PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    História DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v žiadosti) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Zároveň je možné manažérske produkty napísať všeobecne. Popis rizík ako aj mitigačných opatrení sú popísané v samostatnom dokumente.

2.1      Použité skratky a pojmy

2.2      Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

• F – funkčná požiadavka
• xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

Nxx

• N – nefunkčná požiadavka (NFR)
• xx – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

Txx

• T – technická požiadavka
• xx – číslo požiadavky

3.    DEFINOVANIE PROJEKTU

3.1      Manažérske zhrnutie

V súčasnosti žije v Mestskej časti Košice - Dargovských hrdinov 25 544 obyvateľov a z toho je 256 obyvateľov z MRK, čo predstavuje 1% z celkového počtu obyvateľov. V súčasnosti nemáme vykonanú klasifikáciu sietí a IS, nemáme definovanú stratégiu informačnej bezpečnosti. Windows 2019 Server máme  v správe spoločnosti Datalan kde beží aplikácia Korwin. Iba 6 pracovných staníc na ktorých sú nainštalované aplikácie spadajúce do elektronických služieb. Správa používateľov sa nerieši koncepčne v zmysle najnižších privilégií ale riadi pomocou lokálnych užívateľských účtov a cez pracovnú skupinu.

Ďalší popis východiskovej situácie MČ KE - Dargovských hrdinov v oblasti kybernetickej bezpečnosti:

SÚČASNÁ ÚROVEŇ INFORMAČNEJ A KYBERNETICKEJ BEZPEČNOSTI

• Implementácia sieťových zariadení nespĺňa požiadavky na bezpečnostné štandardy.
• Segmentácia sietí nie je implementovaná.
• Dokument popisujúci detailnú topológiu sietí neexistuje.
• Systém monitorovania bezpečnosti detekcie prienikov alebo identifikáciu nezvyčajných mechanizmov útokov sa nemonitoruje.
• Identifikácia technických zraniteľností sietí sa nevykonáva.
• Serverové vybavenie je úradu je zastaralé, nespĺňa potreby pre kontinuálne zabezpečenie prevádzky základnej služby.
• Neexistuje technické riešenie na zabezpečenie záloh a archivácie pre aplikačnú a dátovú časť prevádzky.
• Prevádzkový monitoring pre aktíva informačných systémov PZS nie je zadefinovaný. Monitoring technických parametrov sa nevykonáva.
• Predmetom projektu bude riešenie problematiky kľúčových opatrení Mestskej časti Košice Dargovských hrdinov s požiadavkami zákona o kybernetickej bezpečnosti a súvisiacich predpisov. Ide o opatrenia z nasledovných oprávnených oblastí podľa výzvy ako súčasť projektu: - stratégiu kybernetickej bezpečnosti, - bezpečnostné politiky kybernetickej bezpečnosti, - inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,- analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.
• Nejednotná bezpečnostná politika a rozdrobená sieťová infraštruktúra.
• Nedostatočná viditeľnosť do sieťovej prevádzky a bezpečnostných incidentov.
• Komplikovaná sprava viacerých zariadení a množstvo platforiem.
• Potreba podpory pre diaľkovú prácu bez kompromisu v bezpečnosti.
• Chýba komplexná bezpečnostná politika pre oblasť KB a jednotlivé požiadavky zo zákona 69/2019 a to :

o             Organizácia kybernetickej a informačnej bezpečnosti

o             Riadenie rizík

o             Personálna bezpečnosť

o             Riadenie prístupov

o             Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

o             Bezpečnosť pri prevádzke informačných systémov a sietí

o             Hodnotenie zraniteľností a bezpečnostné aktualizácie

o             Ochrana proti škodlivému kódu

o             Sieťová a komunikačná bezpečnosť

o             Akvizícia, vývoj a údržba informačných technológií verejnej správy

o             Zaznamenávanie udalostí a monitorovanie

o             Riešenie kybernetických bezpečnostných incidentov

o             Kryptografické opatrenia

o             Kontinuita prevádzky

o             Audit a kontrolné činnosti

3.2      Motivácia a rozsah projektu

Z vyššie uvedeného skutkového stavu nám hrozí vysoké riziko bezpečnostných incidentov a nedostatočná reakcia na hrozby.

Súčasná spracovaná bezpečnostná dokumentácia, ktorú je potrebné aktualizovať vychádza z:

• Bezpečnostnej stratégie kybernetickej bezpečnosti a bezpečnostných politík kybernetickej bezpečnosti,
• Klasifikácie informácií a kategorizácie sietí a informačných systémov,
• Zadokumentovania vymedzenia rozsahu a spôsobu plnenia všetkých bezpečnostných opatrení
• Analýzy rizík kybernetickej bezpečnosti

Návrh technických opatrení projektu vychádza z potrieb resp. doporučených opatrení práve tejto bezpečnostnej dokumentácie. Okrem uvedeného berie tiež do úvahy závery auditu kybernetickej bezpečnosti.

