Naposledy upravil Admin-metais MetaIS 2024/11/14 18:25
Z verzie 3.1
upravil gabriel_rusznyak
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 6.2
upravil gabriel_rusznyak
-
Zmeniť komentár: Update document after refactoring.

Súhrn

Podrobnosti

Vlastnosti stránky
Názov
... ... @@ -1,1 +1,1 @@
1 -projekt_2541_Projektovy_zamer_detailny
1 +projektovy_zamer
Nadradený
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_2541.WebHome
Obsah
... ... @@ -305,7 +305,7 @@
305 305  
306 306  Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.
307 307  
308 -Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení samohodnotenia kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
308 +Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
309 309  
310 310  
311 311  
... ... @@ -312,6 +312,7 @@
312 312  Predmetom projektu je:
313 313  
314 314  * Tvorba bezpečnostnej dokumentácie a metodiky - vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
315 +* Realizácia (refundácia) auditu a opakovaného auditu kybernetickej bezpečnosti,
315 315  * Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,
316 316  * Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.
317 317  
... ... @@ -325,7 +325,7 @@
325 325  
326 326  
327 327  
328 -Predpokladaný rozpočet projektu: **334 139,54 EUR**
329 +Predpokladaný rozpočet projektu: (% style="text-decoration: none;" %)**345 331,31 **
329 329  
330 330  \\
331 331  
... ... @@ -335,13 +335,13 @@
335 335  
336 336  Mesto Kolárovo je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
337 337  
338 -Mesto v roku 2024 realizovalo „Samohodnotenie stave kybernetickej bezpečnosti“. Predmetom samohodnotenia bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
339 +Mesto v roku 2024 realizovalo „Audit kybernetickej bezpečnosti“. Predmetom auditu bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
339 339  
340 -Samohodnotením sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
341 +Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
341 341  
342 -Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného samohodnotenia.
343 +Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.
343 343  
344 -V zmysle výsledkov samohodnotenia kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
345 +V zmysle výsledkov auditu kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
345 345  
346 346  \\
347 347  
... ... @@ -362,9 +362,9 @@
362 362  
363 363  \\
364 364  
365 -**~ Realizované činnosti v rámci projektu**
366 +**Realizované činnosti v rámci projektu**
366 366  
367 -V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.
368 +V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) realizácia auditu a opakovaného auditu kybernetickej bezpečnosti, (3) implementáciu softvérových a hardvérových nástrojov**, **(4) činnosti manažéra kybernetickej bezpečnosti**.
368 368  
369 369  V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:
370 370  
... ... @@ -394,60 +394,65 @@
394 394  * vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
395 395  * vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
396 396  * vypracovanie postupov zálohovania a postupov na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
397 -* implementácia systému zálohovania.
398 +* implementácia systému zálohovania,
399 +* realizácia (refundácia) prvého a opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.
398 398  
399 399  \\
400 400  
401 -Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):
403 +Tieto činnosti budú naplnené podaktivitami (1), (2), (3) a (4):
402 402  
405 +\\
406 +
403 403  **Tvorba bezpečnostnej dokumentácie a metodiky (1)**
404 404  
405 -Potreba aktualizácie vyplýva z výsledkov samohodnotenia kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
409 +Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
406 406  
407 407  Jedná sa o vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
408 408  
409 -**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
413 +\\
410 410  
411 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ===
415 +**Realizácia auditu a opakovaného auditu kybernetickej bezpečnosti (2)**
412 412  
413 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
417 +Predmetom je refundácia nákladov súvisiacich s realizovam auditom kybernetickej bezpečnosti v zmysle zákona o KB a realizácia sledného / opakovaného auditu po 2 rokoch po realizácii prvého auditu kybernetickej bezpečnosti.
414 414  
415 -Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
419 +\\
416 416  
421 +**Implementácia softvérových a hardvérových nástrojov (3) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
422 +
423 +**Nástroj na centrálny manažment logov**
424 +
425 +Audit identifikoval vysoké riziko v danej oblasti a konštatoval nezavedený logovací štandard a nezabezpečené logovanie prevádzkových záznamov o každom prístupe do siete a informačného systému.
426 +
417 417  V rámci oblasti „Bezpečnosť pri prevádzke informačných systémov a sietí“ bude nástroj pokrývať oblasť zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
418 418  
419 419  Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov. V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
420 420  
421 -\\
431 +**Centrálny ticketovací systém**
422 422  
423 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
424 -
425 425  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
426 426  
427 -\\
428 -
429 429  **Prevádzkový monitoring**
430 430  
431 -Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
437 +Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
432 432  
433 -\\
434 -
435 435  **Aktualizácia / upgrade sieťovej vrstvy**
436 436  
437 -Vykonané samohodnotenie konštatovalo skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného samohodnotenia. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
441 +Vykonaný audit konštatoval, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
438 438  
439 -\\
440 -
441 441  **Aktualizácia / upgrade serverovej infraštruktúry**
442 442  
443 -Vykonané samohodnotenie konštatuje morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
445 +Mesto disponuje morálne zastaralou infraštruktúrou bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
444 444  
445 445  \\
446 446  
447 447  Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.
448 448  
