných systémov a sietí

630

631

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

632

633

- Ochrana proti škodlivému kódu

634

635

- Sieťová a komunikačná bezpečnosť

636

637

- Akvizícia, vývoj a údržba informačných technológií verejnej správy

638

639

- Zaznamenávanie udalostí a monitorovanie

640

641

- Riešenie kybernetických bezpečnostných incidentov

642

643

- Kryptografické opatrenia

644

645

- Kontinuita prevádzky

646

647

- Audit a kontrolné činnosti

648

649

650

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

)))

|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.

656

)))|(((

657

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.

658

)))|(((

659

§ 24 ods. 2 písm. a) – kategória: -

660

661

§ 24 ods. 2 písm. b) a c) – kategória: I.

662

663

§ 24 ods. 2 písm. d) – kategória: III.

664

665

§24 ods. 2 písm. e) – kategória: I.

)))

(% class="relative-table wrapped" style="width:99.0654%" %)

670

|(((

671

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

679

680

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

-

)))|(((

Počet interných zamestnancov: 46

685

686

Počet klientov mesta:

687

688

- Fyzické osoby (občania):** **6 659 (k 31.12.2023, zdroj Štatistický úrad SR)

689

690

- Právnické osoby: 1330 (údaje za rok 2023)

691

692

Celkom dotknutých osôb v rámci mesta: 7989

693

694

Počet obyvateľov spádovej oblasti služieb Matriky (Spišská Belá, Krížová Ves, Podhorany, Bušovce, Toporec, Jurské, Holumnica, Ihľany): 15 670

695

)))

696

|(((

697

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

698

699

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona

704

705

Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

I.

)))|(((

Mesto Spišská Belá má 8 ISVS, ktoré sú technicky realizované pre účely základnej služby pomocou 5 IS. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní (sedem a pol hodiny), čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby v rozsahu 3450 hodín z pohľadu zamestnancov, nedostupnosť základnej služby pre obyvateľov, právnické subjekty a fyzické osoby v celkovom rozsahu 1 253 600 hodín (10 dní, 8 pracovných hodín)(15 670x10x8).

710

)))

711

|(((

712

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

713

714

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie a Incident spôsobí úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie.

719

720

Pre majoritnú časť informačných systémov absentuje náhradné riešenie a tak incident spôsobí úplnú nedostupnosť služby v rámci vybavovania agiend: pokladňa, podateľňa, osvedčenia, matričné vyjadrenia, dokonca bez dostupných IS mesto nevie vydať ani rybársky lístok. **Pre väčšinu ISVS neexistuje náhraný proces okrem toho elektronického**, čiže v prípade napr. predmetných agiend by začiatok spracovania aj papierovo prijatej žiadosti musel čakať minimálne 10 dní čo je minimálny odhadovaný čas výpadku pri dopade závažného kybernetického incidentu.

)))

|(((

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

726

727

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

)))|(((

I.

)))|(((

V prípade nefunkčnosti budú zasiahnutí zamestnanci mesta, občania a podnikateľské subjekty, či iné organizácie, kde incident môže spôsobiť hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur. Zamestnanci mesta pristupujú cez interné systémy k ISVS ako RPO, RFO, kataster, Štátna pokladnica, kde by incident mohol spôsobiť únik citlivých údajov, kde by mohlo dôjsť k ich zneužitiu resp.i**ncident by mohol spôsobiť škodu väčšiu ako 250 000 Eur.**

732

733

**Zároveň incident môže spôsobiť narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti okresu**

734

735

Mesto má v správe IS ako napríklad IS Sirén, tento IS v prípade hroziacej prírodnej katastrofy, alebo hrozby narušenia verejného poriadku bol znefukčnený. **Mesto je spádovým mestom pre časť okresu pri prenesených výkonoch štátnej moci ako školský úrad, matrićný úrad alebo stavebný úrad, v týchto prípadoch má incident dopad na významnú časť okresu.**

)))

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti, s vyhláškou 362/2018 Z. z. a so zákonom o ISVS.

740

741

742

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

743

744

(% class="wrapped" %)

|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

|(((

1.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI

)))|(((

Orgán vedenia

)))|(((

Isvs_63 MetaIS

)))

|(((

2.

)))|(((

Občan / podnikateľ

)))|(((

G2B/G2C

)))|(((

Konzument elektronických služieb

)))|(((

)))

|(((

3.

)))|(((

Zamestnanec mesta

)))|(((

G2E

)))|(((

Spracovateľ elektronických služieb

)))|(((

)))

|(((

4.

