Wiki zdrojový kód pre projekt_2657_Projektovy_zamer_detailny
Naposledy upravil Admin-metais MetaIS 2024/11/07 13:09
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | **PROJEKTOVÝ ZÁMER** | ||
| 2 | |||
| 3 | **manažérsky výstup I-02** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z.** | ||
| 6 | |||
| 7 | |||
| 8 | |((( | ||
| 9 | Povinná osoba | ||
| 10 | )))|((( | ||
| 11 | Východoslovenský ústav srdcových a cievnych chorôb, a.s. | ||
| 12 | ))) | ||
| 13 | |((( | ||
| 14 | Názov projektu | ||
| 15 | )))|((( | ||
| 16 | Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Východoslovenského ústavu srdcových a cievnych chorôb | ||
| 17 | ))) | ||
| 18 | |((( | ||
| 19 | Zodpovedná osoba za projekt | ||
| 20 | )))|((( | ||
| 21 | Ing. Marián ALBERT, PhD., MBA | ||
| 22 | ))) | ||
| 23 | |((( | ||
| 24 | Realizátor projektu | ||
| 25 | )))|((( | ||
| 26 | Východoslovenský ústav srdcových a cievnych chorôb, a.s. | ||
| 27 | ))) | ||
| 28 | |((( | ||
| 29 | Vlastník projektu | ||
| 30 | )))|((( | ||
| 31 | Východoslovenský ústav srdcových a cievnych chorôb, a.s. | ||
| 32 | ))) | ||
| 33 | |||
| 34 | **~ ** | ||
| 35 | |||
| 36 | **Schvaľovanie dokumentu** | ||
| 37 | |||
| 38 | |((( | ||
| 39 | Položka | ||
| 40 | )))|((( | ||
| 41 | Meno a priezvisko | ||
| 42 | )))|((( | ||
| 43 | Organizácia | ||
| 44 | )))|((( | ||
| 45 | Pracovná pozícia | ||
| 46 | )))|((( | ||
| 47 | Dátum | ||
| 48 | )))|((( | ||
| 49 | Podpis | ||
| 50 | |||
| 51 | (alebo elektronický súhlas) | ||
| 52 | ))) | ||
| 53 | |((( | ||
| 54 | Vypracoval | ||
| 55 | )))|((( | ||
| 56 | Ing. Marián ALBERT, PhD., MBA | ||
| 57 | )))|((( | ||
| 58 | Východoslovenský ústav srdcových a cievnych chorôb, a.s. | ||
| 59 | )))|((( | ||
| 60 | Manažér kybernetickej bezpečnosti | ||
| 61 | )))|((( | ||
| 62 | 3.6.2024 | ||
| 63 | )))|((( | ||
| 64 | |||
| 65 | ))) | ||
| 66 | |||
| 67 | **~ ** | ||
| 68 | |||
| 69 | = {{id name="projekt_2657_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1. História DOKUMENTU = | ||
| 70 | |||
| 71 | |((( | ||
| 72 | Verzia | ||
| 73 | )))|((( | ||
| 74 | Dátum | ||
| 75 | )))|((( | ||
| 76 | Zmeny | ||
| 77 | )))|((( | ||
| 78 | Meno | ||
| 79 | ))) | ||
| 80 | |((( | ||
| 81 | 0.1 | ||
| 82 | )))|((( | ||
| 83 | 9.5.2024 | ||
| 84 | )))|((( | ||
| 85 | Pracovný návrh | ||
| 86 | )))|((( | ||
| 87 | |||
| 88 | ))) | ||
| 89 | |((( | ||
| 90 | 0.2 | ||
| 91 | )))|((( | ||
| 92 | 10.5.2024 | ||
| 93 | )))|((( | ||
| 94 | Zapracovanie pripomienok | ||
| 95 | )))|((( | ||
| 96 | |||
| 97 | ))) | ||
| 98 | |((( | ||
| 99 | 0.3 | ||
| 100 | )))|((( | ||
| 101 | 21.5.2024 | ||
| 102 | )))|((( | ||
| 103 | Zapracovanie pripomienok | ||
| 104 | )))|((( | ||
| 105 | |||
| 106 | ))) | ||
| 107 | |((( | ||
| 108 | |||
| 109 | )))|((( | ||
| 110 | |||
| 111 | )))|((( | ||
| 112 | |||
| 113 | )))|((( | ||
| 114 | |||
| 115 | ))) | ||
| 116 | |||
| 117 | **~ ** | ||
| 118 | |||
| 119 | = {{id name="projekt_2657_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2. DEFINOVANIE PROJEKTU = | ||
| 120 | |||
| 121 | |||
| 122 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1 Manažérske zhrnutie == | ||
| 123 | |||
| 124 | Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy. | ||
| 125 | |||
| 126 | Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti. | ||
| 127 | |||
| 128 | Aktuálna situácia v oblasti informačnej a kybernetickej bezpečnosti (ďalej ako “KIB”) v našej organizácii nie je ideálna. Východoslovenský ústav srdcových a cievnych chorôb, a.s. (ďalej ako ”VÚSCH”) nemá implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB. | ||
| 129 | |||
| 130 | |||
| 131 | VÚSCH nemá implementované požiadavky v oblasti KIB z nasledovných dôvodov: | ||
| 132 | |||
| 133 | * nie sú k dispozícii dostatočné personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov a riešení, | ||
| 134 | * nie sú k dispozícii ani dostatočné finančné zdroje, | ||
| 135 | * nemáme aktualizovanú analýzu rizík a analýzu dopadov (AR/BIA), riziká nie sú dostatočne formálne riadené, | ||
| 136 | * nemáme spracované základné dokumenty pre niektoré oblasti riadenia informačnej bezpečnosti, z ktorých by vyplývalo, aké opatrenia je potrebné implementovať a ako a akým spôsobom ich realizovať, | ||
| 137 | * nemáme zavedené niektoré procesy riadenia KIB. | ||
| 138 | |||
| 139 | |||
| 140 | Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, čo chceme naplniť nasledujúcimi pod-aktivitami: | ||
| 141 | |||
| 142 | * Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB: | ||
| 143 | ** aktualizácia stratégie kybernetickej bezpečnosti, | ||
| 144 | ** aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti, | ||
| 145 | ** vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB (najmä smernica pre používateľov ohľadom IB, BCM politika, SSDLC smernica, riadenie bezpečnosti v prevádzke IT a pod.). | ||
| 146 | |||
| 147 | |||
| 148 | * Analytické aktivity: | ||
| 149 | ** aktualizácia identifikácie a evidencie informačných aktív, | ||
| 150 | ** detailná klasifikácia informácií a kategorizácia IS a sietí, | ||
| 151 | ** analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív, | ||
| 152 | ** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík, | ||
| 153 | ** na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS, | ||
| 154 | ** aktualizácia plánu zálohovania podľa výsledkov AR/BIA, | ||
| 155 | ** identifikácia zdrojov log súborov potrebných pre komplexné vyhodnocovanie bezpečnostných udalostí, analýza štruktúry log súborov, návrh optimálneho zberu log súborov, návrh optimálneho uchovávanie log súborov pre potreby forenznej analýzy, | ||
| 156 | * Implementačné aktivity bezpečnostných riešení: | ||
| 157 | ** zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA a zaškolenie administrátorov VÚSCH, | ||
