PROJEKTOVÝ ZÁMER

Manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.     História DOKUMENTU

2.     ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1        Použité skratky a pojmy

Z hľadiska formálneho sú použité skratky a pojmy v rámci celého dokumentu definované v nasledujúcej tabuľke a priebežne v texte, kedy je použite skratky označené „ďalej len“ alebo ďalej tiež“.

3.     DEFINOVANIE PROJEKTU

3.1        Manažérske zhrnutie

Projekt „Zvýšenie odolnosti mesta Bratislava voči kybernetickým hrozbám“ je vypracovaný v súlade s:

• Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
• Výzvou č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“.

Hlavné mesto Slovenskej republiky Bratislava realizuje kroky na zvyšovanie a zachovávanie vysokej úrovne kybernetickej bezpečnosti prostredia, jednak po procesnej stránke ako aj po technologickej, aplikačnej a infraštruktúrnej stránke. Tieto opatrenia sú realizované s ohľadom na platnú legislatívu, najmä zákon 69/2018 Z. z., zákon 95/2019 Z. z., vyhlášky 362/2018 Z. z.

Zároveň mesto Bratislava disponuje bezpečnostnou dokumentáciou:

1. Stratégia kybernetickej bezpečnosti
2. Politika kybernetickej bezpečnosti
3. Klasifikácia aktív, inventarizácia aktív, kategorizácia sietí a IS
4. Analýza rizík, analýza dopadov, katalóg rizík

Hlavné mesto Slovenskej republiky Bratislava, so sídlom Primaciálne námestie č.1, Bratislava (ďalej tiež ako „Hlavné mesto SR Bratislava“ alebo „HMBA“) je zapísané v do registra prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/208 Z.z.. v sektore Verejná správa.

Hlavné SR Bratislava, ako najväčšie mesto Slovenskej republiky, má dôležitú úlohu pri poskytovaní základných služieb veľkému množstvu občanov štátu. Preto je nevyhnutné disponovať funkčnou, aktuálnou, kapacitne dostatočnou a bezpečnou infraštruktúrou, ktorá umožňuje mestu tieto služby poskytovať v požadovanej miere a kvalite. Tento zámer je zároveň jednou z hlavných priorít mesta definovaných v Stratégii informačnej a kybernetickej bezpečnosti mesta.

Nevyhnutnosť zvyšovania kybernetickej bezpečnosti je prioritnou témou nie len z legislatívnych dôvodov, ale najmä z dôvodov potreby efektívneho fungovania informačných a prevádzkových systémov využívaných Hlavným mesto Slovenskej republiky Bratislava (ďalej tiež „HMBA“ alebo „mesto Bratislava“) a ich ochrana pred narastajúcimi kybernetickými hrozbami. Ohrozenie používaných systémov môže znamenať kolaps poskytovaných služieb, na ktorých je priamo i nepriamo závislé veľké množstvo užívateľov. Dopad takéhoto nežiadúceho stavu by mal nie len finančné dopady, ale tiež by mali dopad na skupiny obyvateľov, ktorí sú na poskytované služby odkázaní. Pre zníženie týchto rizík potrebuje HMBA dodatočné finančné prostriedky, a preto sa zapája ako žiadateľ do výzvy Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa (PSK-MIRRI-611-2024-DV-EFRR).

Zo záverečnej správy z auditu kybernetickej bezpečnosti v súlade so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej aj „zákon o KyB“), ktorý bol vykonaný u poskytovateľa základnej služby, ktorým je Hlavné mesto Slovenskej republiky Bratislava, vyplývajú viaceré zistenia v oblasti zabezpečenia kybernetickej bezpečnosti. Zároveň dokument obsahuje návrhy na odstránenie nedostatkov. Predložený projekt sa opiera o závery z uvedeného auditu.

Oblasti, ktoré je nevyhnutné riešiť, sa v zmysle vyššie uvedenej záverečnej správa z auditu týkajú najmä oblasti fyzickej bezpečnosti a v oblasti riadenia kontinuity procesov, taktiež oblasti riadenia IB a KB a oblasť kryptografických opatrení. Ako najkritickejšiu oblasť audit identifikoval riadenie prístupov, riadenie bezpečnosti sietí a IS a riadenie prevádzky, kde existuje značný priestor na zvýšenie vyspelosti („maturity“) týchto procesov a tým pádom aj na zvýšenie celkovej úrovne IB a KB.

Motiváciou pre realizáciu projektu je tiež vykonaná analýza rizík, ktorá odhalila rezervy v oblasti zabezpečenia vysokej dostupnosti služieb mesta pre občanov. Preto sa mesto rozhodlo vykonať aktivity, ktoré by znížili zistené riziká jednak na technologickej úrovni, ako aj na procesnej a biznisovej úrovni.

Cieľom projektu je zvýšiť odolnosť Hlavného mesto Slovenskej Republiky Bratislava voči kybernetickým incidentom v oblasti dostupnosti služieb poskytovaných občanom. Tento cieľ je možné rozdeliť na dva čiastkové:

• Prvým cieľom projektu je podporiť schopnosť zachovať kontinuitu biznis procesov mesta na technickej úrovni – rozšírením kapacít a aktualizovaním infraštruktúry prevádzkovaného datacentra tak, aby bolo mesto pripravené čeliť súčasným rizikám a hrozbám včas, spoľahlivo a efektívne.
• Druhým cieľom projektu je podporiť systém riadenia kybernetickej bezpečnosti na procesnej úrovni – komplexnou aktualizáciou existujúcej dokumentácie a vytvorením a implementáciou chýbajúcej dokumentácie, najmä pre oblasť biznis kontinuity procesov, havarijných plánov a interných riadiacich aktov a metodík pre administrátorov.

