Naposledy upravil Admin-metais MetaIS 2024/11/14 18:25
Z verzie 5.1
upravil gabriel_rusznyak
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 3.1
upravil gabriel_rusznyak
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -305,7 +305,7 @@
305 305  
306 306  Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.
307 307  
308 -Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
308 +Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení samohodnotenia kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.
309 309  
310 310  
311 311  
... ... @@ -312,7 +312,6 @@
312 312  Predmetom projektu je:
313 313  
314 314  * Tvorba bezpečnostnej dokumentácie a metodiky - vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,
315 -* Realizácia (refundácia) auditu a opakovaného auditu kybernetickej bezpečnosti,
316 316  * Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,
317 317  * Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.
318 318  
... ... @@ -326,7 +326,7 @@
326 326  
327 327  
328 328  
329 -Predpokladaný rozpočet projektu: (% style="text-decoration: none;" %)**345 331,31 **
328 +Predpokladaný rozpočet projektu: **334 139,54 EUR**
330 330  
331 331  \\
332 332  
... ... @@ -336,13 +336,13 @@
336 336  
337 337  Mesto Kolárovo je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.
338 338  
339 -Mesto v roku 2024 realizovalo „Audit kybernetickej bezpečnosti“. Predmetom auditu bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
338 +Mesto v roku 2024 realizovalo „Samohodnotenie stave kybernetickej bezpečnosti“. Predmetom samohodnotenia bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.
340 340  
341 -Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
340 +Samohodnotením sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.
342 342  
343 -Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.
342 +Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného samohodnotenia.
344 344  
345 -V zmysle výsledkov auditu kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
344 +V zmysle výsledkov samohodnotenia kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
346 346  
347 347  \\
348 348  
... ... @@ -363,9 +363,9 @@
363 363  
364 364  \\
365 365  
366 -**Realizované činnosti v rámci projektu**
365 +**~ Realizované činnosti v rámci projektu**
367 367  
368 -V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) realizácia auditu a opakovaného auditu kybernetickej bezpečnosti, (3) implementáciu softvérových a hardvérových nástrojov**, **(4) činnosti manažéra kybernetickej bezpečnosti**.
367 +V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.
369 369  
370 370  V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:
371 371  
... ... @@ -395,65 +395,60 @@
395 395  * vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
396 396  * vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
397 397  * vypracovanie postupov zálohovania a postupov na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
398 -* implementácia systému zálohovania,
399 -* realizácia (refundácia) prvého a opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB.
397 +* implementácia systému zálohovania.
400 400  
401 401  \\
402 402  
403 -Tieto činnosti budú naplnené podaktivitami (1), (2), (3) a (4):
401 +Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):
404 404  
405 -\\
406 -
407 407  **Tvorba bezpečnostnej dokumentácie a metodiky (1)**
408 408  
409 -Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
405 +Potreba aktualizácie vyplýva z výsledkov samohodnotenia kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.
410 410  
411 411  Jedná sa o vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
412 412  
413 -\\
409 +**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
414 414  
415 -**Realizácia auditu a opakovaného auditu kybernetickej bezpečnosti (2)**
411 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ===
416 416  
417 -Predmetom je refundácia nákladov súvisiacich s realizovam auditom kybernetickej bezpečnosti v zmysle zákona o KB a realizácia sledného / opakovaného auditu po 2 rokoch po realizácii prvého auditu kybernetickej bezpečnosti.
413 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
418 418  
419 -\\
415 +Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
420 420  
421 -**Implementácia softvérových a hardvérových nástrojov (3) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:
422 -
423 -**Nástroj na centrálny manažment logov**
424 -
425 -Audit identifikoval vysoké riziko v danej oblasti a konštatoval nezavedený logovací štandard a nezabezpečené logovanie prevádzkových záznamov o každom prístupe do siete a informačného systému.
426 -
427 427  V rámci oblasti „Bezpečnosť pri prevádzke informačných systémov a sietí“ bude nástroj pokrývať oblasť zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.
428 428  
429 429  Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov. V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
430 430  
431 -**Centrálny ticketovací systém**
421 +\\
432 432  
423 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
424 +
433 433  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
434 434  
427 +\\
428 +
435 435  **Prevádzkový monitoring**
436 436  
437 -Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
431 +Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
438 438  
433 +\\
434 +
439 439  **Aktualizácia / upgrade sieťovej vrstvy**
440 440  
441 -Vykonaný audit konštatoval, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
437 +Vykonané samohodnotenie konštatovalo skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného samohodnotenia. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
442 442  
439 +\\
440 +
443 443  **Aktualizácia / upgrade serverovej infraštruktúry**
444 444  
445 -Mesto disponuje morálne zastaralou infraštruktúrou bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
443 +Vykonané samohodnotenie konštatuje morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.
446 446  
447 447  \\
448 448  
449 449  Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.
450 450  
451 -
449 +**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).
452 452  
453 -
454 -
455 -**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (4) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1), (2) a (3).
456 -
457 457  **~ **
458 458  
459 459  **~ **
... ... @@ -476,7 +476,7 @@
476 476  
477 477  
478 478  
479 -Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
473 +Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného samohodnotenia, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.
480 480  
481 481  
482 482  
... ... @@ -658,7 +658,7 @@
658 658  
659 659  \\
660 660  
661 -Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
655 +Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.
