Naposledy upravil Admin-metais MetaIS 2024/11/14 18:25
Z verzie 2.1
upravil gabriel_rusznyak
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 5.1
upravil gabriel_rusznyak
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -6,6 +6,7 @@
6 6  
7 7  \\
8 8  
9 +(% class="wrapped" %)
9 9  (% class="" %)|(((
10 10  Povinná osoba
11 11  )))|(((
... ... @@ -36,6 +36,7 @@
36 36  
37 37  **Schvaľovanie dokumentu**
38 38  
40 +(% class="wrapped" %)
39 39  (% class="" %)|(((
40 40  Položka
41 41  )))|(((
... ... @@ -82,6 +82,7 @@
82 82  
83 83  = {{id name="projekt_2541_Projektovy_zamer_detailny-1.HISTÓRIADOKUMENTU"/}}1.    HISTÓRIA DOKUMENTU =
84 84  
87 +(% class="wrapped" %)
85 85  (% class="" %)|(((
86 86  Verzia
87 87  )))|(((
... ... @@ -133,6 +133,7 @@
133 133  
134 134  == {{id name="projekt_2541_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==
135 135  
139 +(% class="wrapped" %)
136 136  (% class="" %)|(((
137 137  SKRATKA/POJEM
138 138  )))|(((
... ... @@ -269,6 +269,7 @@
269 269  
270 270  **Tab.č.1** Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]])
271 271  
276 +(% class="wrapped" %)
272 272  (% class="" %)|(((
273 273  **Základná služba**
274 274  )))|(((
... ... @@ -300,7 +300,7 @@
300 300  
301 301  Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.
302 302  
303 -Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení samohodnotenia kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
308 +Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
304 304  
305 305  
306 306  
... ... @@ -307,6 +307,7 @@
307 307  Predmetom projektu je:
308 308  
309 309  * Tvorba bezpečnostnej dokumentácie a metodiky - vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
315 +* Realizácia (refundácia) auditu a opakovaného auditu kybernetickej bezpečnosti,
310 310  * Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,
311 311  * Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.
312 312  
... ... @@ -320,7 +320,7 @@
320 320  
321 321  
322 322  
323 -Predpokladaný rozpočet projektu: **334 139,54 EUR**
329 +Predpokladaný rozpočet projektu: (% style="text-decoration: none;" %)**345 331,31 **
324 324  
325 325  \\
326 326  
... ... @@ -330,13 +330,13 @@
330 330  
331 331  Mesto Kolárovo je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
332 332  
333 -Mesto v roku 2024 realizovalo „Samohodnotenie stave kybernetickej bezpečnosti“. Predmetom samohodnotenia bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
339 +Mesto v roku 2024 realizovalo „Audit kybernetickej bezpečnosti“. Predmetom auditu bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
334 334  
335 -Samohodnotením sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
341 +Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
336 336  
337 -Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného samohodnotenia.
343 +Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.
338 338  
339 -V zmysle výsledkov samohodnotenia kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
345 +V zmysle výsledkov auditu kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
340 340  
341 341  \\
342 342  
... ... @@ -357,9 +357,9 @@
357 357  
358 358  \\
359 359  
360 -**~ Realizované činnosti v rámci projektu**
366 +**Realizované činnosti v rámci projektu**
361 361  
362 -V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.
368 +V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) realizácia auditu a opakovaného auditu kybernetickej bezpečnosti, (3) implementáciu softvérových a hardvérových nástrojov**, **(4) činnosti manažéra kybernetickej bezpečnosti**.
363 363  
364 364  V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:
365 365  
... ... @@ -389,60 +389,65 @@
389 389  * vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
390 390  * vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
391 391  * vypracovanie postupov zálohovania a postupov na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
392 -* implementácia systému zálohovania.
398 +* implementácia systému zálohovania,
399 +* realizácia (refundácia) prvého a opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.