Zároveň sú ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

• Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti
• Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov
• Zabezpečenie kontinuity prevádzky

Projekt je v súlade so špecifickým cieľom RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a v súlade s povinnými aktivitami v rámci výzvy PSK_MIRRI-611-2024-DV-EFRR.

V rámci projektu bude realizovaná hlavná aktivita - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Ciele a aktivity projektu sú navrhované tak, aby prispeli k naplneniu:

• špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť – Kybernetická a informačná bezpečnosť)
• strategického dokumentu Bratislava 2030 – Program rozvoja obce 2022 – 20230 , strategický cieľ C.3.2. Moderné a efektívne mesto, C.3.2.2 Digitálne sebavedomé mesto.

Samotným výstupom projektu je aktualizácia bezpečnostnej dokumentácie, bezpečnostných zásad, politík biznis kontinuity organizácie a vytvorenie funkčných a aktuálnych plánov obnovy po havárii, ako aj doplnenie chýbajúcich prvkov technologickej vrstvy infraštruktúry tak, aby bola odolná voči bezpečnostným hrozbám a bola schopná napĺňať požiadavky definované vo vytvorených bezpečnostných politikách.

Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre HMBA najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti. Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy.

Kvantitatívne prínosy v rámci navrhovaného projektu sú:

• Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku.
• Zabránenie riziku narušenia údajov implementáciou technických opatrení.

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie miery rizika vzniku kybernetického incidentu.
• Zvýšenie miery súladu s platnou legislatívou.
• Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
• Zvýšenie detekcie kybernetických bezpečnostných incidentov.
• Zvýšená spokojnosť a dôvera používateľov.

Časový harmonogram

Časový harmonogram projektu je nastavený na 12 mesiacov. Začiatok projektu je naplánovaný od 01 /2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

Projekt bude realizovaný podľa stanoveného harmonogramu:

1. Analýza a dizajn (01/2025 – 03/2025)
2. Nákup technických prostriedkov, programov a služieb (01/2025 – 05/2025)
3. Implementácia a testovanie (05/2025 – 08/2025)
4. Nasadenie a PIP (09/2025 – 10/2025)
5. Dokončovacia fáza projektu (11/2025-12/2025).

Predpokladaný rozpočet

Predpokladaný rozpočet projektu (oprávnených výdavkov) je 503 578 EUR s DPH. Projekt bude financovaný z Programu Slovensko v rámci výzvy PSK_MIRRI-611-2024-DV-EFRR. Projekt bude spolufinancovaný z vlastných zdrojov žiadateľa vo výške 15% z celkových oprávnených výdavkov projektu.

V prípade, že by malo Hlavé mesto SR Bratislava investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

Žiadateľ deklaruje, že nečerpal finančné prostriedky z výzvy PO7 OPII kód ITMS2014+ ani z výzvy OPII-2022/7/20-DOP.

Hlavná aktivita projektu v zmysle výzvy na predkladanie ŽoNFP - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Definované podaktivity:

• Sieťová a komunikačná bezpečnosť
• Kontinuita prevádzky

Kontinuita prevádzky

• Vytvoriť kompletnú potrebnú dokumentáciu k riadeniu kontinuity procesv v prípade incidentu, havárie alebo katastrofického scenára.
  • Stratégia kontinuity
  • Plány kontinuity prevádzky pre kritické procesy
  • Plány obnovy po havárii pre kritické systémy
• Upraviť a doplniť technologickú infraštruktúru tak, aby bolo možné dané bezpečnostné požiadavky na dostupnosť informačných systémov a sietí reálne dosahovať.
  • Implementovať diskové pole
  • Konfigurovať diskové pole, aktivovať šifrovú ochranu dát, riadenie prístupov
  • Segmentovať diskové pole na prevádzkovú časť a záložnú časť
  • Migrovať kritické virtuálne stroje a aplikácie na nové diskové pole
• Testovať havarijné plány s využitím implementovaného technického riešenia

Sieťová a komunikačná bezpečnosť

• Implementácia a konfigurácia sieťových prvkov – core switchov a routera pre zabezpečenie vysokej priepustnosti siete, aktivovanie moderných bezpečnostných rozhraní a protokolov (napr. šifrovanie, riadenie prístupov) pre zabezpečenie vysokej bezpečnosti sieťovej komunikácie.
• Vytvorenie podmienok pre ďalšie aktivity po skončení realizácie tohto projektu – mikrosegmentácia siete.

Výstupom projektu bude aktualizovaná bezpečnostná dokumentácia a zavedenie prvkov infraštruktúry, ktoré podporia bezpečnú komunikáciu, riadenie prístupov administrátorov k systémom, vysokú mieru dostupnosti systémov, aplikácií a biznis služieb, možnosť obnovy systémov po havárii alebo výpadku, šifrovanie ukladaných dát.