| 158 | ** dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov VÚSCH, | ||
| 159 | ** dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov VÚSCH, sieťových zariadení a koncových staníc, spoločne s funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics), UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring), Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania bezpečnostných udalostí vrátane zaškolenia administrátorov VÚSCH, | ||
| 160 | ** zabezpečenie služby bezpečnostného monitoringu od externého subjektu (SOC as a service) a zladenie interných procesov riešenia bezpečnostných incidentov s procesmi SOC, | ||
| 161 | ** dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA na všetky VPN pripojenia a na prístup „power users“ k správe IS a zaškolenie administrátorov VÚSCH, | ||
| 162 | ** dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner) s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries VÚSCH dostupných zo siete internet, vrátane zaškolenia administrátorov VÚSCH, | ||
| 163 | ** dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie zamestnancov formou phishingových kampaní a zaškolenie administrátora VÚSCH, | ||
| 164 | ** vykonanie nasledovných bezpečnostných testovaní: | ||
| 165 | *** vulnerability test (scan) interných systémov, pracovných staníc, sieťovej infraštruktúry, | ||
| 166 | *** phishingové testovanie interných zamestnancov VÚSCH. | ||
| 167 | |||
| 168 | |||
| 169 | * Pre-financovanie nasledovných, legislatívou vyžadovanej aktivity: | ||
| 170 | ** pre-financovanie aktualizácie inventarizácie aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej implementácii vyššie uvedených bezpečnostných riešení. | ||
| 171 | |||
| 172 | |||
| 173 | Výsledkom projektu bude implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB, zrealizovaná klasifikácia a kategorizácia a AR/BIA, a zavedený formalizovaný proces riadenia rizík, vrátane podpory IKT nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely zberu a ukladania logov a bezpečnostného monitoringu, skenovanie zraniteľností, rozšírenej ochrany kritických prvkov infraštruktúry, ale napr. aj riešenie viac-faktorovej autentifikácie a pod. | ||
| 174 | |||
| 175 | Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti, okrem služby SIEM/SOC, ktorá bude zabezpečená externou formou – externými kapacitami.. | ||
| 176 | |||
| 177 | |||
| 178 | Celková žiadaná výška ŽoNFP je 299 614, 40 EUR. | ||
| 179 | |||
| 180 | |||
| 181 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2 Motivácia a rozsah projektu == | ||
| 182 | |||
| 183 | |||
| 184 | Hlavnou motiváciou projektu je zvýšenie úrovne KIB, aby VÚSCH bol lepšie pripravený čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát. | ||
| 185 | |||
| 186 | |||
| 187 | Medzi hlavné ciele systému riadenia KIB patria: | ||
| 188 | |||
| 189 | * zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie, | ||
| 190 | * monitorovanie prostredia, | ||
| 191 | * evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu. | ||
| 192 | |||
| 193 | |||
| 194 | Na rozdiel od súčasného stavu bude VÚSCH disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého prostredia, ako aj ochranu dát. | ||
| 195 | |||
| 196 | |||
| 197 | Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s naplnením povinností: | ||
| 198 | |||
| 199 | * definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"), | ||
| 200 | * opatreniami definovanými v § 20 zákona o KB, | ||
| 201 | * nutnosť zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká, | ||
| 202 | * zabezpečenie realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti, | ||
| 203 | * ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB, | ||
| 204 | * ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti. | ||
| 205 | |||
| 206 | |||
| 207 | Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti: | ||
| 208 | |||
| 209 | * Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov. | ||
| 210 | * Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií. | ||
| 211 | * VÚSCH nemá vykonanú detailnú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie), ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti, inventarizáciu aktív a riadenie rizík vykonávajú zväčša neformalizovaným spôsobom bez IKT podpory. | ||
| 212 | * Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre niektoré oblasti riadenia KIB. | ||
| 213 | |||
| 214 | |||
| 215 | Chýbajú bezpečnostné funkcie najmä v oblasti: | ||
| 216 | |||
| 217 | * evidencie aktív a podpory AR/BIA, | ||
| 218 | * viac-faktorovej autentifikácie, | ||
| 219 | * automatického a kontinuálneho preverovania zraniteľností jednotlivých systémov, | ||
| 220 | * centrálneho zberu logov a auditných záznamov, | ||
| 221 | * komplexného bezpečnostného monitoringu, | ||
| 222 | * sieťovej a komunikačnej bezpečnosti. | ||
| 223 | |||
| 224 | |||
| 225 | Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti: | ||
| 226 | |||
| 227 | * konsolidácie logov a auditných záznamov, | ||
| 228 | * analyzovanie bezpečnostných udalostí a incidentov minimálne v režime 8/5 a ich vyhodnocovanie, | ||
| 229 | * riešenie bezpečnostných incidentov, | ||
| 230 | * obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov. | ||
| 231 | |||
| 232 | |||
| 233 | **Informačné systémy v správe VÚSCH:** | ||
| 234 | |||
| 235 | * Nemocničný informačný systém Promis. | ||
| 236 | * PACS - Konzola T30. | ||
| 237 | * Laboratórny informačný systém. | ||
| 238 | * Ekonomický informačný systém - Softip profit. | ||
| 239 | * Dochádzkový informačný systém SVYDO. | ||
| 240 | * Mailový server Kerio Connect. | ||
| 241 | * Service desk Alvao + Alvao asset management console. | ||
| 242 | * Webové sídlo VÚSCH. | ||
| 243 | |||
| 244 | |||