Tak ako je uvedené vyššie, momentálne nemáme komplexne vyriešenú problematiku  informačnej a kybernetickej bezpečnosti a bezpečnostnej dokumentácie. Náš miestny úrad potrebuje zabezpečiť konzistentnú ochranu pred kybernetickými hrozbami, zatiaľ čo zároveň musí zabezpečiť vysokú dostupnosť a výkon svojich kritických systémov.

3.3      Zainteresované strany/Stakeholderi

3.4      Ciele projektu

Hlavným cieľom projektu je „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti MČ Košice - Dargovských hrdinov.“

Špecifické ciele projektu:

• 
  Zvýšenie efektivity ochrany informačných systémov žiadateľa
• Zvýšenie rýchlosti prijímania rozhodnutí v prípade kybernetického incidentu
• Zoptimalizovanie zabezpečovania kybernetickej bezpečnosti v podmienkach žiadateľa
• Vyriešenie hlavných bezpečnostných rizík definovaných bezpečnostnou dokumentáciou a auditom kybernetickej bezpečnosti 

3.5      Merateľné ukazovatele (KPI)

P0193 Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov 25

PO095 Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov - 1

3.6      Špecifikácia potrieb koncového používateľa

Na základe realizovaného auditu kybernetickej bezpečnosti mesto identifikuje mieru rizika a možné dopady, resp.

nesúlad s legislatívnymi požiadavkami. Na základe realizovaného auditu kybernetickej bezpečnosti mesto identifikuje

mieru rizika a možné dopady, resp. nesúlad s legislatívnymi požiadavkami. V rámci projektu mesto chce zlepšiť

kybernetickú bezpečnosť svojej HW a SW infraštruktúry, zabezpečiť elimináciu identifikovaných rizík s najvyššou

prioritou. Obsahom projektu je nákup HW a licencií/SW a s tým súvisiace služby, podporu ako aj zvýšenie personálnych

kapacít pre zabezpečenie KIB.

Na základe realizovaného auditu kybernetickej bezpečnosti mestská časť identifikuje mieru rizika a možné dopady, resp. istý

nesúlad s legislatívnymi požiadavkami. V rámci projektu mesto rieši elimináciu rizík s najvyššou prioritou a to

nasledujúcimi opatreniami:

• Vymedzenie rozsahu prijatých bezpečnostných opatrení v dokumentácií pre jednotlivé prevádzkované

informačné systémy.

• Vymedzenie právomoci, povinnosti a zodpovednosti pre všetky role zadefinované v smernici stratégie KIB.
• Odstránenie nedostatkov v identifikovaní aktív, vlastníkov aktív a podporných aktív.
• Zavedenie centrálneho monitoringu - zaznamenávanie a vyhodnocovanie prevádzkových a bezpečnostných

záznamov.

• Zbieranie nižšie požadovaných logov:

o úspešné a neúspešné privilegované operácie (vykonávané pod privilegovanými účtami),

o úspešné a neúspešné prístupy k log súborom,

o vytváranie, úprava a mazanie používateľských účtov, skupinových účtov a objektov vrátane súborov,

adresárov a používateľských účtov.

• Automatické zaznamenávanie každého prístupu administrátora do informačných technológií verejnej správy a

automatické zaznamenávanie prístupu používateľa.

3.7      Riziká a závislosti

Prílohou projektu je aj súbor vo formáte *.xls, ktorý detailne opisuje riziká a vzájomné závislosti projektu KIB.

3.8      Stanovenie alternatív v biznisovej vrstve architektúry

Mestská časť Košice – Dargovských hrdinov má zabezpečenú čiastočnú úroveň kybernetickej bezpečnosti, preto prichádzajú do úvahy nasledovné alternatívy:

1. Ponechanie existujúceho stavu, v ktorom na základe auditu KIB boli identifikované nesúlady s legislatívnymi požiadavkami a možné ohrozenie IS MČ Košice – Dargovských hrdinov kybernetickým útokom s vážnymi dôsledkami.
2. Realizácia projektu KIB s riešením vybraných opatrení (t.j. nie všetkých nevyhnutných), ktoré identifikoval audit KIB ako tie, v ktorých je kritický nesúlad so zákonom o kybernetickej bezpečnosti a vyhláškou č. 362/2018 Z. z.– t.j. došlo by k zvýšeniu súladu s legislatívou, ale informačné systémy na Miestnom úrade Košice – DH by boli naďalej kriticky ohrozené.
3. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu IS pred identifikovanými hrozbami. Z hľadiska identifikovaných procesov vyššie alternatíva (1) nepokryje riešenie žiadneho z identifikovaného problémov. V prípade čiastkového riešenia (2) by boli zvolené iba niektoré z procesov, ktoré by boli projektom vyriešené. V prípade možnosti (3) budú podporené všetky procesy v oblasti KIB, ktoré je potrebné pre účely ochrany IS, a ktoré zabezpečujú prevádzku základných kompetencií a služieb MČ Košice – DH.