Cieľová skupina

Cieľovou skupinou projektu sú všetky osoby, ktoré prichádzajú do kontaktu s informačnými systémami mesta a využívajúcimi služby mesta. Služby občanom mesta Bratislava využíva viac ako 450,000 osôb, či už ide o rezidentov, občanov, návštevníkov, pracujúcich, organizátorov alebo účastníkov kultúrnych, spoločenských, politických alebo iných podujatí. V neposlednom rade ide o spoločnosti a organizácie, ktoré na území Bratislavy pôsobia, bez ohľadu na ch právnu subjektivitu či veľkosť organizácie.

V rámci Magistrátu hl. mesta SR Bratislava sa projekt dotýka primárne oddelenia sieťovej infraštruktúry – sieťových a systémových administrátorov. Sekundárne všetkých zamestnancov Magistrátu pracujúcich s informačnými systémami mesta, ako sú napr. pracovníci oddelenia financií, miestnych daní a poplatkov, parkovacej politiky alebo registratúry, ale tiež kvality samotných koncových služieb, ktorých správny chod závisí od podpornej infraštruktúry, ktorej zabezpečenie je cieľom tohto projektu.

Miesto realizácie projektu:

Projekt bude realizovaný na území mesta Bratislava, v rámci existujúceho datacentra magistrátu (DC Digitalis Trnavská cesta 110/b) a v budove Novej radnice magistrátu (Primaciálne námestie 1), kde sa nachádza hlavný sieťový uzol.

Mesto Bratislava deklaruje objektové zabezpečenie priestoru v zmysle zákona č. 215/2004 Z.z. Dokumentácia bude plne v súlade s legislatívnymi požiadavkami na chránené priestory v zmysle Vyhlášky Národného bezpečnostného úradu č. 336/2004 Z. z. o fyzickej bezpečnosti a objektovej bezpečnosti v znení Vyhlášky Národného bezpečnostného úradu č. 315/2006 Z.z.

Merateľné ukazovatele projektu:

V rámci projektu bude naplnený merateľný ukazovateľ výstupu ku koncu realizácie hlavných aktivít projektu a ukazovateľ výsledku v rámci udržateľnosti projektu. Udržateľnosť projektu je 5 rokov.

PO095 / PSKPSOI12: Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov. Počet: 1

PR017 / PSKPRCR11: Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov. Počet (používatelia / rok): 480 000

3.2        Motivácia a rozsah projektu

V súčasnej situácii poskytuje Hlavné mesto SR Bratislava (ďalej tiež „mesto Bratislava“ alebo tiež „HMBA“) služby stovkám tisíc obyvateľov a návštevníkov mesta, je prevádzkovateľom základných služieb podľa zákona 69/2018 Z. z. o kybernetickej bezpečnosti a je zapojené do veľkého spektra aktivít súvisiacich s kultúrnym, politickým, občianskym, spoločenským a sociálnym životom občanov Slovenskej republiky.

Informačné systémy Hlavného mesta SR Bratislava, ktoré podporujú poskytovanie všetkých potrebných služieb občanom a nepretržitú prevádzku biznis procesov mesta, nemajú záložné riešenie pre prípad závažného kybernetického bezpečnostného incidentu (vyššia moc, útok, technická porucha), ktorý by narušil dostupnosť poskytovaných služieb. Dáta obsiahnuté v informačných systémoch mesta majú vysokú spoločenskú hodnotu a ich zneprístupnenie alebo prípadná strata by pri súčasnom stave znamenali katastrofické dopady pre chod Magistrátu a značné komplikácie pre osoby využívajúce služby mesta.

Po technickej stránke sú takmer všetky údaje mesta koncentrované v datacentre, ktorého technológie už v dnešnej dobe nespĺňajú nároky na vysokú úroveň bezpečnosti a dostupnosti poskytovaných služieb. Ide najmä o tieto problémy:

• Sieťová komunikácia je postavená na infraštruktúre, ktorá neposkytuje dostatočnú priepustnosť – switche poskytujú prenos rýchlosťou maximálne 1-2 Gbps. Parametre sieťových prvkov nespĺňajú bezpečnostné štandardy a prevádzkové kapacity nestačia na ani na zabezpečenie plnej dostupnosti počas bežnej prevádzky.
• Priepustnosť linky nedovoľuje prenos veľkého množstva dát v prípade potreby rýchlej obnovy, preto nie je momentálne možné splniť RTO pre kritické aplikácie a služby.
• Manažovateľnosť switchov je obmedzená, riešenie komplikácií a incidentov je sťažené malou bázou znalostí a veľmi slabou zákazníckou podporou.
• Úložisko, na ktorom beží virtualizačná platforma, nemá dostatočnú kapacitu pre potreby manažmentu virtuálnych strojov pri bežnej prevádzke, a tým pádom ani v prípade potreby dynamicky reagovať na zmeny, bezpečnostné udalosti alebo incidenty.
• V rámci úložiska nie sú kritické systémy nevyhnutné pre zabezpečenie chodu základných služieb fyzicky ani logicky oddelené od menej dôležitých systémov a aplikácií. Ide o SPoF (Single point of failure), pre ktorý neexistuje náhrada alebo záložné riešenie v prípade zlyhania, útoku alebo iného incidentu.
• Neexistuje efektívna správa záloh na princípe 3-2-1. Súčasná zálohovacia infraštruktúra neposkytuje možnosť rýchlej obnovy v prípade havárie na produkčnom prostredí a nie je dostatočne chránená voči závažným kybernetickým útokom ako napr. ransomware. V prípade takéhoto útoku alebo iného incidentu je potrebný čas na obnovu neakceptovateľne dlhý a pravdepodobnosť úspešnej obnovy zo zálohy je veľmi nízka.

