projekt_2562_Projektovy_zamer_detailny
PROJEKTOVÝ ZÁMER
Vzor pre manažérsky výstup I-02
podľa vyhlášky MIRRI č. 401/2023 Z. z.
Povinná osoba | Mesto Zlaté Moravce |
Názov projektu | Kybernetická a informačná bezpečnosť v meste Zlaté Moravce |
Zodpovedná osoba za projekt | Mária Baloghová /Projektový manažér |
Realizátor projektu | Mesto Zlaté Moravce |
Vlastník projektu | PaedDr. Dušan Husár /Primátor |
Schvaľovanie dokumentu
Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis (alebo elektronický súhlas) |
Vypracoval |
|
|
|
|
|
1. História DOKUMENTU
Verzia | Dátum | Zmeny | Meno |
0.1 | 30.4.2024 | Pracovný návrh |
|
|
|
|
|
|
|
|
|
2. ÚČEL DOKUMENTU
Projektový zámer je v súlade s vyhláškou 401/2023 Z.z určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia zvýšenia kybernetickej a informačnej bezpečnosti mesta Zlaté Moravce
3. DEFINOVANIE PROJEKTU
3.1 Manažérske zhrnutie
Realizáciou projektu dôjde k zlepšeniu úrovne sieťovej a komunikačnej bezpečnosti, úrovne pri prevádzke informačných systémov a sietí a úrovne zabezpečenia prístupu užívateľov k sieti mesta Zlaté Moravce. Nakoľko v meste absentujú nástroje monitoringu resp priebežných hlbších analýzy a sledovania prevádzkových údajov a analýz bezpečnostných udalostí v sieti, je predmetom projektu aj zlepšenie tejto oblasti.
Výsledky projektu prinesú zníženie počtu bezpečnostných incidentov a zvýšenie bezpečnosti prevádzkovaných sietí a k celkovému posilneniu kybernetickej bezpečnosti mesta Zlaté Moravce. Tieto prínosy plynú ako pre používateľov systémov tak aj pre občanov.
3.2 Motivácia a rozsah projektu
Mesto v súčasnosti nedisponuje žiadnym riešením autentifikácie a autorizácie zariadení ako sú počítače, mobilné zariadenia, prípadne ďalšie zariadenia pri ich pripájaní a prístupe do siete. Mesto tak nemá v súčasnej úrovni zabezpečenia a konfigurácie možnosť zabezpečiť prístup horeuvedených zariadení na úrovni sieťových portov aktívnych sieťových prvkov, typov zariadení a/alebo skupín používateľov. Cieľom projektu je implementovať riešenie, ktoré umožní nastavovať politiky autentifikácie a autorizácie na úrovni sieťových portov tak, že tieto sa stanú kontrolovateľné a manažovateľné, a teda aj aktívne v závislosti od toho, či v nich pripojené zariadenie je autentifikované a autorizované.
Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym ďalším faktorom overovania prístupu používateľov do siete. V rámci projektu je potrebné nasadenie riešenia pre vzdialený prístup, ktorý bude pozostávať z nasadenia autentifikačného servera vyžadujúceho druhý stupeň overenia používateľa pristupujúceho do siete prostredníctvom implementácie dvojfaktorového overenia pre celkovo 30 používateľov.
Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym pokročilým nástrojom na monitoring svojho IT prostredia z pohľadu generovaných prevádzkových udalostí a logov. Podrobné prevádzkové a telemetrické údaje zariadení siete mesta nie sú v súčasnosti zberané, ukladané a ďalej analyzované, pričom tieto dáta predstavujú významný zdroj informácií o prítomných bezpečnostných hrozbách, ktorých včasná detekcia a reakcia na je z pohľadu zachovania vysokej úrovne informačnej a kybernetickej bezpečnosti kľúčová. Mesto Zlaté Moravce v rámci tejto aktivity plánuje zabezpečiť implementáciu a nasadenie riešenia auditného nástroja pre monitoring prevádzkových údajov a bezpečnostných udalostí vo svojej sieti.
Mesto Zlaté Moravce plánuje nasadiť riešenie centrálneho bezpečnostného manažmentu pre koncové stanice vrátane riešenia prevencie a detekcie pred hrozbami z vonkajšieho prostredia. Cieľom nasadeného systému je zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc.