393 393  
394 394  \\
395 395  
396 -Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):
403 +Tieto činnosti budú naplnené podaktivitami (1), (2), (3) a (4):
397 397  
405 +\\
406 +
398 398  **Tvorba bezpečnostnej dokumentácie a metodiky (1)**
399 399  
400 -Potreba aktualizácie vyplýva z výsledkov samohodnotenia kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
409 +Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
401 401  
402 402  Jedná sa o vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
403 403  
404 -**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
413 +\\
405 405  
406 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ===
415 +**Realizácia auditu a opakovaného auditu kybernetickej bezpečnosti (2)**
407 407  
408 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
417 +Predmetom je refundácia nákladov súvisiacich s realizovam auditom kybernetickej bezpečnosti v zmysle zákona o KB a realizácia sledného / opakovaného auditu po 2 rokoch po realizácii prvého auditu kybernetickej bezpečnosti.
409 409  
410 -Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
419 +\\
411 411  
421 +**Implementácia softvérových a hardvérových nástrojov (3) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
422 +
423 +**Nástroj na centrálny manažment logov**
424 +
425 +Audit identifikoval vysoké riziko v danej oblasti a konštatoval nezavedený logovací štandard a nezabezpečené logovanie prevádzkových záznamov o každom prístupe do siete a informačného systému.
426 +
412 412  V rámci oblasti „Bezpečnosť pri prevádzke informačných systémov a sietí“ bude nástroj pokrývať oblasť zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
413 413  
414 414  Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov. V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
415 415  
416 -\\
431 +**Centrálny ticketovací systém**
417 417  
418 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
419 -
420 420  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
421 421  
422 -\\
423 -
424 424  **Prevádzkový monitoring**
425 425  
426 -Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
437 +Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
427 427  
428 -\\
429 -
430 430  **Aktualizácia / upgrade sieťovej vrstvy**
431 431  
432 -Vykonané samohodnotenie konštatovalo skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného samohodnotenia. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
441 +Vykonaný audit konštatoval, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
433 433  
434 -\\
435 -
436 436  **Aktualizácia / upgrade serverovej infraštruktúry**
437 437  
438 -Vykonané samohodnotenie konštatuje morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
445 +Mesto disponuje morálne zastaralou infraštruktúrou bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
439 439  
440 440  \\
441 441  
442 442  Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.
443 443  
444 -**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).
451 +
445 445  
453 +
454 +
455 +**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (4) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1), (2) a (3).
456 +
446 446  **~ **
447 447  
448 448  **~ **
... ... @@ -465,12 +465,13 @@
465 465  
466 466  
467 467  
468 -Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného samohodnotenia, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
479 +Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
469 469  
470 470  
471 471  
472 472  == {{id name="projekt_2541_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==
473 473  
485 +(% class="wrapped" %)
474 474  (% class="" %)|(((
475 475  ID
476 476  )))|(((
... ... @@ -497,11 +497,11 @@
497 497  )))|(((
498 498  Vlastník procesu
499 499  )))|(((
500 -Integrovaný informačný systém Datalan Korwin
512 +[[isvs_10473>>url:https://metais.vicepremier.gov.sk/detail/ISVS/45417f1d-5a37-4684-b68a-840ed223e870/cimaster?tab=summarizingCart||style="text-decoration: none;text-align: left;" rel="nofollow" shape="rect" class="external-link"]] Integrovaný informačný systém Datalan Korwin
501 501  
502 -Registratúrna kniha Memphis
514 +(% style="color: rgb(51,51,51);text-decoration: none;" %)isvs_14302 (%%)Registratúrna kniha Memphis
503 503  
504 -Webové sídlo [[www.kolarovo.sk>>url:http://www.kolarovo.sk||shape="rect"]]
516 +[[isvs_12229>>url:https://metais.vicepremier.gov.sk/detail/ISVS/7ca4288e-496f-42d7-a80f-f372818c54eb/cimaster?tab=summarizingCart||style="text-decoration: none;text-align: left;" rel="nofollow" shape="rect" class="external-link"]] Webové sídlo [[www.kolarovo.sk>>url:http://www.kolarovo.sk||shape="rect"]]
505 505  )))
506 506  (% class="" %)|(((
507 507  2.