Úložisko nepodporuje dvojfaktorovú autentizáciu pre manažment prístupov ani dostatočné šifrovanie pre ochranu dôvernosti prísne chránených a citlivých údajov.

V rámci Datacentra je prevádzkovaný VxRail cluster, ktorý podporuje VmWare NSX Networking pre produkčné a testovacie prostredia aplikácií, ktoré podporujú poskytovanie služieb občanom mesta (napr. parkovanie, mestské konto a i.).

V rámci clustra beží tiež vyše 250 virtuálnych strojov, ktoré plnia rôzne úlohy spojené s poskytovaním služieb občanom, ako aj databázové servery, agendové systémy, archív, Active Directory a i.

Celá architektúra je ukladaná na diskovom poli, organizovanom ako virtuálny vSAN Cluster, bez ohľadu na kritickosť alebo úlohu jednotlivých virtuálnych serverov.

Po procesnej stránke mesto má mesto vytvorenú stratégiu kybernetickej bezpečnosti ako aj bezpečnostnú politiku kybernetickej bezpečnosti, ktoré definujú strategické ciele mesta Bratislava v oblasti informačnej a kybernetickej bezpečnosti. Dva z globálnych cieľov sú relevantné aj pre realizáciu tohto projektu:

• Zabezpečiť trvalú a vysokú mieru dôvernosti, integrity a dostupnosti spracúvaných informácií a údajov vytvárať tak predpoklady pre plynulé a dôveryhodné napĺňanie záujmov a poslania mesta Bratislava.
• Zabezpečiť kompletný súlad mesta Bratislava s platnou legislatívou v oblasti informačnej bezpečnosti a kybernetickej bezpečnosti.

V rámci tvorby bezpečnostnej dokumentácie bola definovaná klasifikácia informácií a kategorizácia sietí a informačných systémov v súlade s platnou legislatívou, najmä zákonom 69/2018 o kybernetickej bezpečnosti. Jednotlivé aktíva boli v rámci analýzy rizík a dopadovej analýzy inventarizované a kategorizované.

Mesto Bratislava však nemá pre prípad ohrozenia biznis kontinuity služieb pripravené plány obnovy, riadne definované RPO a RTO pre jednotlivé procesy a havarijné plány pre kritické systémy a aplikácie. Mesto má vykonanú analýzu rizík a dopadovú analýzu, ktorá ukazuje, že riziko neschopnosti zotaviť sa po závažnom kybernetickom incidente v oblasti kontinuity je neprimerane vysoké a na neakceptovateľnej úrovni.

Žiadateľ deklaruje, že ku dňu predloženia ŽoNFP má vykonaný audit kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z.. Mesto Bratislava má vykonaný audit kybernetickej bezpečnosti a disponuje záverečnou auditnou správou z  dňa 3. júna roku 2022. Zo záverečnej správy z auditu rovnako vyplýva, že technická ani procesná stránka zabezpečenia kontinuity kritických a základných služieb nie je na dostatočnej úrovni a vyžaduje si ďalšie investície. Predložený projekt sa opiera o závery z uvedeného auditu.

Oblasti, ktoré je nevyhnutné riešiť, sa v zmysle vyššie uvedenej záverečnej správa z auditu týkajú najmä oblasti fyzickej bezpečnosti a v oblasti riadenia kontinuity procesov, taktiež oblasti riadenia IB a KB a oblasť kryptografických opatrení. Ako najkritickejšiu oblasť audit identifikoval riadenie prístupov, riadenie bezpečnosti sietí a IS a riadenie prevádzky, kde existuje značný priestor na zvýšenie vyspelosti („maturity“) týchto procesov a tým pádom aj na zvýšenie celkovej úrovne IB a KB.

Motiváciou pre realizáciu projektu je vykonaná analýza rizík, ktorá odhalila rezervy v oblasti zabezpečenia vysokej dostupnosti služieb mesta pre občanov. Preto sa mesto rozhodlo vykonať aktivity, ktoré by znížili zistené riziká jednak na technologickej úrovni, ako aj na procesnej a biznisovej úrovni.

Hlavné mesto Slovenskej republiky Bratislava je zapísané do registra prevádzkovateľov základných služieb. Musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a medzi základné je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

• organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
• riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
• personálnej bezpečnosti,
• riadenia prístupov,
• riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
• bezpečnosti pri prevádzke informačných systémov a sietí,
• hodnotenia zraniteľností a bezpečnostných aktualizácií,
• ochrany proti škodlivému kódu,
• sieťovej a komunikačnej bezpečnosti,
• akvizície, vývoja a údržby informačných sietí a informačných systémov,
• zaznamenávania udalostí a monitorovania,
• fyzickej bezpečnosti a bezpečnosti prostredia,
• riešenia kybernetických bezpečnostných incidentov,
• kryptografických opatrení,
• kontinuity prevádzky,
• auditu, riadenia súladu a kontrolných činností.