3.2.1 Rozsah aktív mesta Zlaté Moravce pre hodnotenie dopadu prípadného kybernetického incidentu
Aktíva mesta Zlaté Moravce, ktoré je možné z hľadiska kybernetického incidentu považovať za najviac zraniteľnýmy je možné rozdeliť na informačné systémy a sieťovú infraštruktúru. Konkrétne uvádzanie zraniteľných miest týchto aktív nebude v tomto dokumente zverejnené.
Dotknuté informačné systémy mesta:
Informačný systém Korwin
Modulárny informačný systém zahŕňajúci Ekonomický a Evidenčný podsystém, manažérsky a administrátorský modul. Tento IS zahŕňa všetky činnosti mesta spojené s vedením účtovnícva a ekonomických agiend, evidenciou potrebných katalógov a databáz ako aj základné riadenie prístupov.
Informačný systém Memphis
Je registratúrnym systémom mesta Zlaté Moravce.
Informačný systém VEMA cloud
Informačný systém na spracovanie miezd zamestnancov mesta.
Informačný systém ascAgenda
komplexný informačný systém na riadenie a kompletnú administratívu školy. Od evidencie žiakov cez prácu s tlačivami až po funkcie ako elektronická žiacka knižka alebo elektronická triedna kniha.
Dochádzkový systém - Biometric
Elektronický systém na evidenciu prístupov zamestnancov a dochádzku
Sieťová infraštruktúra je tvorená:
Lokálna sieť - 48 portový switch + domain controller + dhcp
Wifi sieť (oddelená od Lokálnej siete) - Wireless controller
Prepojenie na štátne systémy (Regob a cisma je prepojenie na štátne registre pre matričnú agendu a evidenciu obyvateľstva)
Pripojenie do Internetovej siete - router ISP
Mailový server - MS Exchange
V rámci mesta sa využívajú aj klientské rozhrania ako napr. Finančnej správy, sociálnej a zdravotných poisťovní, ÚPVS a pod.
Hlavným cieľom projektu je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ISVS, teda najmä tých, ktoré vykazujú nesúlad s uvedenými normami a vyhláškou 362/2018 Z.z. a ktorých implementáciou dôjde k zvýšeniu ochrany v maximálnej možnej miere pred kybernetickým incidentom, ktorý by pre súčasné aktíva a infraštruktúru mesta Zlaté Moravce predstavoval nasledovný dopad:
ID | Dopad | Kategória | Definícia/popis |
1. | § 24 ods. 2 písm. a) zákona | I. | Mesto Zlaté Moravce zabezpečuje služby svojim obyvateľom ako aj podnikateľským subjektom. Výpadok informačných systémov mesta, ohrozenie pravosti, integrity alebo dôvernosti uchovávaných informácií vplyvom kybernetického incidentu by mohol zasiahnuť obyvateľov mesta, podnikateľské subjekty, užívateľov, ktorým je základná služba prístupná a obyvateľom okresu Zlaté Moravce. (40 765 v roku 2023) |
2. | § 24 ods. 2 písm. b) zákona a/alebo | I. | Vplyvom kybernetického incidentu je možné narušenie prevádzky základnej služby alebo prvku kritickej infraštruktúry s priamym dopadom na približne 7800 obyvateľov mesta v produktívnom veku a 1090 Po a SZČO v meste a sprostredkovane na všetkých obyvateľov mesta a obyvateľov spádových obcí v rámci okresu Zlaté Moravce (odhadom 11 000 obyvateľov). |
3. | § 24 ods. 2 písm. d) zákona Stupeň narušenia fungovania | III. | V prípade kybernetického incidentu, ktorého výsledkom by bolo znefunkčnenie informačných systémov mesta poskytujúcich základnú službu, je v nietorých prípadoch altenatívou fyzická návšteva príslušného úradu, alebo získanie údajov z fyzickej evidencie. No aj v tomto prípade bez funkčného infomačného systému je takáto alternatíva nerealistická |
4. | § 24 ods. 2 písm. e) zákona | I. | Kybernetický incident môže vyvolať vznik skôd priamo u viac ako 11 000 obyvateľov mesta a 1090 PO a SZČO subjektov a nepriamo u ďalších subjektov v rámci okresu. V prípade úniku osobných údajov obyvateľov, subjektov v rámci odberateľských vzťahov, štátnych inštitúcií (sociálna a zdravotné poisťovňe, daňový úrad a pod.), a tým vedúc k porušeniu zákona o ochrane osobných údajov je možné predpokladať pomerne vysoké škody. |