)))|(((

Mesto

)))|(((

Spišská Belá

)))|(((

Orgán riadenia v roli prijímateľa

803

)))|(((

804

ISVS a infraštruktúra

)))

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

810

811

812

(% class="wrapped" %)

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

822

)))|(((

823

Spôsob realizácie strategického cieľa

)))

|(((

ID01

)))|(((

RSO 1.2, kat. MRR,

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

831

)))|(((

832

Komplexné zvýšenie úrovne kybernetickej bezpečnosti implementáciou aplikačného a technologického vybavenia.

)))

**~ **

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

838

839

Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.

840

841

842

(% class="wrapped" %)

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

|(((

ID01

)))|(((

Výstup PO095 / PSKPSOI12

876

)))|(((

877

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

878

)))|(((

879

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

880

)))|(((

881

Počet verejných inštitúcií

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

)))|(((

...

)))

|(((

ID02

)))|(((

Výsledok PR017 / PSKPRCR11

895

)))|(((

896

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

897

)))|(((

898

Ukazovateľ PR017 uvádza počet všetkých zamestnancov mesta Spišská Belá, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu

)))|(((

používatelia / rok

)))|(((

0

)))|(((

25

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.

907

908

V prípade mesta Spišská Belá ide o počet zamestnancov, ktorí využívajú IS mesta Spišská Belá alebo akékoľvek elektronické zariadenia v správe mesta Spišská Belá SR.

909

910

Čas plnenia merateľného ukazovateľa projektu:

911

912

v rámci udržateľnosti projektu

913

)))|(((

914

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

920

921

Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia mesta Spišská Belá budú priamo profitovať subjekty využívajúce elektronické služby samospráv, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.

.

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

926

927

928

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.

929

930

931

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

932

933

934

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v meste Spišská Belá pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.

935

936

937

[[image:attach:Snímka obrazovky 2024-05-20 o 0.19.17.png||height="250"]]

938

939

940

Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí obce, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti správy veci verejných v obci či poskytovania služieb občanom.

941

942

943

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.

944

945

946

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

947

948

949

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

950

951

952

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

Spracovanie MCA

(% class="wrapped" %)

|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

STAKEHOLDER

MIRRI

)))|(((

STAKEHOLDER

G2B/G2C

)))|(((

STAKEHOLDER

G2E

)))|(((

STAKEHOLDER

PZS

)))

|(% rowspan="4" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A (KO) Nasadenie firewall do celého prostredia infraštruktúry

987

)))|(((

988

Nasadenie nového firewallu tak, aby chránil celé prostredie, nie len jeho vybranú časť.

)))|(((

X

)))|(((

)))|(((

)))|(((

X

)))

|(((

Kritérium B

Plošné zabezpečenie prostredia bez SPoF

1005

)))|(((

1006

Komplexné zlepšenie ochrany bez vytvorenia rizikovej oblasti s vysokou zraniteľnosťou.

)))|(((

X

)))|(((

)))|(((

)))|(((

X

)))

|(((

Kritérium C

Zabezpečenie zvýšenia úrovne KB nad HW aj SW časťou infraštruktúry

1023

)))|(((

1024

Zvýšenie úrovne KB je potrebné realizovať holisticky bez preferencie jednotlivých prostredí.

)))|(((

X

)))|(((

)))|(((

)))|(((

X

)))

|(((

Kritérium D

Kontinuálne poskytovanie elektronických služieb s vysokou dostupnosťou

1041

)))|(((

1042

Implementácia projektu bez narušenia poskytovania elektronických služieb.

)))|(((

)))|(((

X

)))|(((

X

)))|(((

X

)))

Vyhodnotenie MCA

(% class="wrapped" %)

|(((

Zoznam kritérií

)))|(((

Alternatíva

1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva

3

)))|(((

Spôsob dosiahnutia

)))

|(((

Kritérium A

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie Firewallu na všetky aktíva.

)))|(((

Áno

)))|(((

V alternatíve 3 sa síce implementujú všetky navrhované nástroje, ale sú neefektívne rozložené v čase

)))

|(((

Kritérium B

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej časti aktív.

)))|(((

Nie

)))|(((

N/A

)))

|(((

Kritérium C

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW aj HW časti aktív.

)))|(((

Nie

)))|(((

N/A

)))

|(((

Kritérium D

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB vytvorí základný predpoklad pre neohrozenie poskytovania elektronických služieb.

)))|(((

Čiastočne

)))|(((

Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.