Všetky uvedené bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. Žiadateľ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

Mesto Bratislava realizuje kroky na zvyšovanie a zachovávanie vysokej úrovne kybernetickej bezpečnosti prostredia, jednak po procesnej stránke ako aj po technologickej, aplikačnej a infraštruktúrnej stránke. Tieto opatrenia sú realizované s ohľadom na platnú legislatívu, najmä zákon 69/2018 Z. z., zákon 95/2019 Z. z., vyhlášky 362/2018 Z. z.

Zároveň mesto Bratislava disponuje bezpečnostnou dokumentáciou:

1. Stratégia kybernetickej bezpečnosti
2. Politika kybernetickej bezpečnosti
3. Klasifikácia aktív, inventarizácia aktív, kategorizácia sietí a IS
4. Analýza rizík, analýza dopadov, katalóg rizík

Výstup projektu

Výstupom projektu bude tiež sada bezpečnostnej dokumentácie, ktorá sa zameriava na politiku zachovania biznis kontinuity organizácie, a teda popisuje obnovu prevádzky – procesov a systémov po výpadku, havárii alebo katastrofe. Tieto výstupy nemajú priamy vplyv na biznis procesy poskytovaných služieb občanom a právnickým osobám.

V rámci podaktivít sa činnosti projektu dajú rozdeliť do nasledovných okruhov:

• Riadenie kontinuity prevádzky
• Sieťová a komunikačná bezpečnosť
• Bezpečnosť dát a informácií

Výstupom projektu bude aktualizovaná bezpečnostná dokumentácia a zavedenie prvkov infraštruktúry, ktoré podporia bezpečnú komunikáciu, riadenie prístupov administrátorov k systémom, vysokú mieru dostupnosti systémov, aplikácií a biznis služieb, možnosť obnovy systémov po havárii alebo výpadku, šifrovanie ukladaných dát.

Navrhované riešenie bude znamenať dosiahnutie súladu opatrení s nasledovnou legislatívou:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe;
• Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti;
• Zákon č. 45/2011 Z.z. o kritickej infraštruktúre;
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy;
• vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy;
• vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov;
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov);
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Súlad projektu s horizontálnymi princípmi a Chartou základných práv EÚ

Žiadateľ deklaruje súlad projektu s horizontálnymi princípmi pri všetkých oprávnených aktivitách realizovaných v rámci projektu s ohľadom na princíp rovnosti mužov a žien a princíp nediskriminácie tak, aby nedochádzalo k znevýhodneným podmienkam pre akúkoľvek skupinu osôb. Projekt si zakladá na báze zachovania rovnosti príležitostí s dôrazom na dodržanie zákazu diskriminácie na základe pohlavia, rasy, etnickej skupiny, náboženstva, veku alebo sexuálnej orientácie, či zdravotného alebo iného znevýhodnenia v akejkoľvek forme.

Uvedené sa týka aj zabezpečenia administratívnych a odborných kapacít zapojených do projektu počas realizácie ako aj udržateľnosti projektu. Žiadateľ deklaruje, že v rámci mzdového ohodnotenia administratívnych a odborných kapacít nebude dochádzať ku diskriminácií k nerovnému odmeňovaniu za rovnakú prácu na základe pohlavia alebo príslušnosti k akejkoľvek znevýhodnenej skupine osôb.

Projekt je v súlade s Chartou základných práv EÚ, zabezpečuje a presadzuje rodovú rovnosť, nediskrimináciu a prístupnosť pre osoby so zdravotným postihnutím. V projekte je zohľadňovaná a presadzovaná rovnosť mužov a žien, uplatňuje a začleňuje sa hľadisko rodovej rovnosti.

Žiadateľ deklaruje, že má vytvorené podmienky prístupnosti aj pre osoby so zdravotným postihnutím k fyzickému prostrediu, k informáciám a komunikácii vrátane informačných a komunikačných technológií a systémov, ako aj k ďalším prostriedkom a službám dostupným alebo poskytovaným verejnosti, vrátane všetkých informačných a vzdelávacích aktivít.

Zameraním projektu a charakterom služieb, ktoré mesto Bratislava poskytuje sa zabraňuje akejkoľvek diskriminácii a s ohľadom na prístupnosť pre osoby so zdravotným postihnutím alebo iným znevýhodnením.

3.3        Zainteresované strany/Stakeholderi

3.4        Ciele projektu

Ciele a aktivity projektu sú navrhované tak, aby prispeli k naplneniu:

• špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť – Kybernetická a informačná bezpečnosť)
• strategického dokumentu Bratislava 2030 – Program rozvoja obce 2022 – 20230 , strategický cieľ C.3.2. Moderné a efektívne mesto, C.3.2.2 Digitálne sebavedomé mesto.

Cieľom projektu je zvýšiť odolnosť Hlavného mesto Slovenskej Republiky Bratislava voči kybernetickým incidentom v oblasti dostupnosti služieb poskytovaných občanom. Tento cieľ je možné rozdeliť na dva čiastkové:

• Prvým cieľom projektu je podporiť schopnosť zachovať kontinuitu biznis procesov mesta na technickej úrovni – rozšírením kapacít a aktualizovaním infraštruktúry prevádzkovaného datacentra tak, aby bolo mesto pripravené čeliť súčasným rizikám a hrozbám včas, spoľahlivo a efektívne.
• Druhým cieľom projektu je podporiť systém riadenia kybernetickej bezpečnosti na procesnej úrovni – komplexnou aktualizáciou existujúcej dokumentácie a vytvorením a implementáciou chýbajúcej dokumentácie, najmä pre oblasť biznis kontinuity procesov, havarijných plánov a interných riadiacich aktov a metodík pre administrátorov.