3.3 Zainteresované strany/Stakeholderi
ID | AKTÉR / STAKEHOLDER | SUBJEKT (názov / skratka) | ROLA (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | Informačný systém (MetaIS kód a názov ISVS) | Počet dotknutých subjektov (odhad) |
1. | Mesto Zlaté Moravce | Mesto Zlaté Moravce | Vlastník procesu/ vlastník dát/ prevádzkovateľ | IS Korwin | n/a |
2. | Zamestnanci mesta | Mesto Zlaté Moravce | Užívateľ IS | IS Korwin | 53 |
3. | Občan | FO/PO/OVM | Užívateľ IS – príjemca výhod | IS Korwin | Približne 7800 – odhad obyvateľstva v produktívnom veku |
4. | Podnikateľ | PO | Zákazník a Užívateľ IS | IS Korwin | 1090 (počet PO a SZČO) |
3.4 Ciele projektu
ID |
Názov cieľa | Názov strategického cieľa | Spôsob realizácie strategického cieľa |
1 | Zlepšenie úrovne sieťovej a komunikačnej bezpečnosti | Dôveryhodný štát pripravený na hrozby | nasadením systému autentifikácie a autorizácie prístupov užívateľov do siete verejného obstarávateľa prostredníctvom systému overovania založenom na protokole IEEE 802.1X |
2 | Zvýšenie úrovne pri prevádzke informačných systémov a sietí | Dôveryhodný štát pripravený na hrozby | nasadením systému dvojfaktorového overovania prihlasovania sa používateľov pri prístupe do siete Verejného obstarávateľa |
3 | Zvýšenie úrovne zabezpečenia prístupu užívateľov k sieti verejného obstarávateľa | Dôveryhodný štát pripravený na hrozby | nasadením systému dvojfaktorového overovania prihlasovania sa používateľov pri prístupe do siete Verejného obstarávateľa |
4 | Zvýšenie úrovne monitoringu, analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti verejného obstarávateľa | Dôveryhodný štát pripravený na hrozby | nasadením systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti Verejného obstarávateľa, nasadením systému bezpečnostného manažmentu pre koncové zariadenia Verejného obstarávateľa |
3.5 Merateľné ukazovatele (KPI)
ID |
ID/Názov cieľa | Názov | Popis | Merná jednotka | AS IS | TO BE | Spôsob ich merania | Pozn. |
1 | PO095 / PSKPS OI12 | Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov | Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov | verejné inštitúcie (počet) | 0 | 1 | Kvalitatívna analýza |
|
2 | PR017 / PSKPR CR11 | Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov | Počet priamo dotknutých používateľov | počet | 0 | 53 | Kvantitatívna analýza |
|
3.6 Špecifikácia potrieb koncového používateľa
Priamym koncovým používateľom výstupu projektu sú zamestnanci mesta Zlaté Moravce a IT oddelenie, a nepriamymi používateľmi sú občania mesta, podnikateľské subjekty, pre ktoré budú plynúť benefity z chráneného IS mesta.
Potreby mesta v tejto oblasti boli definované na základe auditu kybernetickej bezpečnosti v rámci ktorého boli identifikované nedostatky resp. nesúlad s legislatívnymi požiadavkami. Z uvedeného auditu má mesto zámer zlepšiť svoju kybernetickú bezpečnosť HW a SW štruktúry a eliminovať identifikované riziká.
Ku zlepšeniam bude dochádzať prioritne v nasledujúcich oblastiach:
- Oblasť autentifikácie a autorizácie prístupov
- Oblasť overovania prístupu
- Analýza a monitoring IT prostredia mesta
- Oblasť bezpečnostného manažmentu koncových zariadení
3.7 Riziká a závislosti
Riziká a závislosti sú popísané v prílohe Zoznam rizík a závislostí (excel).
3.8 Stanovenie alternatív
Vzhľadom na charakter projektu a povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a minimálne z vyhlášky 362/2018 Z.z. o obsahu bezpečnostných opatrení, obsahu a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, prichádzajú do úvahy iba dve binomické alternatívy:
- Ponechanie aktuálneho stavu
- Realizácia všetkých opatrení na zabezpečenie IS mesta identifikovaných bezpečnostným auditom a dosiahnutie súladu s legislatívnymi požiadavkami uvedenými v zákone a relevantných vyhláškach.