3.9      Multikriteriálna analýza

Multikriteriálna analýza je redukovaná na jediný parameter, či bude zabezpečená ochrana IS pred kybernetickými útokmi, ktorou alternatívou z vyššie identifikovaných je možné naplniť potrebu zosúladenia úrovne KIB s požiadavkami zákona o KIB a zákona o ISVS. Táto požiadavka sa dotýka všetkých stakeholderov a predstavuje KO kritérium. Ak nemá dôjsť k zásadnému zvýšeniu kybernetickej a informačnej bezpečnosti, t.j. ak má zostať ponechaný stav alebo iba dôjde k čiastočnému zlepšeniu, nebude možné považovať realizovaný projekt za úspešný. Z vyššie uvedených možných alternatív vyplýva, že s ohľadom na potreby je jediná akceptovateľná a dlhodobo udržateľná možnosť (2).

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi - tými sú v tomto prípade referát informatiky, ktoré vychádza z požiadaviek zákona o KIB, zákona o ISVS, vyhlášky 362/2018 Z. z. a ďalších predpisov. Realizácia všetkých opatrení na úrovni miestnej samosprávy, ktoré budú realizované v rámci projektu, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

Z hľadiska navrhovaných technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológiu, ktorá splní definované požiadavky koncového používateľa, bolo možné použiť na realizáciu projektu.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Efektivita navrhovaného riešenia projektu sa prejavuje najmä v skutočnosti, že prioritné oblasti, ktoré projekt rieši boli definované na základe reálnych požiadaviek a problémov žiadateľa, ktoré sú bližšie špecifikované v časti 7.1 ŽoNFP. Uvedené oblasti sú vybraté ako najkritickejšie a najpálčivejšie. Návrh aktivít projektu bol zároveň tiež riešený v súlade so spracovanou bezpečnostnou dokumentáciou, ktorú má žiadateľ spracovanú a plne reflektuje na jej podmienky a požiadavky.

Navrhované riešenia vybudované v rámci predkladaného projektu budú fungovať ako jeden komplexný celok zabezpečujúci vyššiu mieru kybernetickej ochrany Mestskej časti Košice – Dargovských hrdinov, aj napriek tomu, že budú riešené ako samostatné logické časti.

Realizácia projektu v súlade s navrhovanou koncepciou umožní značne zlepšiť manažment kybernetickej bezpečnosti žiadateľa a zároveň umožní eliminovať rizikové oblasti definované bezpečnostnou dokumentáciou. Projekt svojou realizáciou umožní značne prispieť k viacerým oblastiam kvality a úrovne ochrany informačných systémov žiadateľa a jeho dopady sa odzrkadlia najmä v nasledujúcich oblastiach:

• Zvýšenie efektivity ochrany informačných systémov žiadateľa
• Zvýšenie rýchlosti prijímania rozhodnutí v prípade kybernetického incidentu
• Zoptimalizovanie zabezpečovania kybernetickej bezpečnosti v podmienkach žiadateľa
• Vytvorenie efektívneho systému bezpečnostného monitoringu IKT prostredia žiadateľa
• Zvýšenie úrovne bezpečnosti pripájania externých bodov do siete žiadateľa
• Vyriešenie hlavných bezpečnostných rizík definovaných bezpečnostnou dokumentáciou a auditom kybernetickej bezpečnosti

5.    NÁHĽAD ARCHITEKTÚRY

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré

komponenty v rámci realizácie projektu budú vytvorené a budú realizovať opatrenia KIB.

6.    LEGISLATÍVA

Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou a to najmä:

• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov
• Vyhláška 362/2018 Z.z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení)
• Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov
• Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS
• Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS
• Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

7.    ROZPOČET A PRÍNOSY

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Predpokladaný začiatok projektu – 08/2024, koniec projektu – 07/2026

9.    PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV – PhDr. Peter Derevjaník, PhD.
• Zástupca dodávateľa - (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (PM) – Bc. Vasil Hlinka

10. ODKAZY

Bez obsahu.

11. PRÍLOHY

Prílohou projektu je aj súbor vo formáte *.xls, ktorý detailne opisuje riziká a vzájomné závislosti projektu KIB.