)))

// //

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

1148

1149

1150

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

1151

1152

1153

== {{id name="projekt_2540_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1154

1155

1156

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.

1157

1158

= {{id name="projekt_2540_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1159

1160

1161

Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií:

1162

1163

1164

Oblasť organizácia kybernetickej bezpečnosti:

1165

1166

* Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1167

* Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),

1168

* Štatút bezpečnostného výboru, rokovací poriadok.

Oblasť aktíva:

* Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),

1174

* Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).

Oblasť incidenty:

* Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),

1180

* Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).

1181

1182

1183

Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí

1184

1185

* Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).

1186

* Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,

1187

* Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR),

1188

* Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),

1189

* Smernica pre riadenie zmien (Klasifikačný stupeň Interné).

1190

1191

1192

Oblasť tretie strany:

1193

1194

* Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),

1195

* Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),

1196

* Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.

1197

1198

1199

Oblasť riadenie rizík:

1200

1201

* Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1202

* Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1203

* Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).

1204

1205

1206

Oblasť špecifické (riadenie súladu a audit):

1207

1208

* Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1209

* Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).

1210

1211

1212

= {{id name="projekt_2540_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1213

1214

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:

1215

1216

1217

Organizácia kybernetickej a informačnej bezpečnosti

1218

1219

* Vypracovanie a aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení. Vytvorenie systému riadenia informačnej bezpečnosti vrátane metodiky riadenia aktív a rizík (vrátane nástroja na ich evidenciu) v súlade so zákonom 69/2018 Z. z. a vyhláškou 362/2018 Z. z. Spolupráca pri zavádzaní systému riadenia informačnej bezpečnosti do praxe. Táto činnosť bude zahŕňať:

1220

- Organizácia bezpečnosti

1221

- Riadenie bezpečnostných rizík

1222

- Riadenie informačných aktív

1223

- Pravidlá správania a dobrej praxe

1224

- Riadenie dodávateľských vzťahov

1225

- Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií

1226

- Riadenie a prevádzka informačno-komunikačných technológií

1227

- Riadenie súladu

1228

- Riadenie kontinuity procesov a činností

Riadenie rizík

* Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu.

1234

* Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

Kontinuita prevádzky

* Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu. Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania. Vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

Sieťová a komunikačná bezpečnosť

1244

1245

* Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.

1246

1247

1248

Sieťová a komunikačná bezpečnosť - Firewall NGFW

1249

1250

Zabezpečenie kybernetickej bezpečnosti podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť

1251

-mplementácia centrálnej brány firewall v konfigurácii aktívneho/záložného klastra

1252

-Segmentácia vnútornej siete

1253

-Zabezpečenie ochrany perimetra

1254

-Zabezpečenie ochrany pred pokročilými hrozbami

1255

\\Minimálne požiadavky:

1256

- Aktívna/pohotovostná konfigurácia klastra

1257

- Redundantné napájanie

1258

- Dostatočný počet portov 10G/1G (externé pripojenie + interná segmentácia)

1259

- Podpora IPv4 a IPv6

1260

- podpora dynamického smerovania

1261

- Podpora VLAN

1262

- riadenie prevádzky až do úrovne L7

1263

- Kontrola prevádzky na úrovni aplikácií a URL - webový filter, aplikačný filter

1264

- Podpora SSL VPN a Site2Site

1265

- antivírusová/antiransomvérová/antimalvérová kontrola prevádzky s automatickou aktualizáciou podpisov

1266

- technológia sandboxing

1267

- Integrácia služby Active Directory

1268

- centralizovaná správa konfigurácie a zhromažďovanie protokolov

1269

- analytický nástroj na hodnotenie kybernetických incidentov

1270

1271

1272

Sieťová a komunikačná bezpečnosť - Komunikačná infraštruktúra

1273

1274

Posilnenie komunikačnej infraštruktúry podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť a podľa § 20 ods. 3 písm. o) zákona kontinuita prevádzky

1275

LAN - ks prepínače

1276

- výška 1U, možnosť stackovania

1277

- 4ks - 48x GBase-T portov napájenie PoE 802.3at, min. 4x SFP56 porty, vrátane transceiverov, redundantné napájanie

1278

- jumbo frames 9kB

1279

- podpora IPv4 a IPv6, OSPF,

1280

- inštalácia, konfigurácia, integrácia do existujúceho prostredia

1281

\\Bezdrôtová sieť

1282

- 10ks prístupových bodov AP WIFI6, dual radio 4x4:4 MIMO (2.4GHz, 5GHz, multirate port, vrátane montážnej sady)