3.9 Multikriteriálna analýza
Vzhľadom na charakter alternatív je jediným kritériom pre rozhodovanie zabezpečenie ochrany IS mesta Zlaté Moravce pred kybernetickými útokmi a naplniť požiadavky zákona o KIB a zákona ISVS. Zároveň je toto kritérium tzv. KO kritériom. Ak má dôsť k splneniu zákonných požiadavie a ochrane IS mesta Zlaté Moravce je jedinou akceptovateľnou možnosťou alternatíva 2.
4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)
Aktivita | Oblasť | Činnosti | Typ výstupu |
Kybernetická a informačná bezpečnosť v meste Zlaté Moravce | Oblasť autentifikácie a autorizácie prístupov | Nasadenie systému autentifikácie a autorizácie prístupov užívateľov do siete mesta | Centrálny systém správy prístupov |
Zabezpečenie HW infraštruktúry | Zabezpečenie Switch zariadení do siete | ||
Oblasť overovania prístupu | Nasadenie systému dvojfaktorového overovania
| Vytvorenie autentifikátora, SW tokenizácie pre mobilné zariadenia, Správa koncových zariadení, VPN klient | |
Analýza a monitoring IT prostredia mesta | Nasadenie systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta | Vytvorenie systému monitorovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta | |
Oblasť bezpečnostného manažmentu koncových zariadení | Nasadenie systému bezpečnostného manažmentu pre koncové zariadenia | Zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc |
5. NÁHĽAD ARCHITEKTÚRY
Architektúra riešenia projektu je v zmysle usmernenia MIRRI SR rámcová, aby bolo z projektu možné identifikovať vytvárané komponenty s cieľom realizácie opatrení kybernetickej a informačnej bezpečnosti. Cieľom týchto komponentov je ochrana IS Mesta Zlaté Moravce,
5.1 Prehľad e-Government komponentov
Neaplikuje sa pre daný typ projektu
6. LEGISLATÍVA
Projekt nepredpokladá potrebu legislatívnych zmien pre naplnenie cieľov a dodanie výstupov projektu. Jediné legislatívne zmeny sa budú týkať interných dokumentov mesta a VZN.
7. Postup, spôsob nacenenia projektu, ROZPOČET A PRÍNOSY
Projekt bol nacenený na základe získania cenových ponúk uchádzačov.
Celková predpokladaná hodnota:
celkové oprávnené výdavky projektu predstavujú sumu 299 070,84 EUR,
požadovaná výška NFP predstavuje sumu 275 145,17 EUR
7.1 Sumarizácia nákladov a prínosov
Náklady |
|
Všeobecný materiál |
|
SW |
|
- Systém autentifikácie a autorizácie prístupov do siete | 3960 |
Systém dvojfaktorového overovania | 4320 |
SW token pre dvojfaktorové overovanie pre 30 používateľov | 1800 |
Systém analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí | 150000 |
Systém bezpečnostného manažmentu pre koncové zariadenia | 22176 |
Analýza a dizajn - činnosti expertov | 15360 |
Implementácia a testovanie - činnosti expertov | 38400 |
Nasadenie - činnosti expertov | 7680 |
HW |
|
Switch 8-portov | 4500 |
Switch 48-portov | 15000 |
Mzdové výdavky |
|
Manažér kybernetickej bezpečnosti | 16310,40 |
Spolu |
|
8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
ID | FÁZA/AKTIVITA | ZAČIATOK (odhad termínu) | KONIEC (odhad termínu) | POZNÁMKA |
1. | Prípravná fáza a Iniciačná fáza | 02/2024 | 04/2024 |
|
2. | Realizačná fáza | 08/2024 | 12/2024 |
|
2a | Analýza a Dizajn | 8/2024 | 10/2025 |
|
2b | Nákup technických prostriedkov, programových prostriedkov a služieb | 8/2024 | 1/2025 | Obstaranie dodávateľa služby |
2c | Implementácia a testovanie | 1/2025 | 7/2025 |
|
2d | Nasadenie | 4/2025 | 7/2025 |
|
3. | Dokončovacia fáza | 6/2025 | 7/2025 |
|
4. | Podpora prevádzky (SLA) | 07/2025 | 06/2030 |
|
Projekt bude realizovaný agilným prístupom s cieľom implementovať požiadavky vedúce k zvýšeniu užívateľskej prívetivosti pre všetkých stakeholderov.
9. PROJEKTOVÝ TÍM
Bude doplnený po VO.
ID | Meno a Priezvisko | Pozícia | Oddelenie | Rola v projekte |
1. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
2. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
3. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
10. PRÍLOHY
Príloha : Zoznam rizík a závislostí (Excel): https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html