| 245 | Implementácia projektu bude prebiehať v rámci oprávneného typu akcie: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy a zdravotníckych zariadení v nasledovných krokoch: | ||
| 246 | |||
| 247 | __ __ | ||
| 248 | |||
| 249 | **__Hlavná aktivita: __Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti** | ||
| 250 | |||
| 251 | |||
| 252 | Jednotlivé pod-aktivity v rámci implementácie projektu: | ||
| 253 | |||
| 254 | __ __ | ||
| 255 | |||
| 256 | 1. **Analýza a dizajn bude obsahovať:** | ||
| 257 | |||
| 258 | * konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení, | ||
| 259 | * identifikáciu a analýzu rolí, procesov a integrácii, | ||
| 260 | * funkčnú a nefunkčnú špecifikáciu celého riešenia, | ||
| 261 | * definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami. | ||
| 262 | |||
| 263 | |||
| 264 | 1. **Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia** | ||
| 265 | |||
| 266 | * Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti. | ||
| 267 | * Bezpečnostné riešenie ochrany kritických sieťových prvkov. | ||
| 268 | * Vulnerability scanner. | ||
| 269 | |||
| 270 | |||
| 271 | 1. **Implementácia bude obsahovať:** | ||
| 272 | |||
| 273 | * implementáciu a nastavenie jednotlivých technických služieb, | ||
| 274 | * implementácia bezpečnostných opatrení, | ||
| 275 | * implementácia proaktívnych a reaktívnych služieb, | ||
| 276 | * obvyklé testovanie celého riešenia popri implementácii, | ||
| 277 | * zabezpečenie služby SOC od externého subjektu, | ||
| 278 | * zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC. | ||
| 279 | |||
| 280 | |||
| 281 | 1. **Testovanie obsahuje**: | ||
| 282 | |||
| 283 | * testovanie funkcionality riešenia, | ||
| 284 | * vulnerability testovanie, | ||
| 285 | * testovanie integrácii, | ||
| 286 | * pilotnú prevádzku, | ||
| 287 | * akceptačné testovanie. | ||
| 288 | |||
| 289 | |||
| 290 | 1. **Nasadenie obsahuje:** | ||
| 291 | |||
| 292 | * nasadenie riešenia do produkčného prostredia, | ||
| 293 | * školenia pre celé riešenie, | ||
| 294 | * prechod na plnú prevádzku. | ||
| 295 | |||
| 296 | |||
| 297 | * **Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu, manažér kybernetickej bezpečnosti – kontrola a riadenie implementácie bezpečnostných riešení, bezpečnostný analytik – podpora implementácie bezpečnostných riešení a ich bezpečnostnej konfigurácie. | ||
| 298 | |||
| 299 | |||
| 300 | * **Podporná aktivita – Publicita a informovanosť** vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač | ||
| 301 | |||
| 302 | |||
| 303 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3 Zainteresované strany/Stakeholderi == | ||
| 304 | |||
| 305 | |||
| 306 | |((( | ||
| 307 | ID | ||
| 308 | )))|((( | ||
| 309 | AKTÉR / STAKEHOLDER | ||
| 310 | )))|((( | ||
| 311 | SUBJEKT | ||
| 312 | |||
| 313 | (názov / skratka) | ||
| 314 | )))|((( | ||
| 315 | ROLA | ||
| 316 | |||
| 317 | (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | ||
| 318 | )))|((( | ||
| 319 | Informačný systém | ||
| 320 | |||
| 321 | (MetaIS kód a názov ISVS) | ||
| 322 | ))) | ||
| 323 | |((( | ||
| 324 | 1. | ||
| 325 | )))|((( | ||
| 326 | Východoslovenský ústav srdcových a cievnych chorôb, a.s. | ||
| 327 | )))|((( | ||
| 328 | |||
| 329 | )))|((( | ||
| 330 | Administrátor a používateľ bezpečnostných riešení | ||
| 331 | )))|((( | ||
| 332 | |||
| 333 | ))) | ||
| 334 | |||
| 335 | |||
| 336 | |||
| 337 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4 Ciele projektu == | ||
| 338 | |||
| 339 | |||
| 340 | |||
| 341 | |((( | ||
| 342 | ID | ||
| 343 | )))|((( | ||
| 344 | |||
| 345 | |||
| 346 | |||
| 347 | Názov cieľa | ||
| 348 | )))|((( | ||
| 349 | Názov strategického cieľa | ||
| 350 | )))|((( | ||
| 351 | Spôsob realizácie strategického cieľa | ||
| 352 | ))) | ||
| 353 | |((( | ||
| 354 | 1 | ||
| 355 | )))|((( | ||
| 356 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 357 | )))|((( | ||
| 358 | Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy. | ||
| 359 | )))|((( | ||
| 360 | Implementácia projektu | ||
| 361 | ))) | ||
| 362 | |||
| 363 | **~ ** | ||
| 364 | |||
| 365 | **~ ** | ||
| 366 | |||
| 367 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5 Merateľné ukazovatele (KPI) == | ||
| 368 | |||
| 369 | |||
| 370 | |((( | ||
| 371 | ID | ||
| 372 | )))|((( | ||
| 373 | |||
| 374 | |||
| 375 | |||
| 376 | ID/Názov cieľa | ||
| 377 | )))|((( | ||
| 378 | Názov | ||
| 379 | ukazovateľa (KPI) | ||
| 380 | )))|((( | ||
| 381 | Merná jednotka | ||
| 382 | |||
| 383 | )))|((( | ||
| 384 | Čas plnenia | ||
| 385 | |||
| 386 | merateľného | ||
| 387 | |||
| 388 | ukazovateľa projektu | ||
| 389 | )))|((( | ||
| 390 | závislosti | ||
| 391 | |||
| 392 | merateľného | ||
| 393 | |||
| 394 | ukazovateľa | ||
| 395 | |||
| 396 | projektu) | ||
| 397 | )))|((( | ||
| 398 | Príznak rizika | ||
| 399 | )))|((( | ||
| 400 | Relevancia | ||
| 401 | |||
| 402 | k HP | ||
| 403 | ))) | ||
| 404 | |((( | ||
| 405 | VÝSTUP | ||
| 406 | |||
| 407 | PO095 / PSKPSOI12 | ||
| 408 | )))|((( | ||
| 409 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 410 | )))|((( | ||
| 411 | Verejné inštitúcie podporované v | ||
| 412 | |||
| 413 | rozvoji kybernetických služieb, | ||
| 414 | |||
| 415 | produktov a procesov | ||
| 416 | )))|((( | ||
| 417 | verejné inštitúcie | ||
| 418 | )))|((( | ||
| 419 | ku koncu realizácie | ||
| 420 | |||
| 421 | hlavných aktivít | ||
| 422 | |||
| 423 | projektu | ||
| 424 | )))|((( | ||
| 425 | maximálna | ||
| 426 | |||
| 427 | hodnota | ||
| 428 | )))|((( | ||
| 429 | nie | ||
| 430 | )))|((( | ||
| 431 | n/a | ||
| 432 | ))) | ||
| 433 | |((( | ||
| 434 | VÝSLEDOK | ||
| 435 | |||
| 436 | PR017 / PSKPRCR11 | ||
| 437 | )))|((( | ||