1283

- Centrálna administrácia v cloude

1284

- inštalácia vrátane natiahnutie kabeláže, konfigurácie, prieskumu miesta bezdrôtovej siete

1285

\\802.1x - Networks Access Control

1286

- 1x virtuálne zariadenie

1287

- riadenie prístupu do siete pre približne 200 zariadení

1288

-inštalácia, konfigurácia a integrácia do existujúceho prostredia

1289

\\Správa siete

1290

- centralizovaná správa sieťových zariadení v cloude

1291

- teraz pre 14 zariadení, v budúcnosti možné rozšírenie

1292

- podpora automatizácie sieťových úloh

- rozhranie REST API

- konfigurácia

Zaznamenávanie udalostí a monitorovanie - Log manažment

1298

1299

* Správa logov podľa požiadaviek vyhlášky k zákonu o kybernetickej bezpečnosti podľa § 20 ods. 3 písm. k) zákona zaznamenávanie udalostí a monitorovanie.

1300

1301

Implementácia centrálneho systému pre zber a ukladanie logov z jednotlivých informačných systémov. Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností.

1302

- Požiadavky na výkon: Schopnosť spracovať 5000 EPS (udalostí za sekundu), Uchovávanie logov minimálne 12 mesiacov s dostatočnou rezervou pre plánovaný nárast objemu uchovávaných logov v priebehu nasledujúcich 5 rokov, Údaje sú uložené na vlastnom internom úložisku, nie v cloude

1303

- Požiadavky na komunikáciu: Schopnosť prijímať protokoly z viacerých zdrojov, Pravidelná aktualizácia vstupných filtrov, Prijímanie protokolov prostredníctvom protokolu SYSLOG cez UDP aj TCP, Schopnosť prijímať správy s veľkosťou aspoň 4 kB, Preposielanie protokolov prostredníctvom protokolu SYSLOG v nezmenenej podobe, Schopnosť preposielať štandardizované informácie v určitom spoločnom štruktúrovanom formáte

1304

- Požiadavky na používateľov: RBAC (prístupové práva na základe rolí používateľov, t. j. kombinácia jednotlivých systémov a atribútov protokolov voči používateľom a ich rolám), audit činnosti používateľov

1305

- Funkcie spracovania údajov: Vyhľadávanie a filtrovanie na základe normalizovaných atribútov, fulltextové vyhľadávanie, asynchrónne vyhľadávanie (nie je potrebné čakať na výsledok dlhšieho dotazu, možno ho „vyzdvihnúť“ dodatočne), zobrazené výsledky vyhľadávania rešpektujú rolu používateľa (nezobrazujú sa ani výňatky z neprístupných protokolov), Funkcia „Live tail“ (priebežné zobrazovanie prijatých protokolov), Možnosť anonymizovať vybrané atribúty, Možnosť definovať vlastné výstrahy spúšťané na základe výskytu a frekvencie definovaných podmienok, Možnosť definovať vlastný panel v grafickom používateľskom rozhraní

1306

- Dostupnosť dobre zdokumentovaného rozhrania API

1307

1308

1309

Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností

1310

1311

Predmetom je on-premise nástroj od špecializovaného dodávateľa na identifikáciu a hodnotenie technických zraniteľností podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií.

1312

Ponúkané riešenie musí obsahovať tieto požiadavky:

1313

- automatický technický nástroj na skenovanie zraniteľností, ktorý minimálne upozorňuje na aktuálne hrozby prostredníctvom oznámenia, identifikuje a vyhodnocuje technické zraniteľnosti v prostredí zákazníka, navrhuje riešenia zraniteľností podľa ich technickej povahy, podporuje integráciu na ďalšie systémy zadávateľa, ktoré ďalej spracúvajú výstupy, zabezpečuje dôvernosť, integritu a dostupnosť spracovávaných informácií (údajov)

1314

- Celá správa komponentov riešenia a životného cyklu správy zraniteľností sa musí vykonávať prostredníctvom jednotnej webovej konzoly na správu nástroja.

1315

- Podpora skenovania zraniteľnosti aktív prostredníctvom technického účtu (overovacie skenovanie).