... ... @@ -521,6 +521,7 @@
521 521  
522 522  == {{id name="projekt_2541_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==
523 523  
536 +(% class="wrapped" %)
524 524  (% class="" %)|(((
525 525  ID
526 526  )))|(((
... ... @@ -561,6 +561,7 @@
561 561  
562 562  \\
563 563  
577 +(% class="wrapped" %)
564 564  (% class="" %)|(((
565 565  ID
566 566  )))|(((
... ... @@ -644,7 +644,7 @@
644 644  
645 645  \\
646 646  
647 -Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
661 +Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
648 648  
649 649  \\
650 650  
... ... @@ -682,15 +682,15 @@
682 682  
683 683  1. **Ponechanie súčasného stavu**
684 684  
685 -Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo samohodnotenia kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
699 +Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
686 686  
687 687  1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**
688 688  
689 -Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení samohodnotenia KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
703 +Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
690 690  
691 691  1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**
692 692  
693 -Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci samohodnotenia kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
707 +Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
694 694  
695 695  \\
696 696  
... ... @@ -698,6 +698,7 @@
698 698  
699 699  == {{id name="projekt_2541_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==
700 700  
715 +(% class="wrapped" %)
701 701  (% class="" %)|(((
702 702  **// //**
703 703  )))|(((
... ... @@ -727,9 +727,9 @@
727 727  (% class="" %)|(((
728 728  Kritérium B
729 729  
730 -Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
745 +Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
731 731  )))|(((
732 -Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení samohodnotenia kybernetickej bezpečnosti
747 +Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti
733 733  )))|(((
734 734  X
735 735  )))|(((
... ... @@ -751,6 +751,7 @@
751 751  
752 752  **Vyhodnotenie MCA**
753 753  
769 +(% class="wrapped" %)
754 754  (% class="" %)|(((
755 755  Zoznam kritérií
756 756  )))|(((
... ... @@ -792,7 +792,7 @@
792 792  (% class="" %)|(((
793 793  Kritérium B
794 794  
795 -Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
811 +Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
796 796  )))|(((
797 797  nie
798 798  )))|(((
... ... @@ -800,11 +800,11 @@
800 800  )))|(((
801 801  čiastočne
802 802  )))|(((
803 -Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia samohodnotenia, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
819 +Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
804 804  )))|(((
805 805  áno
806 806  )))|(((
807 -Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z samohodnotenia kybernetickej bezpečnosti.
823 +Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.
808 808  )))
809 809  (% class="" %)|(((
810 810  Kritérium C
... ... @@ -853,8 +853,9 @@
853 853  Výstupom projektu budú:
854 854  
855 855  * projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
856 -* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),
857 -* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))
872 +* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky,
873 +* realizovaný (refundovaný) audit a opakovaný audit kybernetickej bezpečnosti,
874 +* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov,
858 858  
859 859  \\
860 860  
... ... @@ -870,11 +870,11 @@
870 870  
871 871  Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).
872 872  
873 -Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného samohodnotenia kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
890 +Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
874 874  
875 875  Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:
876 876  
877 -[[image:attach:image-2024-4-30_14-0-7.png||width="555"]]
894 +[[image:attach:Snímka obrazovky 2024-07-07 o 6.24.02.png||width="513"]]
878 878  
879 879  Obr.1 Biznis funkcie / podaktivity projektu
880 880  
... ... @@ -890,20 +890,18 @@
890 890  
891 891  === {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
892 892  
893 -Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
910 +Audit identifikoval vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
894 894  
895 895  Pre oblasť Bezpečnosti pri prevádzke informačných systémov a sietí slúži nástroj na ako riešenie v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov. Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM).V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
896 896  
897 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
914 +**Centrálny ticketovací systém**
898 898  
899 899  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
900 900  
901 -\\
918 +**Prevádzkový monitoring**
902 902  
903 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Prevádzkovýmonitoring"/}}Prevádzkový monitoring ===
920 +Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
904 904  
905 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Zrealizovanéhosamohodnoteniavyplynulo,žemestonepoužívanástrojnadetekciukybernetickýchbezpečnostnýchincidentov.Vrámciriešeniakybernetickýchbezpečnostnýchincidentovpredstavuje„Prevádzkovýmonitoring“nástrojnadetekciu,zberanepretržitévyhodnocovanieaevidenciukybernetickýchbezpečnostnýchudalostí.Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel."/}}Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. ===
906 -
907 907  \\
908 908  
909 909  \\
... ... @@ -928,7 +928,7 @@
928 928  
929 929  \\
930 930  
931 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4     Prehľad integrácii ISVS na spoločné ISVS{{id name="_ftnref1"/}}^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===
946 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4     Prehľad integrácii ISVS na spoločné ISVS^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===
932 932  
933 933  V rámci projektu nebude realizovaná integrácia.
