projekt_2562_Projektovy_zamer_detailny
PROJEKTOVÝ ZÁMER
Vzor pre manažérsky výstup I-02
podľa vyhlášky MIRRI č. 401/2023 Z. z.
Povinná osoba | Mesto Zlaté Moravce |
Názov projektu | Kybernetická a informačná bezpečnosť v meste Zlaté Moravce |
Zodpovedná osoba za projekt | Mária Baloghová /Projektový manažér |
Realizátor projektu | Mesto Zlaté Moravce |
Vlastník projektu | PaedDr. Dušan Husár /Primátor |
Schvaľovanie dokumentu
Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis (alebo elektronický súhlas) |
Vypracoval |
1. História DOKUMENTU
Verzia | Dátum | Zmeny | Meno |
0.1 | 30.4.2024 | Pracovný návrh | |
2. ÚČEL DOKUMENTU
Projektový zámer je určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia zvýšenia kybernetickej a informačnej bezpečnosti mesta Zlaté Moravce
3. DEFINOVANIE PROJEKTU
3.1 Manažérske zhrnutie
Realizáciou projektu dôjde k zlepšeniu úrovne sieťovej a komunikačnej bezpečnosti, úrovne pri prevádzke informačných systémov a sietí a úrovne zabezpečenia prístupu užívateľov k sieti mesta Zlaté Moravce. Nakoľko v meste absentujú nástroje monitoringu resp priebežných hlbších analýzy a sledovania prevádzkových údajov a analýz bezpečnostných udalostí v sieti, je predmetom projektu aj zlepšenie tejto oblasti.
Výsledky projektu prinesú zníženie počtu bezpečnostných incidentov a zvýšenie bezpečnosti prevádzkovaných sietí a k celkovému posilneniu kybernetickej bezpečnosti mesta Zlaté Moravce. Tieto prínosy plynú ako pre používateľov systémov tak aj pre občanov.
3.2 Motivácia a rozsah projektu
Mesto v súčasnosti nedisponuje žiadnym riešením autentifikácie a autorizácie zariadení ako sú počítače, mobilné zariadenia, prípadne ďalšie zariadenia pri ich pripájaní a prístupe do siete. Mesto tak nemá v súčasnej úrovni zabezpečenia a konfigurácie možnosť zabezpečiť prístup horeuvedených zariadení na úrovni sieťových portov aktívnych sieťových prvkov, typov zariadení a/alebo skupín používateľov. Cieľom projektu je implementovať riešenie, ktoré umožní nastavovať politiky autentifikácie a autorizácie na úrovni sieťových portov tak, že tieto sa stanú kontrolovateľné a manažovateľné, a teda aj aktívne v závislosti od toho, či v nich pripojené zariadenie je autentifikované a autorizované.
Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym ďalším faktorom overovania prístupu používateľov do siete. V rámci projektu je potrebné nasadenie riešenia pre vzdialený prístup, ktorý bude pozostávať z nasadenia autentifikačného servera vyžadujúceho druhý stupeň overenia používateľa pristupujúceho do siete prostredníctvom implementácie dvojfaktorového overenia pre celkovo 30 používateľov.
Mesto Zlaté Moravce v súčasnosti nedisponuje žiadnym pokročilým nástrojom na monitoring svojho IT prostredia z pohľadu generovaných prevádzkových udalostí a logov. Podrobné prevádzkové a telemetrické údaje zariadení siete mesta nie sú v súčasnosti zberané, ukladané a ďalej analyzované, pričom tieto dáta predstavujú významný zdroj informácií o prítomných bezpečnostných hrozbách, ktorých včasná detekcia a reakcia na je z pohľadu zachovania vysokej úrovne informačnej a kybernetickej bezpečnosti kľúčová. Mesto Zlaté Moravce v rámci tejto aktivity plánuje zabezpečiť implementáciu a nasadenie riešenia auditného nástroja pre monitoring prevádzkových údajov a bezpečnostných udalostí vo svojej sieti.
Mesto Zlaté Moravce plánuje nasadiť riešenie centrálneho bezpečnostného manažmentu pre koncové stanice vrátane riešenia prevencie a detekcie pred hrozbami z vonkajšieho prostredia. Cieľom nasadeného systému je zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc.