1316

- Návrh dimenzovania riešenia zameraný na 256 IP

1317

1318

1319

Náhľad aplikačnej to be vrstvy architektúry

1320

1321

[[image:attach:image-2024-4-30_22-56-58-1.png||height="400"]]

1322

1323

Náhľad technologickej to be vrstvy architektúry

1324

1325

[[image:attach:image-2024-4-30_22-57-11-1.png||height="400"]]

1326

1327

1328

Náhľad topológie siete

1329

1330

[[image:attach:image-2024-4-30_22-57-22-1.png]]

1331

1332

Aplikačné prostredie z pohľadu informačných systémov verejnej správy mesta Spišská Belá pozostáva z nasledovných komponentov:

1333

1334

(% class="wrapped" %)

1335

|(((

1336

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

1349

1350

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

Isvs_14157

)))|(((

Registratúra

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14156

)))|(((

MsP Kamery

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

[[Isvs_14155>>url:https://metais.vicepremier.gov.sk/detail/ISVS/ed8ec628-165b-425b-ae5a-ee890ca1ba95/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

Účtovníctvo

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

[[Isvs_14154>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6e03661d-53df-4cc9-80ab-ff4b454ee17b/cimaster?tab=summarizingCart||shape="rect"]]

1393

)))|(((

1394

[[Digitálne>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6e03661d-53df-4cc9-80ab-ff4b454ee17b/cimaster?tab=summarizingCart||shape="rect"]] sídlo Spišská Belá

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

[[Isvs_14153>>url:https://metais.vicepremier.gov.sk/detail/ISVS/b7eba255-d9f6-4f8c-92f8-d6f8b7e91331/cimaster?tab=summarizingCart||shape="rect"]]

1406

)))|(((

1407

[[Web>>url:https://metais.vicepremier.gov.sk/detail/ISVS/b7eba255-d9f6-4f8c-92f8-d6f8b7e91331/cimaster?tab=summarizingCart||shape="rect"]] mesta Spišská Belá

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14173

)))|(((

Služby DCOM

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14172

)))|(((

Korwin

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

Isvs_14171

)))|(((

Fingera

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

1451

)))|(((

1452

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

|(((

Isvs_14170

)))|(((

Softip SB

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

1464

)))|(((

1465

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

// //

== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1473

1474

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1475

1476

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

1477

1478

1479

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1480

1481

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

1482

1483

1484

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1485

1486

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

1487

1488

1489

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink" %)^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]](%%) a ISVS iných OVM alebo IS tretích strán ===

1490

1491

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.

1492

1493

1494

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

1495

1496

1497

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

1498

1499

1500

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1501

1502

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

1503

1504

1505

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1506

1507

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

1508

1509

1510

=== {{id name="projekt_2540_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

1511

1512

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

1513

1514

= {{id name="projekt_2540_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1515

1516

Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.

1517

1518

1519

Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:

1520

1521

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

1522

1523

Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

1524

1525

= {{id name="projekt_2540_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1526

1527

1528

(% class="wrapped" %)

|(((

**Názov položky**

)))|(((

**Počet**

)))|(((

**Skupina nákladov**

)))|(((

**Cena celkom s DPH**

)))

|(((

I. Zavedenie ISMS

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

22 680,00 EUR

)))

|(((

II. Firewall NGFW

)))|(((

1 komplet

)))|(((

022 – HW

)))|(((

12 078,41 EUR

)))

|(((

II. Implementácia Firewall

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

10 452,00 EUR

)))

|(((

III. Dodanie SW vybavenia EDR

)))|(((

1 komplet

)))|(((

013 – Softvér

)))|(((

11 239,19 EUR

)))

|(((

III. Implementácia SW vybavenia EDR

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

8 844,00 EUR

)))

|(((

IV. Komunikačná infraštruktúra

)))|(((

1 komplet

)))|(((

022 – HW

)))|(((

63 615,36 EUR

)))

|(((

IV. Komunikačná infraštruktúra implementácia

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

7 560,00 EUR

)))

|(((

V. Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností

)))|(((

1 komplet

)))|(((

013 – Softvér

)))|(((

59 777,10 EUR

)))

|(((

V. Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

4536,00 EUR

)))

|(((

VI. Log Management

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

9600,00 EUR

)))

|(((

VI. Log Management implementácia

)))|(((

1 komplet

)))|(((

022 – HW

)))|(((

19 656,00 EUR

)))

|(((

VI. Log Management

)))|(((

1 komplet

)))|(((

013 – Softvér

)))|(((

36000,00 EUR

)))

|(((

Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach

)))|(((

7%

)))|(((

907 - Paušálna sadzba

)))|(((

18622,66 EUR

)))

|(((

**Celková suma**

)))|(((

**~ **

)))|(((

**~ **

)))|(((

**284 660,72 EUR**

)))