| 438 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 439 | )))|((( | ||
| 440 | Používatelia nových a vylepšených | ||
| 441 | |||
| 442 | verejných digitálnych služieb, | ||
| 443 | |||
| 444 | produktov a procesov | ||
| 445 | )))|((( | ||
| 446 | Používatelia/rok | ||
| 447 | )))|((( | ||
| 448 | v rámci udržateľnosti | ||
| 449 | |||
| 450 | projektu | ||
| 451 | )))|((( | ||
| 452 | maximálna hodnota | ||
| 453 | )))|((( | ||
| 454 | nie | ||
| 455 | )))|((( | ||
| 456 | n/a | ||
| 457 | ))) | ||
| 458 | |||
| 459 | |||
| 460 | |||
| 461 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6 Riziká a závislosti == | ||
| 462 | |||
| 463 | |||
| 464 | Zoznam rizík a závislosti sa nachádzajú v samostatnej prílohe. | ||
| 465 | |||
| 466 | |||
| 467 | |||
| 468 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7 Stanovenie alternatív v biznisovej vrstve architektúry == | ||
| 469 | |||
| 470 | |||
| 471 | V rámci biznis architektúry sú popísané služby, ktoré by v zmysle §20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS VS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v §20 zákona o KB, resp. zefektívnia sa staré postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami. | ||
| 472 | |||
| 473 | Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne: | ||
| 474 | |||
| 475 | * zvýšením úrovne governance a vyspelosti procesov riadenia KIB, | ||
| 476 | * zvýšením ochrany pred útokmi z externého prostredia, | ||
| 477 | * zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty, | ||
| 478 | * zvýšením úrovne ochrany dát, dátových prenosov a komunikácie, | ||
| 479 | * zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov. | ||
| 480 | |||
| 481 | Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany. | ||
| 482 | |||
| 483 | |||
| 484 | __Alternatívy riešenia sú nasledovné__: | ||
| 485 | |||
| 486 | **Alternatíva 1:** realizácia KIB** **v rámci tohto projektu | ||
| 487 | |||
| 488 | **Alternatíva 2:** ponechanie realizácie bezpečnostných opatrení a rozvoja KIB v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení. | ||
| 489 | |||
| 490 | |||
| 491 | Projekt na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy: | ||
| 492 | |||
| 493 | * Riadenie aktív a riadenie rizík. | ||
| 494 | ** Proces evidencie a správy aktív. | ||
| 495 | ** Proces klasifikácie informácií a kategorizácie IS a sietí. | ||
| 496 | ** Proces realizácie AR/BIA. | ||
| 497 | ** Proces rozhodovania ohľadom riadenia identifikovaných rizík. | ||
| 498 | ** Proces stanovenia stratégie obnovy na základe výsledkov AR/BIA (RTO). | ||
| 499 | ** Proces definovania plánu zálohovania na základe výsledkov AR/BIA (RPO). | ||
| 500 | * Riadenie prístupov. | ||
| 501 | ** Proces MFA k VPN a pre prístup „power users“ k správe IS. | ||
| 502 | * Sieťová a komunikačná bezpečnosť. | ||
| 503 | ** Proces „virtuálneho patchovania“ – ochrany kritických prvkov infraštruktúry („legacy“ systémov). | ||
| 504 | * Zaznamenávanie udalostí a monitorovanie. | ||
| 505 | ** Proces bezpečného ukladania a centrálneho zhrávania logov. | ||
| 506 | ** Proces bezpečnostného monitoringu koncových staníc. | ||
| 507 | ** Proces bezpečnostného monitoringu systémov a dátových úložísk. | ||
| 508 | ** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry. | ||
| 509 | ** Proces bezpečnostného monitoringu aktivít používateľov. | ||
| 510 | ** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov. | ||
| 511 | ** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”) a identifikácie kybernetických bezpečnostných incidentov. | ||
| 512 | * Riešenie bezpečnostných incidentov. | ||
| 513 | ** Proces vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí aj vo väzbe na SOC. | ||
| 514 | * Identifikácia zraniteľností a bezpečnostné testovanie. | ||
| 515 | ** Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení. | ||
| 516 | ** Proces zvyšovania kybernetickej odolnosti VÚSCH formou bezpečnostných testovaní (phishing-ových simulácií). | ||
| 517 | |||
| 518 | |||
| 519 | Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti: | ||
| 520 | |||
| 521 | * governance KIB a bezpečnostná dokumentácia, | ||
| 522 | * zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia. | ||
| 523 | |||
| 524 | |||
| 525 | V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu), a z aktuálne dostupnými finančnými prostriedkami a ľudskými zdrojmi by VÚSCH bola schopná zrealizovať a do praxe implementovať len nasledovné biznis funkcie: | ||
| 526 | |||
| 527 | * Riadenie aktív a riadenie rizík. | ||
| 528 | * Identifikácia zraniteľností a bezpečnostné testovanie. | ||
| 529 | |||
| 530 | Implementácia len tých dvoch biznis funkcií je z pohľadu zabezpečenia ochrany informačných aktív VÚSCH a naplnenia legislatívnych požiadaviek absolútne nepostačujúca. | ||
| 531 | |||
| 532 | |||
| 533 | |||
| 534 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8 Multikriteriálna analýza == | ||
| 535 | |||
| 536 | |||
| 537 | |||
| 538 | |((( | ||
| 539 | **// //** | ||
| 540 | )))|((( | ||
| 541 | KRITÉRIUM | ||
| 542 | )))|((( | ||
| 543 | ZDÔVODNENIE KRIÉRIA | ||
| 544 | )))|((( | ||
| 545 | MIRRI (výzva) | ||
| 546 | )))|((( | ||
| 547 | Organizácia | ||
| 548 | )))|((( | ||
| 549 | STAKEHOLDER | ||
| 550 | |||
| 551 | 3 | ||
| 552 | ))) | ||
| 553 | |(% rowspan="6" %)((( | ||
| 554 | BIZNIS VRSTVA | ||
| 555 | |||
| 556 | // // | ||
| 557 | )))|((( | ||
| 558 | A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením. | ||
| 559 | )))|((( | ||
| 560 | Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie | ||
| 561 | )))|((( | ||
| 562 | áno | ||
| 563 | )))|((( | ||
| 564 | áno | ||
| 565 | )))|((( | ||
| 566 | |||
| 567 | ))) | ||
| 568 | |((( | ||
| 569 | B Rýchlosť implementácie. | ||
| 570 | )))|((( | ||