Zároveň sú ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“):

• Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti
• Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov
• Zabezpečenie kontinuity prevádzky

Projekt je v súlade so špecifickým cieľom RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a v súlade s povinnými aktivitami v rámci výzvy PSK_MIRRI-611-2024-DV-EFRR.

V rámci projektu bude realizovaná hlavná aktivita - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

3.5        Merateľné ukazovatele (KPI)

3.6        Špecifikácia potrieb koncového používateľa

Výstupy a ciele projektu nie sú zamerané na priamy vývoj nových alebo rozvoj existujúcich ISVS/s, alebo elektronických služieb, ktoré majú grafické alebo iné používateľské rozhranie a sú určené pre občanov/podnikateľov alebo aj pracovníkov verejnej správy pracujúcich s agendovým systémom, (ďalej označených ako koncoví používatelia) a je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci organizácie Žiadateľa.

3.7        Riziká a závislosti

Detailný popis rizík a závislostí sú v priloženej prílohe P_01_a_I_01_a_M_02_1_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI. Prehľad rizík a závislostí:

3.8        Stanovenie alternatív v biznisovej vrstve architektúry

Alternatíva 1: Ponechanie súčasného stavu

Biznis alternatíva 1 predstavuje ponechanie existujúceho stavu informačnej a kybernetickej bezpečnosti Žiadateľa. Táto alternatíva spočíva v neprijatí žiadnych zmien a zachovaní stavu, aký pretrvával doteraz. V prípade tejto alternatívy by neboli riešené procesné ani technologické nedostatky HMBA, čo by malo za následok pretrvávanie súčasného stavu. Poskytovanie služieb občanom nebude na požadovanej úrovni, nebude vybudovaná dostatočná ochrana pred hrozbami, nastane nemožnosti organizácie regenerovať sa po rozsiahlejšom incidente alebo havárii, v neposlednom rade dôjde k nesplneniu zákonných a legislatívnych požiadaviek na bezpečnosť v stanovených lehotách.

Alternatíva 2: Čiastočné alebo postupné riešenie

Alternatíva 2 počíta s realizáciou iba tých aktivít, ktoré by bolo mesto schopné zabezpečiť vlastnými finančnými prostriedkami, t.j. z z vlastného rozpočtu. Išlo by primárne o zavedenie bezpečnostných politík, interných predpisov a smerníc. Tieto politiky by však nebolo možné v praxi aplikovať, pretože súvisiaca infraštruktúra by nedosahovala požadované parametre, aby bola schopná napĺňať potreby bezpečnostných politík v dostatočnej miere a rozsahu.

Nutnosť získania finančných prostriedkov by aj po implementácii Alternatívy 2 stále pretrvávala. Vyčlenenie finančných prostriekdov z rozpočtu mesta, alebo získanie finančných prostriedkov z cudzích zdrojov by znamenalo realizáciu technologickej, resp. implementačnej časti projektu v neskoršom dátume, aby boli všetky požiadavky na zníženie identifikovaných rizík mesta splnené. V čase, pokiaľ by sa tak stalo, by však platila situácia obdobná s alternatívou 1, kedy by mesto nebolo schopné adekvátne reagovať na možné rizikové scenáre a hrozby.

Alternatíva 3: Úplné riešenie a implementácia projektu ako celku

Alternatíva 3 predstavuje implementáciu všetkých projektom navrhovaných aktivít pre pokrytie nedostatkových oblastí.

V tejto alternatíve je projekt realizovaný v plnej miere – ide teda plošné zavedenie bezpečnostných politík, vytvorenie plánov obnovy a tiež ich podpora na infraštruktúrnej úrovni zavedením navrhovaných technických riešení. Týmto by bola zabezpečená vysoká miera dostupnosti služieb, efektivity práce zamestnancov a pracovníkov s informačnými systémami mesta, celková bezpečnosť prostredia a odolnosť voči výpadkom infraštruktúry.

3.9        Multikriteriálna analýza

Spracovanie MCA:

Prostredníctvom MCA zostavenej na základe kapitoly Motivácia, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov vychádza ako najvhodnejšia a jediná v zmysle splnenia KO kritérií Alternatíva 3, ktorá predstavuje implementáciu Žiadateľom navrhovaného projektu v plnom rozsahu.

3.10     Stanovenie alternatív v aplikačnej vrstve architektúry

V rámci biznis vrstvy vyšla na základe KO kritérií a vhodnosti jedna alternatíva, t.j. Alternatíva 3, a nie je nutné ju naďalej porovnávať na aplikačnej úrovni a to aj z dôvodu, že Žiadateľ sa pridržiava odporúčaniami vyplývajúcimi z auditu kybernetickej bezpečnosti.