3.3 Zainteresované strany/Stakeholderi
ID | AKTÉR / STAKEHOLDER | SUBJEKT (názov / skratka) | ROLA (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | Informačný systém (MetaIS kód a názov ISVS) | Počet dotknutých subjektov (odhad) |
1. | Mesto Zlaté Moravce | Mesto Zlaté Moravce | Vlastník procesu/ vlastník dát/ prevádzkovateľ | IS Korwin | n/a |
2. | Zamestnanci mesta | Mesto Zlaté Moravce | Užívateľ IS | IS Korwin | 53 |
3. | Občan | FO/PO/OVM | Užívateľ IS – príjemca výhod | IS Korwin | Približne 7800 – odhad obyvateľstva v produktívnom veku |
5. | Podnikateľ | PO | Zákazník a Užívateľ IS | IS Korwin | 1090 (počet PO a SZČO) |
3.4 Ciele projektu
ID | Názov cieľa | Názov strategického cieľa | Spôsob realizácie strategického cieľa |
1 | Zlepšenie úrovne sieťovej a komunikačnej bezpečnosti | Dôveryhodný štát pripravený na hrozby | nasadením systému autentifikácie a autorizácie prístupov užívateľov do siete verejného obstarávateľa prostredníctvom systému overovania založenom na protokole IEEE 802.1X |
2 | Zvýšenie úrovne pri prevádzke informačných systémov a sietí | Dôveryhodný štát pripravený na hrozby | nasadením systému dvojfaktorového overovania prihlasovania sa používateľov pri prístupe do siete Verejného obstarávateľa |
3 | Zvýšenie úrovne zabezpečenia prístupu užívateľov k sieti verejného obstarávateľa | Dôveryhodný štát pripravený na hrozby | nasadením systému dvojfaktorového overovania prihlasovania sa používateľov pri prístupe do siete Verejného obstarávateľa |
4 | Zvýšenie úrovne monitoringu, analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti verejného obstarávateľa | Dôveryhodný štát pripravený na hrozby | nasadením systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti Verejného obstarávateľa, nasadením systému bezpečnostného manažmentu pre koncové zariadenia Verejného obstarávateľa |
3.5 Merateľné ukazovatele (KPI)
ID | ID/Názov cieľa | Názov | Popis | Merná jednotka | AS IS | TO BE | Spôsob ich merania | Pozn. |
1 | PO095 / PSKPS OI12 | Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov | Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov | verejné inštitúcie (počet) | 0 | 1 | Kvalitatívna analýza | |
2 | PR017 / PSKPR CR11 | Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov | Počet priamo dotknutých používateľov | počet | 0 | 53 | Kvantitatívna analýza |
3.6 Špecifikácia potrieb koncového používateľa
Priamym koncovým používateľom výstupu projektu sú zamestnanci mesta Zlaté Moravce a IT oddelenie, a nepriamymi používateľmi sú občania mesta, podnikateľské subjekty, pre ktoré budú plynúť benefity z chráneného IS mesta.
Potreby mesta v tejto oblasti boli definované na základe auditu kybernetickej bezpečnosti v rámci ktorého boli identifikované nedostatky resp. nesúlad s legislatívnymi požiadavkami. Z uvedeného auditu má mesto zámer zlepšiť svoju kybernetickú bezpečnosť HW a SW štruktúry a eliminovať identifikované riziká.
Ku zlepšeniam bude dochádzať prioritne v nasledujúcich oblastiach:
- Oblasť autentifikácie a autorizácie prístupov
- Oblasť overovania prístupu
- Analýza a monitoring IT prostredia mesta
- Oblasť bezpečnostného manažmentu koncových zariadení
3.7 Riziká a závislosti
Riziká a závislosti sú popísané v prílohe Zoznam rizík a závislostí (excel).
3.8 Stanovenie alternatív
Vzhľadom na charakter projektu a povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a minimálne z vyhlášky 362/2018 Z.z. o obsahu bezpečnostných opatrení, obsahu a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, prichádzajú do úvahy iba dve binomické alternatívy:
- Ponechanie aktuálneho stavu
- Realizácia všetkých opatrení na zabezpečenie IS mesta identifikovaných bezpečnostným auditom a dosiahnutie súladu s legislatívnymi požiadavkami uvedenými v zákone a relevantných vyhláškach.
3.9 Multikriteriálna analýza
Vzhľadom na charakter alternatív je jediným kritériom pre rozhodovanie zabezpečenie ochrany IS mesta Zlaté Moravce pred kybernetickými útokmi a naplniť požiadavky zákona o KIB a zákona ISVS. Zároveň je toto kritérium tzv. KO kritériom. Ak má dôsť k splneniu zákonných požiadavie a ochrane IS mesta Zlaté Moravce je jedinou akceptovateľnou možnosťou alternatíva 2.