== {{id name="projekt_2540_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

1667

1668

1669

(% class="wrapped" %)

|(((

Náklady

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

1674

)))

1675

|(((

1676

**Všeobecný materiál**

)))|(((

)))

|(((

**IT - CAPEX**

)))|(((

)))

|(((

Služby

)))|(((

//73 728,00//

)))

|(((

SW

)))|(((

//80 616,29//

)))

|(((

HW

)))|(((

//111 693,77//

)))

|(((

**IT - OPEX- prevádzka**

)))|(((

)))

|(((

Aplikácie

)))|(((

)))

|(((

SW

)))|(((

//14 315,00//

)))

|(((

HW

)))|(((

//6630.00//

)))

|(((

**Prínosy**

)))|(((

)))

|(((

**Finančné prínosy**

)))|(((

)))

|(((

Administratívne poplatky

)))|(((

)))

|(((

Ostatné daňové a nedaňové príjmy

)))|(((

)))

|(((

**Ekonomické prínosy**

)))|(((

)))

|(((

Občania (€)

)))|(((

)))

|(((

Úradníci (€)

)))|(((

)))

|(((

Úradníci (FTE)

)))|(((

)))

|(((

**Kvalitatívne prínosy**

)))|(((

)))

|(((

)))|(((

// //

)))

= {{id name="projekt_2540_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

1773

1774

1775

Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.

1776

1777

(% class="wrapped" %)

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

01/2024

)))|(((

12/2024

)))|(((

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))|(((

)))

|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

01/2025

)))|(((

03/2025

)))|(((

)))

|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

01/2025

)))|(((

12/2025

)))|(((

Je potrebné obstarať dodávateľa IS riešenia/ licencie[[(% class="wikiinternallink" %)**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]](%%)/ konzultačné služby

)))

|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

04/2025

)))|(((

09/2025

)))|(((

Tvorba dokumentácie výstupov

)))

|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

10/2025

)))|(((

12/2025

)))|(((

PIP - 2 mesiace po nasadení

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

12/2028

)))|(((

)))

Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1873

1874

= {{id name="projekt_2540_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1875

1876

1877

Zostavuje sa Riadiaci výbor (RV)**,** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1883

* Projektový manažér objednávateľa (PM)

1884

1885

1886

(% class="wrapped" %)

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

Peter Zibura

)))|(((

Primátor

)))|(((

Primátor mesta

)))|(((

Predseda RV

)))

|(((

2.

)))|(((

**~ **Ľubomír German

)))|(((

Vedúci odboru vnútornej správy

1915

)))|(((

1916

Odboru vnútornej správy

)))|(((

Biznis vlastník

)))

|(((

3.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca prevádzky

)))

|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca dodávateľa

)))

Zostavuje sa Projektový tím objednávateľa

1945

1946

* kľúčový používateľ,

1947

* biznis vlastník

1948

* manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)

1949

1950

1951

(% class="wrapped" %)

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

Erika Šelepová

)))|(((

Referent

)))|(((

Oddelenie kultúry a Regionálne turistické a informačné centrum

)))|(((

Kľúčový používateľ

)))

|(((

4.

)))|(((

Marek Podolinský

)))|(((

Manažér kybernetickej bezpečnosti

1980

)))|(((

1981

Oddelenie informatiky

)))|(((

MKB

)))

|(((

5.

)))|(((

TBD

)))|(((

Projektový manažér

)))|(((

TBD

)))|(((

Projektový manažér

)))

== {{id name="projekt_2540_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

1999

2000

2001

**Kľúčový používateľ**

2002

2003

* Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.

2004

* Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.

2005

* Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.

2006

* plní pokyny PM a dohody zo stretnutí projektového tímu.

**~ **

**Manažér kybernetickej bezpečnosti**

2011

2012

* Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).

2013

* Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.

2014

* Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.

2015

* Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.

2016

* Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.

2017

* Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

2018

2019

2020

**Projektový manažér**

2021

2022

* Zodpovedá za riadenie projektu počas celého životného cyklu projektu.

2023

* Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.

2024

* Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

2025

* Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.

2026

* Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

2027

* Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

2028

2029

2030

= {{id name="projekt_2540_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

Bez odkazov

= {{id name="projekt_2540_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =

2035

2036

2037

Príloha 1: Zoznam rizík a závislostí

Koniec dokumentu

[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013 e-Governmente

2045

2046

[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

Wiki zdrojový kód pre projekt_2540_Projektovy_zamer_detailny

Aplikácie

Navigácia

Moje posledné úpravy

Need help?