3.11     Stanovenie alternatív v technologickej vrstve architektúry

V rámci biznis vrstvy vyšla na základe KO kritérií a vhodnosti jedna alternatíva, t.j. Alternatíva 3 a nie je nutné ju naďalej porovnávať na technologickej úrovni a to aj z dôvodu, že Žiadateľ sa pridržiava odporúčaniami vyplývajúcimi z auditu kybernetickej bezpečnosti. a ich výber je vzhľadom na existujúcu infraštruktúru a technologické prostredie zvolený tak, aby zabezpečil ekonomicky najvýhodnejšie riešenia a aby bola jeho obsluha a správa zabezpečená v čo najvyššej miere internými kapacitami.

4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Realizáciou projektu sa dosiahne zvýšenie úrovne informačnej a kybernetickej bezpečnosti a zabezpečia sa systémy Žiadateľa s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z..

V rámci aktivít sa zabezpečí:

• Sieťová a komunikačná bezpečnosť
• Zaznamenávanie udalostí a monitorovanie
• Kontinuita prevádzky
• Riadenie prístupov

Projekt a jeho realizácia a všetky jeho projektové výstupy budú v súlade s vyhláškou 401/2023 o riadení projektov.

Po realizácii projektu bude situácia nasledovná:

• Dramaticky sa znížia hodnoty RTO (Recovery Time Objective – požiadavka na časový úsek, dokedy musí byť v prípade nedostupnosti služby/systému spustené záložné riešenie alebo bude systém obnovený) pre dané sieťové a infraštruktúrne prvky, ako aj pre služby, ktoré od danej infraštruktúry závisia. Zjednotí sa tak reálna hodnota RTO s požadovanou hodnotou RTO, ako ju pre jednotlivé systémy definuje interný dokument Analýza rizík. Tento dokument popisuje riziká vplývajúce na biznis procesy mesta a na aktíva podporujúce tieto procesy, ohodnocuje závažnosť a akceptovateľnú úroveň týchto rizík, a definuje navrhované opatrenia na zníženie vplyvu rizík.
• Miera úspešnosti obnovy systémov a dát po havárii (teda šanca, že sa obnova podarí a nezlyhá) sa zvýši z aktuálnej neakceptovateľnej hodnoty menšej ako 30% na akceptovateľnú úroveň presahujúcu 90%, v závislosti od charakteru obnovovaného informačného systému a ďalších bezpečnostných opatrení majúcich vplyv na daný systém. Mesto bude disponovať diskovým poľom, ktoré bude v prípade incidentu (havária, útok) pripravené okamžite nahradiť nedostupné primárne diskové pole.
• Priepustnosť, a teda rýchlosť odozvy bude niekoľkonásobne lepšia (očakávané zlepšenie priepustnosti na úrovni 3- až 6-násobku oproti súčasnému stavu), čo sa prejaví v bezproblémovom a hladkom chode aplikácií a služieb na strane ich používateľov (zamestnancov).
• Manažment a správa podpornej infraštruktúry ako aj aplikačnej vrstvy bude značne jednoduchšia a rýchlejšia. V prípade potreby odstávky nebudú výpadky zbytočne dlhé a migrácia virtuálnych strojov bude jednoduchšia a rýchlejšia.
• Bezpečnosť celého riešenia sa rapídne zvýši a dostane sa na požadovanú úroveň – najmä v oblasti riadenia prístupov (zavedením dvojfaktorového prihlasovania do infraštruktúry), v oblasti ochrany dôvernosti informácií (zavedením šifrovania diskového poľa najmodernejšími šifrovacími algoritmami), v oblasti ochrany pred útokmi, najmä ransomware (lepšou topológiou a segmentáciou siete, oddelením manažmentovej časti od výkonnej časti).
• Prvky doteraz používanej infraštruktúry nebudú úplne vyradené, ale budú konfigurované tak, aby mohli ďalej poskytovať podporu pre služby, ktoré nie sú vysokej úrovne kritickosti, čím sa zvyšuje hospodárnosť celého riešenia, keďže nedôjde k úplnému vyradeniu doteraz používaného hardvéru.
• Plány obnovy po incidente alebo havárii budú aktuálne a použiteľné, bude možné ich testovať a aplikovať v prípade potreby, pričom pravdepodobnosť úspešnej obnovy po havárii bude na akceptovateľnej úrovni.
• V prostredí Datacentra vznikne nové, moderné dátové úložisko s vysokou mierou dostupnosti, v ktorého prvej časti budú bežať kritické systémy nevyhnutné pre činnosť mesta a v druhej časti bude aktívna rýchla záloha pre potreby obnovy v prípade výpadku alebo havárie.
• Na pôvodnom dátovom úložisku, odľahčenom o aplikácie presunuté do nového úložiska, ostanú nekritické aplikácie, ktorých nedostupnosť nemá závažný vplyv na chod organizácie.
• Aplikácie a prostredia bežiace na novej infraštruktúre budú primárne:
• Kubernetes/Tanzu/Docker
• ParkSys
• IS NORIS
• IS GINIS.

Očakávané prínosy projektu sú nasledovné:

• Zvýšenie dostupnosti aplikácií a služieb, nízke RTO
• Zvýšenie používateľského komfortu
• Zvýšenie bezpečnosti voči ransomwarovým útokom
• Zvýšenie bezpečnosti ukladaných citlivých dát
• Zvýšenie bezpečnosti cez správu prístupov
• Efektívnejšia správa prostredia
• Funkčné plány obnovy
• Súlad s platnou legislatívou
• Dlhodobé funkčné riešenie

5.     NÁHĽAD ARCHITEKTÚRY

Technické riešenie je súčasťou komplexného zvýšenia bezpečnosti, ktorého primárnym cieľom je zvýšenie rýchlosti, stability a bezpečnosti prenosu a ukladania dát v dátovom centre, s primárnym cieľom zabezpečiť vysokú dostupnosť informačných systémov, aplikácií, biznis procesov mesta a tým poskytovanie služieb občanom, a rovnako odolnosť voči rôznym kybernetickým hrozbám.