| 571 | Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr | ||
| 572 | )))|((( | ||
| 573 | áno | ||
| 574 | )))|((( | ||
| 575 | nie | ||
| 576 | )))|((( | ||
| 577 | |||
| 578 | ))) | ||
| 579 | |((( | ||
| 580 | C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času | ||
| 581 | )))|((( | ||
| 582 | Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje | ||
| 583 | )))|((( | ||
| 584 | áno | ||
| 585 | )))|((( | ||
| 586 | nie | ||
| 587 | )))|((( | ||
| 588 | |||
| 589 | ))) | ||
| 590 | |((( | ||
| 591 | Kritérium D (KO) | ||
| 592 | )))|((( | ||
| 593 | |||
| 594 | )))|((( | ||
| 595 | |||
| 596 | )))|((( | ||
| 597 | |||
| 598 | )))|((( | ||
| 599 | |||
| 600 | ))) | ||
| 601 | |((( | ||
| 602 | Kritérium E | ||
| 603 | )))|((( | ||
| 604 | |||
| 605 | )))|((( | ||
| 606 | |||
| 607 | )))|((( | ||
| 608 | |||
| 609 | )))|((( | ||
| 610 | |||
| 611 | ))) | ||
| 612 | |((( | ||
| 613 | Kritérium F | ||
| 614 | )))|((( | ||
| 615 | |||
| 616 | )))|((( | ||
| 617 | |||
| 618 | )))|((( | ||
| 619 | |||
| 620 | )))|((( | ||
| 621 | |||
| 622 | ))) | ||
| 623 | |||
| 624 | |||
| 625 | |||
| 626 | |||
| 627 | |||
| 628 | |||
| 629 | |||
| 630 | |((( | ||
| 631 | Zoznam kritérií | ||
| 632 | )))|((( | ||
| 633 | Alternatíva | ||
| 634 | |||
| 635 | 1 | ||
| 636 | )))|((( | ||
| 637 | Spôsob | ||
| 638 | |||
| 639 | dosiahnutia | ||
| 640 | )))|((( | ||
| 641 | Alternatíva 2 | ||
| 642 | )))|((( | ||
| 643 | Spôsob | ||
| 644 | |||
| 645 | dosiahnutia | ||
| 646 | ))) | ||
| 647 | |((( | ||
| 648 | Kritérium A | ||
| 649 | )))|((( | ||
| 650 | áno | ||
| 651 | )))|((( | ||
| 652 | Projekt zavádza procesy Governance v oblasti KIB | ||
| 653 | )))|((( | ||
| 654 | čiastočne | ||
| 655 | )))|((( | ||
| 656 | |||
| 657 | ))) | ||
| 658 | |((( | ||
| 659 | Kritérium B | ||
| 660 | )))|((( | ||
| 661 | áno | ||
| 662 | )))|((( | ||
| 663 | Realizácia výzvy je najrýchlejšou možnosťou implementácie | ||
| 664 | )))|((( | ||
| 665 | nie | ||
| 666 | )))|((( | ||
| 667 | |||
| 668 | ))) | ||
| 669 | |((( | ||
| 670 | Kritérium C | ||
| 671 | )))|((( | ||
| 672 | áno | ||
| 673 | )))|((( | ||
| 674 | Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje | ||
| 675 | )))|((( | ||
| 676 | nie | ||
| 677 | )))|((( | ||
| 678 | |||
| 679 | ))) | ||
| 680 | |((( | ||
| 681 | Kritérium D | ||
| 682 | )))|((( | ||
| 683 | |||
| 684 | )))|((( | ||
| 685 | |||
| 686 | )))|((( | ||
| 687 | |||
| 688 | )))|((( | ||
| 689 | |||
| 690 | ))) | ||
| 691 | |||
| 692 | |||
| 693 | Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu. | ||
| 694 | |||
| 695 | // // | ||
| 696 | |||
| 697 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9 Stanovenie alternatív v aplikačnej vrstve architektúry == | ||
| 698 | |||
| 699 | Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti VÚSCH. | ||
| 700 | |||
| 701 | |||
| 702 | Z pohľadu aplikačnej vrstvy architektúry je účelom projektu: | ||
| 703 | |||
| 704 | * implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia, | ||
| 705 | * budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov. | ||
| 706 | |||
| 707 | |||
| 708 | **Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:** | ||
| 709 | |||
| 710 | * vytváranie bezpečnostného povedomia, | ||
| 711 | * technologický dozor, | ||
| 712 | * monitorovanie a evidencia kybernetických bezpečnostných incidentov, | ||
| 713 | * vykonávanie bezpečnostných auditov, | ||
| 714 | * poskytovanie informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti a prijímanie a zasielanie včasného varovania pred bezpečnostnými incidentmi, | ||
| 715 | * zisťovanie a hodnotenie úrovne zraniteľnosti prvkov infraštruktúry, | ||
| 716 | * vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia. | ||
| 717 | |||
| 718 | |||
| 719 | **Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:** | ||
| 720 | |||
| 721 | * detekcia kybernetických bezpečnostných incidentov, | ||
| 722 | * analýza kybernetických bezpečnostných incidentov, | ||
| 723 | * odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov, | ||
| 724 | * reakcia na kybernetický bezpečnostný incident, podpora a koordinácia činnosti v rámci riešenia incidentov, | ||
| 725 | * návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov. | ||
| 726 | |||
| 727 | |||
| 728 | Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi: | ||
| 729 | |||
| 730 | * Riadenie aktív a riadenie rizík. | ||
| 731 | ** Implementácia nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti. | ||
| 732 | * Riadenie prístupov. | ||
| 733 | ** Implementácia MFA – MFA k VPN a pre prístup „power users“ k správe IS. | ||
| 734 | * Sieťová a komunikačná bezpečnosť. | ||
| 735 | ** Nasadenie bezpečnostného riešenia ochrany kritickej infraštruktúry („legacy“ systémov) formou „virtual patching“. | ||
| 736 | * Zaznamenávanie udalostí a monitorovanie. | ||
| 737 | ** Implementácia SIEM s integrovaným LMS. | ||
| 738 | * Riešenie kybernetických bezpečnostných incidentov. | ||
| 739 | ** Využitie SOC ako služby od externého subjektu. | ||
| 740 | * Identifikácia zraniteľností a bezpečnostné testovanie. | ||
| 741 | ** Implementácia vulnerability skenera. | ||
| 742 | ** Implementácia nástroja na tvorbu a testovanie phishing kampaní. | ||
| 743 | |||
| 744 | |||
| 745 | __Poznámka:__ V prípade, že niektorá biznis funkcia nemá ekvivalent na úrovni aplikačnej architektúry, znamená to, že ide o biznis funkciu, ktorá nie je podporená technickým riešením. | ||
| 746 | |||
| 747 | |||
| 748 | == {{id name="projekt_2657_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10 Stanovenie alternatív v technologickej vrstve architektúry == | ||
| 749 | |||
| 750 | Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek. | ||
| 751 | |||
| 752 | // // | ||
| 753 | |||