4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)
Aktivita | Oblasť | Činnosti | Typ výstupu |
Kybernetická a informačná bezpečnosť v meste Zlaté Moravce | Oblasť autentifikácie a autorizácie prístupov | Nasadenie systému autentifikácie a autorizácie prístupov užívateľov do siete mesta | Centrálny systém správy prístupov |
Zabezpečenie HW infraštruktúry | Zabezpečenie Switch zariadení do siete | ||
Oblasť overovania prístupu | Nasadenie systému dvojfaktorového overovania | Vytvorenie autentifikátora, SW tokenizácie pre mobilné zariadenia, Správa koncových zariadení, VPN klient | |
Analýza a monitoring IT prostredia mesta | Nasadenie systému analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta | Vytvorenie systému monitorovania prevádzkových údajov a bezpečnostných udalostí v sieti mesta | |
Oblasť bezpečnostného manažmentu koncových zariadení | Nasadenie systému bezpečnostného manažmentu pre koncové zariadenia | Zabezpečenie funkcionality centrálnej ochrany a správy koncových staníc |
5. NÁHĽAD ARCHITEKTÚRY
Neaplikuje sa pre daný typ projektu
5.1 Prehľad e-Government komponentov
Neaplikuje sa pre daný typ projektu
6. LEGISLATÍVA
Projekt nepredpokladá potrebu legislatívnych zmien pre naplnenie cieľov a dodanie výstupov projektu. Jediné legislatívne zmeny sa budú týkať interných dokumentov mesta a VZN.
7. Postup, spôsob nacenenia projektu, ROZPOČET A PRÍNOSY
Projekt bol nacenený na základe získania cenových ponúk uchádzačov.
Celková predpokladaná hodnota:
celkové oprávnené výdavky projektu predstavujú sumu 334 000,00 EUR,
požadovaná výška NFP predstavuje sumu 307 280,00 EUR
7.1 Sumarizácia nákladov a prínosov
Náklady | |
Všeobecný materiál | |
SW | |
- Systém autentifikácie a autorizácie prístupov do siete | 3960 |
Systém dvojfaktorového overovania | 4320 |
SW token pre dvojfaktorové overovanie pre 30 používateľov | 1800 |
Systém analýzy a sledovania prevádzkových údajov a bezpečnostných udalostí | 150000 |
Systém bezpečnostného manažmentu pre koncové zariadenia | 22176 |
Analýza a dizajn - činnosti expertov | 15360 |
Implementácia a testovanie - činnosti expertov | 38400 |
Nasadenie - činnosti expertov | 7680 |
HW | |
Switch 8-portov | 4500 |
Switch 48-portov | 15000 |
Mzdové výdavky | |
Manažér kybernetickej bezpečnosti | 16310,40 |
Spolu |
|
8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
ID | FÁZA/AKTIVITA | ZAČIATOK (odhad termínu) | KONIEC (odhad termínu) | POZNÁMKA |
1. | Prípravná fáza a Iniciačná fáza | 02/2024 | 04/2024 | |
2. | Realizačná fáza | 08/2024 | 12/2024 | |
2a | Analýza a Dizajn | 8/2024 | 10/2025 | |
2b | Nákup technických prostriedkov, programových prostriedkov a služieb | 8/2024 | 1/2025 | Obstaranie dodávateľa služby |
2c | Implementácia a testovanie | 1/2025 | 7/2025 | |
2d | Nasadenie | 4/2025 | 7/2025 | |
3. | Dokončovacia fáza | 6/2025 | 7/2025 | |
4. | Podpora prevádzky (SLA) | 07/2025 | 06/2030 |
Projekt bude realizovaný agilným prístupom s cieľom implementovať požiadavky vedúce k zvýšeniu užívateľskej prívetivosti pre všetkých stakeholderov.
9. PROJEKTOVÝ TÍM
Bude doplnený po VO.
ID | Meno a Priezvisko | Pozícia | Oddelenie | Rola v projekte |
1. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
2. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
3. | Doplniť meno a priezvisko | Doplniť pozíciu (pracovné zaradenie v línii) | Doplniť názov org. útvaru | Doplniť rolu v projekte |
10. PRÍLOHY
Príloha : Zoznam rizík a závislostí (Excel): https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html