449 -**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).
451 +
450 450  
453 +
454 +
455 +**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (4) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1), (2) a (3).
456 +
451 451  **~ **
452 452  
453 453  **~ **
... ... @@ -470,7 +470,7 @@
470 470  
471 471  
472 472  
473 -Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného samohodnotenia, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
479 +Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
474 474  
475 475  
476 476  
... ... @@ -652,7 +652,7 @@
652 652  
653 653  \\
654 654  
655 -Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
661 +Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
656 656  
657 657  \\
658 658  
... ... @@ -690,15 +690,15 @@
690 690  
691 691  1. **Ponechanie súčasného stavu**
692 692  
693 -Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo samohodnotenia kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
699 +Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
694 694  
695 695  1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**
696 696  
697 -Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení samohodnotenia KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
703 +Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
698 698  
699 699  1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**
700 700  
701 -Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci samohodnotenia kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
707 +Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
702 702  
703 703  \\
704 704  
... ... @@ -736,9 +736,9 @@
736 736  (% class="" %)|(((
737 737  Kritérium B
738 738  
739 -Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
745 +Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
740 740  )))|(((
741 -Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení samohodnotenia kybernetickej bezpečnosti
747 +Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti
742 742  )))|(((
743 743  X
744 744  )))|(((
... ... @@ -802,7 +802,7 @@
802 802  (% class="" %)|(((
803 803  Kritérium B
804 804  
805 -Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
811 +Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
806 806  )))|(((
807 807  nie
808 808  )))|(((
... ... @@ -810,11 +810,11 @@
810 810  )))|(((
811 811  čiastočne
812 812  )))|(((
813 -Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia samohodnotenia, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
819 +Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
814 814  )))|(((
815 815  áno
816 816  )))|(((
817 -Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z samohodnotenia kybernetickej bezpečnosti.
823 +Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.
818 818  )))
819 819  (% class="" %)|(((
820 820  Kritérium C
... ... @@ -863,8 +863,9 @@
863 863  Výstupom projektu budú:
864 864  
865 865  * projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
866 -* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),
867 -* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))
872 +* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky,
873 +* realizovaný (refundovaný) audit a opakovaný audit kybernetickej bezpečnosti,
874 +* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov,
868 868  
869 869  \\
870 870  
... ... @@ -880,11 +880,11 @@
880 880  
881 881  Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).
882 882  
883 -Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného samohodnotenia kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
890 +Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
884 884  
885 885  Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:
886 886  
887 -[[image:attach:image-2024-4-30_14-0-7.png||width="555"]]
894 +[[image:attach:Snímka obrazovky 2024-07-07 o 6.24.02.png||width="513"]]
888 888  
889 889  Obr.1 Biznis funkcie / podaktivity projektu
890 890  
... ... @@ -900,20 +900,18 @@
900 900  
901 901  === {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
902 902  
903 -Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
910 +Audit identifikoval vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
904 904  
905 905  Pre oblasť Bezpečnosti pri prevádzke informačných systémov a sietí slúži nástroj na ako riešenie v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov. Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM).V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
906 906  
907 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
914 +**Centrálny ticketovací systém**
908 908  
909 909  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
910 910  
911 -\\
918 +**Prevádzkový monitoring**
912 912  
913 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Prevádzkovýmonitoring"/}}Prevádzkový monitoring ===
920 +Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
914 914  
915 -=== {{id name="projekt_2541_Projektovy_zamer_detailny-Zrealizovanéhosamohodnoteniavyplynulo,žemestonepoužívanástrojnadetekciukybernetickýchbezpečnostnýchincidentov.Vrámciriešeniakybernetickýchbezpečnostnýchincidentovpredstavuje„Prevádzkovýmonitoring“nástrojnadetekciu,zberanepretržitévyhodnocovanieaevidenciukybernetickýchbezpečnostnýchudalostí.Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel."/}}Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. ===
916 -
917 917  \\
918 918  
919 919  \\
... ... @@ -1007,7 +1007,7 @@
1007 1007  (% class="" %)|(((
1008 1008  Práce/služby
1009 1009  )))|(((
1010 -44 460,00
1015 +5060,00
1011 1011  )))|(((
1012 1012  59 108,00
1013 1013  )))
... ... @@ -1044,7 +1044,7 @@
1044 1044  )))|(((
1045 1045  // //
1046 1046  )))|(((
1047 -21 000,00
1052 +22 591,77
1048 1048  )))
1049 1049  (% class="" %)|(((
1050 1050  **IT - OPEX- prevádzka**
Snímka obrazovky 2024-07-07 o 6.24.02.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +338.4 KB
Obsah
image-2024-4-30_14-0-30.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +150.2 KB
Obsah
image-2024-4-30_14-0-7.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +180.7 KB
Obsah
image-2024-4-30_14-1-44.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +94.2 KB
Obsah
image-2024-4-30_14-2-13.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +22.3 KB
Obsah
Confluence.Code.ConfluencePageClass[0]
Id
... ... @@ -1,1 +1,1 @@
1 -155324049
1 +155321650