934 934  
... ... @@ -972,6 +972,7 @@
972 972  
973 973  \\
974 974  
990 +(% class="wrapped" %)
975 975  (% class="" %)|(((
976 976  Náklady
977 977  )))|(((
... ... @@ -996,7 +996,7 @@
996 996  (% class="" %)|(((
997 997  Práce/služby
998 998  )))|(((
999 -44 460,00
1015 +5060,00
1000 1000  )))|(((
1001 1001  59 108,00
1002 1002  )))
... ... @@ -1033,7 +1033,7 @@
1033 1033  )))|(((
1034 1034  // //
1035 1035  )))|(((
1036 -21 000,00
1052 +22 591,77
1037 1037  )))
1038 1038  (% class="" %)|(((
1039 1039  **IT - OPEX- prevádzka**
... ... @@ -1144,6 +1144,7 @@
1144 1144  
1145 1145  \\
1146 1146  
1163 +(% class="wrapped" %)
1147 1147  (% class="" %)|(((
1148 1148  ID
1149 1149  )))|(((
... ... @@ -1265,6 +1265,7 @@
1265 1265  
1266 1266  \\
1267 1267  
1285 +(% class="wrapped" %)
1268 1268  (% class="" %)|(((
1269 1269  ID
1270 1270  )))|(((
... ... @@ -1329,6 +1329,7 @@
1329 1329  
1330 1330  \\
1331 1331  
1350 +(% class="wrapped" %)
1332 1332  (% class="" %)|(((
1333 1333  **Projektová rola:**
1334 1334  )))|(((
... ... @@ -1420,6 +1420,7 @@
1420 1420  
1421 1421  \\
1422 1422  
1442 +(% class="wrapped" %)
1423 1423  (% class="" %)|(((
1424 1424  **Projektová rola:**
1425 1425  )))|(((
... ... @@ -1482,6 +1482,7 @@
1482 1482  
1483 1483  \\
1484 1484  
1505 +(% class="wrapped" %)
1485 1485  (% class="" %)|(((
1486 1486  **Projektová rola:**
1487 1487  )))|(((
... ... @@ -1579,6 +1579,7 @@
1579 1579  
1580 1580  \\
1581 1581  
1603 +(% class="wrapped" %)
1582 1582  (% class="" %)|(((
1583 1583  **Projektová rola:**
1584 1584  )))|(((
... ... @@ -1667,6 +1667,7 @@
1667 1667  
1668 1668  \\
1669 1669  
1692 +(% class="wrapped" %)
1670 1670  (% class="" %)|(((
1671 1671  **Projektová rola:**
1672 1672  )))|(((
... ... @@ -1741,6 +1741,7 @@
1741 1741  
1742 1742  \\
1743 1743  
1767 +(% class="wrapped" %)
1744 1744  (% class="" %)|(((
1745 1745  **Projektová rola:**
1746 1746  )))|(((
... ... @@ -1861,4 +1861,4 @@
1861 1861  
1862 1862  \\
1863 1863  
1864 -{{id name="_ftn1"/}}[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente
1888 +[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente
Snímka obrazovky 2024-07-07 o 6.24.02.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +338.4 KB
Obsah
image-2024-4-30_14-0-30.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +150.2 KB
Obsah
image-2024-4-30_14-0-7.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +180.7 KB
Obsah
image-2024-4-30_14-1-44.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +94.2 KB
Obsah
image-2024-4-30_14-2-13.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +22.3 KB
Obsah
Confluence.Code.ConfluencePageClass[0]
Id
... ... @@ -1,1 +1,1 @@
1 -155322802
1 +155321650