662 662  
663 663  \\
664 664  
... ... @@ -696,15 +696,15 @@
696 696  
697 697  1. **Ponechanie súčasného stavu**
698 698  
699 -Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
693 +Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo samohodnotenia kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.
700 700  
701 701  1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**
702 702  
703 -Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
697 +Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení samohodnotenia KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)
704 704  
705 705  1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**
706 706  
707 -Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
701 +Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci samohodnotenia kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.
708 708  
709 709  \\
710 710  
... ... @@ -742,9 +742,9 @@
742 742  (% class="" %)|(((
743 743  Kritérium B
744 744  
745 -Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
739 +Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
746 746  )))|(((
747 -Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti
741 +Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení samohodnotenia kybernetickej bezpečnosti
748 748  )))|(((
749 749  X
750 750  )))|(((
... ... @@ -808,7 +808,7 @@
808 808  (% class="" %)|(((
809 809  Kritérium B
810 810  
811 -Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)
805 +Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)
812 812  )))|(((
813 813  nie
814 814  )))|(((
... ... @@ -816,11 +816,11 @@
816 816  )))|(((
817 817  čiastočne
818 818  )))|(((
819 -Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
813 +Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia samohodnotenia, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.
820 820  )))|(((
821 821  áno
822 822  )))|(((
823 -Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.
817 +Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z samohodnotenia kybernetickej bezpečnosti.
824 824  )))
825 825  (% class="" %)|(((
826 826  Kritérium C
... ... @@ -869,9 +869,8 @@
869 869  Výstupom projektu budú:
870 870  
871 871  * projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
872 -* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky,
873 -* realizovaný (refundovaný) audit a opakovaný audit kybernetickej bezpečnosti,
874 -* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov,
866 +* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),
867 +* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))
875 875  
876 876  \\
877 877  
... ... @@ -887,11 +887,11 @@
887 887  
888 888  Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).
889 889  
890 -Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
883 +Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného samohodnotenia kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
891 891  
892 892  Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:
893 893  
894 -[[image:attach:Snímka obrazovky 2024-07-07 o 6.24.02.png||width="513"]]
887 +[[image:attach:image-2024-4-30_14-0-7.png||width="555"]]
895 895  
896 896  Obr.1 Biznis funkcie / podaktivity projektu
897 897  
... ... @@ -907,18 +907,20 @@
907 907  
908 908  === {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===
909 909  
910 -Audit identifikoval vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
903 +Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.
911 911  
912 912  Pre oblasť Bezpečnosti pri prevádzke informačných systémov a sietí slúži nástroj na ako riešenie v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov. Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM).V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.
913 913  
914 -**Centrálny ticketovací systém**
907 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===
915 915  
916 916  Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.
917 917  
918 -**Prevádzkový monitoring**
911 +\\
919 919  
920 -Z realizovaného auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.
913 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-Prevádzkovýmonitoring"/}}Prevádzkový monitoring ===
921 921  
915 +=== {{id name="projekt_2541_Projektovy_zamer_detailny-Zrealizovanéhosamohodnoteniavyplynulo,žemestonepoužívanástrojnadetekciukybernetickýchbezpečnostnýchincidentov.Vrámciriešeniakybernetickýchbezpečnostnýchincidentovpredstavuje„Prevádzkovýmonitoring“nástrojnadetekciu,zberanepretržitévyhodnocovanieaevidenciukybernetickýchbezpečnostnýchudalostí.Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel."/}}Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. ===
916 +
922 922  \\
923 923  
924 924  \\
... ... @@ -1012,7 +1012,7 @@
1012 1012  (% class="" %)|(((
1013 1013  Práce/služby
1014 1014  )))|(((
1015 -5060,00
1010 +44 460,00
1016 1016  )))|(((
1017 1017  59 108,00
1018 1018  )))
... ... @@ -1049,7 +1049,7 @@
1049 1049  )))|(((
1050 1050  // //
1051 1051  )))|(((
1052 -22 591,77
1047 +21 000,00
1053 1053  )))
1054 1054  (% class="" %)|(((
1055 1055  **IT - OPEX- prevádzka**
Snímka obrazovky 2024-07-07 o 6.24.02.png
Autor
... ... @@ -1,1 +1,0 @@
1 -XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,1 +1,0 @@
1 -338.4 KB
Obsah
image-2024-4-30_14-0-30.png
Autor
... ... @@ -1,1 +1,0 @@
1 -XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,1 +1,0 @@
1 -150.2 KB
Obsah
image-2024-4-30_14-0-7.png
Autor
... ... @@ -1,1 +1,0 @@
1 -XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,1 +1,0 @@
1 -180.7 KB
Obsah
image-2024-4-30_14-1-44.png
Autor
... ... @@ -1,1 +1,0 @@
1 -XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,1 +1,0 @@
1 -94.2 KB
Obsah
image-2024-4-30_14-2-13.png
Autor
... ... @@ -1,1 +1,0 @@
1 -XWiki.gabriel_rusznyak
Veľkosť
... ... @@ -1,1 +1,0 @@
1 -22.3 KB
Obsah
Confluence.Code.ConfluencePageClass[0]
Id
... ... @@ -1,1 +1,1 @@
1 -155321650
1 +155324049