| 754 | = {{id name="projekt_2657_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) = | ||
| 755 | |||
| 756 | |||
| 757 | |((( | ||
| 758 | **ID** | ||
| 759 | )))|((( | ||
| 760 | **Aktivita/prevádzková dokumentácia (výstup)** | ||
| 761 | )))|((( | ||
| 762 | **Poznámka** | ||
| 763 | ))) | ||
| 764 | |((( | ||
| 765 | 1.1 | ||
| 766 | )))|((( | ||
| 767 | Vypracovanie smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti | ||
| 768 | )))|((( | ||
| 769 | Výstupom aktivity budú vytvorené / aktualizované nasledovné smernice a dokumenty: | ||
| 770 | |||
| 771 | · Stratégia kybernetickej bezpečnosti. | ||
| 772 | |||
| 773 | · Bezpečnostná politika. | ||
| 774 | |||
| 775 | · Bezpečnostná smernica pre používateľov. | ||
| 776 | |||
| 777 | · Smernica o bezpečnej prevádzke IS pre administrátorov. | ||
| 778 | |||
| 779 | · Smernica pre riadenie informačnej bezpečnosti. | ||
| 780 | |||
| 781 | · Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej v súlade s NBÚ metodikou a prispôsobenej podmienkam VÚSCH. | ||
| 782 | |||
| 783 | · Smernica klasifikácie a kategorizácie IS a sietí. | ||
| 784 | |||
| 785 | · Smernica riadenia prístupových práv. | ||
| 786 | |||
| 787 | · Smernica pre riadenie dodávateľských služieb a 3tich strán. | ||
| 788 | |||
| 789 | · Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS (SSDLC). | ||
| 790 | |||
| 791 | · Smernica o monitorovaní a riešení bezpečnostných incidentov, vrátane zosúladenia interných procesov s prevádzkovateľom SIEM/SOC. | ||
| 792 | ))) | ||
| 793 | |((( | ||
| 794 | 1.2 | ||
| 795 | )))|((( | ||
| 796 | Aktualizácia identifikácie a evidencie aktív | ||
| 797 | )))|((( | ||
| 798 | Vykonanie aktualizácie identifikácie a evidencie informačných aktív VÚSCH a ich následné zadanie do nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti (pozri bod 2.1). | ||
| 799 | ))) | ||
| 800 | |((( | ||
| 801 | 1.3 | ||
| 802 | )))|((( | ||
| 803 | Vykonanie detailnej aktualizácie klasifikácie informácií a kategorizácie sietí a informačných systémov | ||
| 804 | )))|((( | ||
| 805 | Vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy. | ||
| 806 | |||
| 807 | Na klasifikácii sa budú podieľať aj interní zamestnanci, cieľom projektu je aj transfer know-how, aby si bola organizácia schopná klasifikáciu následne realizovať aj vlastnými silami. | ||
| 808 | ))) | ||
| 809 | |((( | ||
| 810 | 1.4 | ||
| 811 | )))|((( | ||
| 812 | Realizácia detailnej aktualizácie AR/BIA | ||
| 813 | )))|((( | ||
| 814 | Spolu s vlastníkmi aktív zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA vytvorenou v bode 1.1 a zaevidovanie výsledkov do nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti uvedeného v bode 2.1. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením VÚSCH. | ||
| 815 | ))) | ||
| 816 | |((( | ||
| 817 | 2.1 | ||
| 818 | )))|((( | ||
| 819 | Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti | ||
| 820 | )))|((( | ||
| 821 | Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív, pravidelné vykonávanie aktualizácie AR/BIA a nadväzujúcich bezpečnostných opatrení. | ||
| 822 | ))) | ||
| 823 | |((( | ||
| 824 | 2.2 | ||
| 825 | )))|((( | ||
| 826 | Bezpečnostné riešenie ochrany kritických IS infraštruktúry („virtual patching“) | ||
| 827 | )))|((( | ||
| 828 | Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) voči zraniteľnostiam – implementácia funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov VÚSCH. | ||
| 829 | ))) | ||
| 830 | |((( | ||
| 831 | 2.3 | ||
| 832 | )))|((( | ||
| 833 | Implementácia SIEM | ||
| 834 | )))|((( | ||
| 835 | Zavedenie systému bezpečnostného monitoringu (SIEM) s integrovaným centrálnym log manažmentom pre účely agentského aj bez-agentského zberu logov zo systémov VÚSCH, sieťových zariadení a koncových staníc a dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 12 mesiacov. SIEM riešenie bude disponovať funkcionalitami XDR (Extended detection and response), ABA (Attacker Behavior Analytics), UBA (User Behavior Analytics), NTA (Network Traffic Analysis), FAAM (File Access Activity Monitoring), FIM (File Integrity Monitoring), Deception Technology (Honey Pots/User/File/Credential) pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania bezpečnostných udalostí vrátane zaškolenia administrátorov VÚSCH. | ||
| 836 | |||
| 837 | Implementácia zahŕňa zmapovanie súčasných logov, nastavenie logovania zo všetkých relevantných systémov, aplikácií a sieťových zariadení, ich konsolidáciu a následné implementačné a konfiguračné práce spojené s nasadením SIEM riešenia pre vyhodnocovanie logov z prostredia VÚSCH. | ||
| 838 | ))) | ||
| 839 | |((( | ||
| 840 | 2.4 | ||
| 841 | )))|((( | ||
| 842 | Obstaranie SOC as a Service | ||
| 843 | )))|((( | ||
| 844 | Obstaranie a zabezpečenie služby SOC od externého subjektu vrátane podpory riešenia bezpečnostných incidentov. | ||
| 845 | |||
| 846 | Zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC. | ||
| 847 | ))) | ||
| 848 | |((( | ||
| 849 | 2.5 | ||
| 850 | )))|((( | ||
| 851 | Implementácia MFA | ||
| 852 | )))|((( | ||
| 853 | Zavedenie MFA na všetky VPN pripojenia a na prístup „power users“ k správe IS a zaškolenie administrátora VÚSCH. Potrebných približne 60 licencií (users). | ||
| 854 | ))) | ||
| 855 | |((( | ||
| 856 | 2.6 | ||
| 857 | )))|((( | ||
| 858 | Vulnerability scanner | ||
| 859 | )))|((( | ||
| 860 | Zavedenie interného nástroja na skenovanie zraniteľností (vulnerability scaner), s možnosťou previazania a plnej kompatibility so SIEM riešením, pre testovanie interných systémov, pracovných staníc, sieťovej infraštruktúry a rovnako aj IP adries VÚSCH dostupných zo siete internet, vrátane zaškolenia administrátorov VÚSCH. Súčasťou bude aj vykonania iniciálneho vulnerability testu (scanu) interných systémov, pracovných staníc a sieťovej infraštruktúry. | ||
| 861 | ))) | ||
| 862 | |((( | ||
| 863 | 2.7 | ||
| 864 | )))|((( | ||
| 865 | Nástroj na bezpečnostné testovanie phishing kampaní | ||
| 866 | )))|((( | ||
| 867 | Zavedenie interného nástroja na bezpečnostné testovanie zamestnancov formou phishing-ových kampaní a zaškolenie administrátora VÚSCH, Vrátane vykonania iniciálneho phishing-ového testovania interných zamestnancov VÚSCH. | ||
| 868 | ))) | ||
| 869 | |((( | ||
| 870 | 3.1 | ||
| 871 | )))|((( | ||
| 872 | Aktualizácia AR/BIA | ||
| 873 | )))|((( | ||
| 874 | Vzhľadom na odhadované trvanie projektu viac ako 1 rok, a značné zmeny, ktoré implementácie projektu prinesie, je žiadúce tesne pred ukončením projektu vykonať aj aktualizáciu AR/BIA. Prvotná AR/BIA bude zrealizovaná hneď na začiatku projektu. | ||
| 875 | ))) | ||
| 876 | |||
| 877 | |||
| 878 | |||
| 879 | = {{id name="projekt_2657_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4. NÁHĽAD ARCHITEKTÚRY = | ||
| 880 | |||
| 881 | Náhľad architektúry sa nachádza v dokumente Prístup k projektu. | ||
| 882 | |||
| 883 | |||
| 884 | = {{id name="projekt_2657_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY = | ||
| 885 | |||
| 886 | Prínosy projektu sú vypočítané na základe zákona č. 69/2018 Z. z., kde zákonodarca priamo v §31 ods. 2, písm. C ohodnotil pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR. | ||
| 887 | |||
| 888 | |||
| 889 | Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie Governance kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál). | ||
| 890 | |||
| 891 | Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom. | ||
| 892 | |||
| 893 | |||
| 894 | == {{id name="projekt_2657_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1 Sumarizácia nákladov a prínosov == | ||
| 895 | |||
| 896 | V zmysle pravidiel výzvy sa CBA neprikladá. Sumarizácia nákladov a prínosov vychádza z PHZ. | ||
| 897 | |||
| 898 | |||
| 899 | |((( | ||
| 900 | Náklady | ||
| 901 | )))|((( | ||
| 902 | Názov | ||
| 903 | |||
| 904 | modulu | ||
| 905 | )))|((( | ||
| 906 | Názov | ||
| 907 | |||
| 908 | modulu | ||
| 909 | )))|((( | ||
| 910 | Názov | ||
| 911 | |||
| 912 | modulu | ||
| 913 | )))|((( | ||
| 914 | Názov | ||
| 915 | |||
| 916 | modulu | ||
| 917 | )))|((( | ||
| 918 | Názov | ||
| 919 | |||
| 920 | modulu | ||
| 921 | )))|((( | ||
| 922 | Názov | ||
| 923 | |||
| 924 | modulu | ||
| 925 | ))) | ||
| 926 | |((( | ||
| 927 | **Všeobecný materiál** | ||
| 928 | )))|((( | ||
| 929 | SW nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti | ||
| 930 | )))|((( | ||
| 931 | Bezpečnostné riešenie ochrany kritických IS infraštruktúry („virtual patching“) | ||
| 932 | )))|((( | ||
| 933 | Implementácia SIEM | ||
| 934 | )))|((( | ||
| 935 | Implementácia MFA | ||
| 936 | )))|((( | ||
| 937 | Vulnerability scanner a nástroj na bezpečnostné testovanie | ||
| 938 | )))|((( | ||
| 939 | Nástroj na bezpečnostné testovanie phishing kampaní. | ||
| 940 | ))) | ||
| 941 | |((( | ||
| 942 | **IT - CAPEX** | ||
| 943 | )))|((( | ||
| 944 | 18.600 € | ||
| 945 | )))|((( | ||
| 946 | 23.400 € | ||
| 947 | )))|((( | ||
| 948 | 69.600 € | ||
| 949 | )))|((( | ||
| 950 | 15.120 € | ||
| 951 | )))|((( | ||
| 952 | 27.600 € | ||
| 953 | )))|((( | ||
| 954 | 9 600 € | ||
| 955 | ))) | ||
| 956 | |((( | ||
| 957 | Aplikácie | ||
| 958 | )))|((( | ||
| 959 | |||
| 960 | )))|((( | ||
| 961 | |||
| 962 | )))|((( | ||
| 963 | |||
| 964 | )))|((( | ||
| 965 | // // | ||
| 966 | )))|((( | ||
| 967 | // // | ||
| 968 | )))|((( | ||
| 969 | // // | ||
| 970 | ))) | ||
| 971 | |((( | ||
| 972 | SW | ||
| 973 | )))|((( | ||
| 974 | |||
| 975 | )))|((( | ||
| 976 | |||
| 977 | )))|((( | ||
| 978 | |||
| 979 | )))|((( | ||
| 980 | // // | ||
| 981 | )))|((( | ||
| 982 | // // | ||
| 983 | )))|((( | ||
| 984 | // // | ||
| 985 | ))) | ||
| 986 | |((( | ||
| 987 | HW | ||
| 988 | )))|((( | ||
| 989 | |||
| 990 | )))|((( | ||
| 991 | |||
| 992 | )))|((( | ||
| 993 | |||
| 994 | )))|((( | ||
| 995 | // // | ||
| 996 | )))|((( | ||
| 997 | // // | ||
| 998 | )))|((( | ||
| 999 | // // | ||
| 1000 | ))) | ||
| 1001 | |((( | ||
| 1002 | **Názov** | ||
| 1003 | )))|((( | ||
| 1004 | |||
| 1005 | )))|((( | ||
| 1006 | |||
| 1007 | )))|((( | ||
| 1008 | |||
| 1009 | )))|((( | ||
| 1010 | |||
| 1011 | )))|((( | ||
| 1012 | |||
| 1013 | )))|((( | ||
| 1014 | |||
| 1015 | ))) | ||
| 1016 | |((( | ||
| 1017 | **IT - OPEX- prevádzka** | ||
| 1018 | )))|((( | ||
| 1019 | 7.000 € | ||
| 1020 | )))|((( | ||
| 1021 | 7.332 € | ||
| 1022 | )))|((( | ||
| 1023 | 22.899 € | ||
| 1024 | )))|((( | ||
| 1025 | 4.080 € | ||
| 1026 | )))|((( | ||
| 1027 | 8.540 € | ||
| 1028 | )))|((( | ||
| 1029 | 2.590 € | ||
| 1030 | ))) | ||
| 1031 | |((( | ||
| 1032 | Licencie | ||
| 1033 | )))|((( | ||
| 1034 | |||
| 1035 | )))|((( | ||
| 1036 | |||
| 1037 | )))|((( | ||
| 1038 | |||
| 1039 | )))|((( | ||
| 1040 | // // | ||
| 1041 | )))|((( | ||
| 1042 | // // | ||
| 1043 | )))|((( | ||
| 1044 | // // | ||
| 1045 | ))) | ||
| 1046 | |((( | ||
| 1047 | SW | ||
| 1048 | )))|((( | ||
| 1049 | |||
| 1050 | )))|((( | ||
| 1051 | |||
| 1052 | )))|((( | ||
| 1053 | |||
| 1054 | )))|((( | ||
| 1055 | // // | ||
| 1056 | )))|((( | ||
| 1057 | // // | ||
| 1058 | )))|((( | ||
| 1059 | // // | ||
| 1060 | ))) | ||
| 1061 | |((( | ||
| 1062 | HW | ||
| 1063 | )))|((( | ||
| 1064 | |||
| 1065 | )))|((( | ||
| 1066 | |||
| 1067 | )))|((( | ||
| 1068 | |||
| 1069 | )))|((( | ||
| 1070 | // // | ||
| 1071 | )))|((( | ||
| 1072 | // // | ||
| 1073 | )))|((( | ||
| 1074 | // // | ||
| 1075 | ))) | ||
| 1076 | |||
| 1077 | |||
| 1078 | = {{id name="projekt_2657_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA = | ||
| 1079 | |||
| 1080 | |||
| 1081 | |||
| 1082 | |((( | ||
| 1083 | ID | ||
| 1084 | )))|((( | ||
| 1085 | FÁZA/AKTIVITA | ||
| 1086 | )))|((( | ||
| 1087 | ZAČIATOK | ||
| 1088 | |||
| 1089 | (odhad termínu) | ||
| 1090 | )))|((( | ||
| 1091 | KONIEC | ||
| 1092 | |||
| 1093 | (odhad termínu) | ||
| 1094 | ))) | ||
| 1095 | |((( | ||
| 1096 | 1. | ||
| 1097 | )))|((( | ||
| 1098 | Prípravná fáza a Iniciačná fáza | ||
| 1099 | )))|((( | ||
| 1100 | 06/2024 | ||
| 1101 | )))|((( | ||
| 1102 | 10/2024 | ||
| 1103 | ))) | ||
| 1104 | |((( | ||
| 1105 | 2. | ||
| 1106 | )))|((( | ||
| 1107 | Realizačná fáza | ||
| 1108 | )))|((( | ||
| 1109 | 11/2024 | ||
| 1110 | )))|((( | ||
| 1111 | 01/2026 | ||
| 1112 | ))) | ||
| 1113 | |((( | ||
| 1114 | 2a | ||
| 1115 | )))|((( | ||
| 1116 | Analýza a Dizajn | ||
| 1117 | )))|((( | ||
| 1118 | 11/2024 | ||
| 1119 | )))|((( | ||
| 1120 | 03/2025 | ||
| 1121 | ))) | ||
| 1122 | |((( | ||
| 1123 | 2b | ||
| 1124 | )))|((( | ||
| 1125 | Nákup technických prostriedkov, programových prostriedkov a služieb | ||
| 1126 | )))|((( | ||
| 1127 | 12/2024 | ||
| 1128 | )))|((( | ||
| 1129 | 04/2025 | ||
| 1130 | ))) | ||
| 1131 | |((( | ||
| 1132 | 2c | ||
| 1133 | )))|((( | ||
| 1134 | Implementácia a testovanie | ||
| 1135 | )))|((( | ||
| 1136 | 03/2025 | ||
| 1137 | )))|((( | ||
| 1138 | 07/2025 | ||
| 1139 | ))) | ||
| 1140 | |((( | ||
| 1141 | 2d | ||
| 1142 | )))|((( | ||
| 1143 | Nasadenie | ||
| 1144 | )))|((( | ||
| 1145 | 08/2025 | ||
| 1146 | )))|((( | ||
| 1147 | 12/2025 | ||
| 1148 | ))) | ||
| 1149 | |((( | ||
| 1150 | 3. | ||
| 1151 | )))|((( | ||
| 1152 | Dokončovacia fáza | ||
| 1153 | )))|((( | ||
| 1154 | 12/2025 | ||
| 1155 | )))|((( | ||
| 1156 | 01/2026 | ||
| 1157 | ))) | ||
| 1158 | |((( | ||
| 1159 | 4. | ||
| 1160 | )))|((( | ||
| 1161 | Podpora prevádzky (SLA) | ||
| 1162 | )))|((( | ||
| 1163 | 02/2026 | ||
| 1164 | )))|((( | ||
| 1165 | |||
| 1166 | ))) | ||
| 1167 | |||
| 1168 | |||
| 1169 | , | ||
| 1170 | |||
| 1171 | // // | ||
| 1172 | |||
| 1173 | // // | ||
| 1174 | |||
| 1175 | |||
| 1176 | = {{id name="projekt_2657_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM = | ||
| 1177 | |||
| 1178 | |||
| 1179 | Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení: | ||
| 1180 | |||
| 1181 | * Predseda RV | ||
| 1182 | * Biznis vlastník | ||
| 1183 | * Zástupca prevádzky | ||
| 1184 | * Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen) | ||
| 1185 | * Projektový manažér objednávateľa (PM) | ||
| 1186 | |||
| 1187 | |||
| 1188 | |((( | ||
| 1189 | ID | ||
| 1190 | )))|((( | ||
| 1191 | Meno a Priezvisko | ||
| 1192 | )))|((( | ||
| 1193 | Pozícia | ||
| 1194 | )))|((( | ||
| 1195 | Oddelenie | ||
| 1196 | )))|((( | ||
| 1197 | Rola v projekte | ||
| 1198 | ))) | ||
| 1199 | |((( | ||
| 1200 | 1. | ||
| 1201 | )))|((( | ||
| 1202 | |||
| 1203 | )))|((( | ||
| 1204 | Projektový manažér (pracovné zaradenie v línii) | ||
| 1205 | )))|((( | ||
| 1206 | |||
| 1207 | )))|((( | ||
| 1208 | PM | ||
| 1209 | ))) | ||
| 1210 | |((( | ||
| 1211 | 2. | ||
| 1212 | )))|((( | ||
| 1213 | Ing. Marián ALBERT, PhD., MBA | ||
| 1214 | )))|((( | ||
| 1215 | Manažér kybernetickej bezpečnosti (pracovné zaradenie v línii) | ||
| 1216 | )))|((( | ||
| 1217 | |||
| 1218 | )))|((( | ||
| 1219 | MKIB | ||
| 1220 | ))) | ||
| 1221 | |||
| 1222 | Pozícia projektového manažéra bude obsadená do začiatku projektu. | ||
| 1223 | |||
| 1224 | |||
| 1225 | == {{id name="projekt_2657_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1 PRACOVNÉ NÁPLNE == | ||
| 1226 | |||
| 1227 | |||
| 1228 | __Riadiaci výbor projektu budú tvoriť:__ | ||
| 1229 | |||
| 1230 | Členovia Riadiaceho výboru s hlasovacím právom: | ||
| 1231 | |||
| 1232 | * predseda Riadiaceho výboru projektu | ||
| 1233 | * manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV | ||
| 1234 | * zástupca prevádzky | ||
| 1235 | |||
| 1236 | |||
| 1237 | Členovia Riadiaceho výboru bez hlasovacieho práva: | ||
| 1238 | |||
| 1239 | * projektový manažér prijímateľa | ||
| 1240 | * zástupca QA SKB MIRRI SR | ||
| 1241 | * projektový manažér SO MIRRI SR | ||
| 1242 | * projektový manažér dodávateľa | ||
| 1243 | * zástupca dodávateľa | ||
| 1244 | |||
| 1245 | |||
| 1246 | Určenie zodpovednosti členov Riadiaceho výboru | ||
| 1247 | |||
| 1248 | Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je: | ||
| 1249 | |||
| 1250 | * celkovo zodpovedať za projekt, | ||
| 1251 | * kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi, | ||
| 1252 | * zabezpečiť a udržať finančné a personálne krytie realizácie projektu, | ||
| 1253 | * zabezpečiť nákladovo prijateľný prístup v projekte, | ||
| 1254 | |||
| 1255 | Hlavným záujmom a zodpovednosťou biznis vlastníka je: | ||
| 1256 | |||
| 1257 | * schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, | ||
| 1258 | * definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na | ||
| 1259 | * bezpečnosť, | ||
| 1260 | * definovanie merateľných výkonnostných ukazovateľov projektov a prvkov, | ||
| 1261 | * schválenie akceptačných kritérií, | ||
| 1262 | * odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky, | ||
| 1263 | * dostupnosť ľudských zdrojov alokovaných na realizáciu projektu | ||
| 1264 | |||
| 1265 | Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je: | ||
| 1266 | |||
| 1267 | * návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov, | ||
| 1268 | * zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch, | ||
| 1269 | |||
| 1270 | . | ||
| 1271 | |||
| 1272 | = {{id name="projekt_2657_Projektovy_zamer_detailny-8.PRÍLOHY"/}}8. PRÍLOHY = | ||
| 1273 | |||
| 1274 | |||
| 1275 | **Príloha: **Zoznam rizík a závislostí (Excel): | ||
| 1276 | |||
| 1277 | **Príloha:** Katalóg požiadaviek | ||
| 1278 | |||
| 1279 | // // | ||
| 1280 | |||
| 1281 |