Sieťové riešenie

Navrhované sieťové riešenie je  plne kompatibilné s plánovaným konceptom mikro-segmentácie s využitím už existujúcej technológie (VMware NSX), ktorý zabezpečí schopnosť nastavovať prístupové pravidlá pre komunikáciu na úrovni virtuálnych switchov a umožní presne definovať komunikáciu do a z prostredia virtuálnej infraštruktúry, ako aj medzi jednotlivými virtuálnymi strojmi. Toto riešenie poskytuje funkcie, ktoré zabezpečí ochranu sieťového prostredia voči hrozbe „Lateral Movement“ (pohyb útočníka medzi prvkami v jednej vrstve hierarchie).

Tento koncept vyžaduje okrem iného kvalitatívne navýšenie parametrov sieťovej prevádzky formou príslušného hardwarového vybavenia.

Navrhované sieťové zariadenia ďalej eliminujú existujúce úzke hrdlo (bottleneck) v rýchlosti sieťovej prevádzky v rámci lokálneho dátového centra ako aj pre komunikáciu s externými pobočkami. Je tak eliminovaný stav, kedy fyzická sieťová infraštruktúra obmedzovala komunikáciu systémov a bola príčinou nedostupnosti aplikácií a služieb.

Navrhované switche budú konfigurované v koncepte vysokej dostupnosti, s elimináciou výpadku sieťovej prevádzky pre kritické aplikácie a dáta tak, aby bola zachovaná dostupnosť aplikačných služieb pre občanov.

Ďalej bude vďaka možnostiam navrhovaných sieťových prvkov významne zvýšená bezpečnosť a odolnosť voči bezpečnostným útokom na úrovni fyzických portov (Port Security), s kontrolou a autorizáciou prístupu zariadení a užívateľov. Zároveň sú sieťové zariadenia pripravené na automatizáciu prostredníctvom aplikačného rozhrania (API), kde sieťová a bezpečnostná konfigurácia bude súčasťou infraštruktúrnych bezpečnostných deployment blueprintov.

Navrhované sieťové prvky musia podporovať minimálne tieto protokoly (kompletný zoznam je uvedený v technickej špecifikácii):

• TACACS+ - podpora auntetifikácie TACACS+
• 1x – podpora pre 802.1x auntentifikáciu
• IPV4 / IPV6 Access lists – kontrola prístupov IP access adress list
• Port Security – identifikácia a kontrola prístupov na úrovni MAC adress
• IPsec – podpora Ipsec protokolu
• Ipsec VPN – podpora Ipsec VPN protokolu

Dátové pole

Pre zvýšenie dostupnosti a bezpečnosti dát z virtuálnej infraštruktúry a ďalších prostredí bude inštalované diskové/dátové pole.

Nové diskové pole bude prezentovať diskový datastore pre virtualizovanú VMware infraštruktúru. Primárne bude určené ako diskový priestor pre kritický workload, kde je vyžadovaná vysoká bezpečnosť a dostupnosť ukladaných dát.

Navrhovaný koncept ako aj technický dizajn riešenia počíta s možnosťou bezvýpadkovej online migrácie dát medzi existujúcim a novým dátovým úložiskom pre prípad migrácie alebo potreby navýšenia kapacity a výkonu pre aplikácie slúžiace občanom a externým organizáciám.

Navrhované diskové pole je plne kompatibilné s existujúcim systémom pre zálohu a obnovu dát. Bude procesne integrované do zálohovacieho systému s využitím existujúceho backup úložiska (DataDomain).

Diskové pole bude súčasťou procesu Ransomware recovery, kedy umožní vytvoriť diskový priestor pre prípad obnovy dát v prípade kyberútoku na dáta uložené na inej časti diskového úložiska.

Navrhované diskové pole musí podporovať minimálne tieto funkcionality (kompletný zoznam je uvedený v technickej špecifikácii):

• Data Encryption – enkrypcia uložených dát
• CHAP – autentikáciu prístupov v iSCSI protokole
• Secure snaphosts – snapshot management s vynútenou retenciou a RBAC
• Remote logging – kontrola a auditovanie prístupov a udalostí s uloženou históriou
• Validácia a autentikácia software a firmware pre storage kontrolery
• RBAC – kontrola prístupu užívateľov s podporou MFA a LDAP

Hlavným cieľom a teda predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti Žiadateľa. Na nasledujúcom diagrame je znázornená High Level architektúra riešenia.

• a autentikácia software a firmware pre storage kontrolery
• RBAC – kontrola prístupu užívateľov s podporou MFA a LDAP

5.1        Prehľad e-Government komponentov

Obsah kapitoly je spracovaný v dokumente I-03 Prístup k projektu.

5.1.1        Prehľad koncových služieb – budúci stav:

5.1.2        Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

5.1.3        Prehľad budovaných aplikačných služieb – budúci stav:

5.1.4        Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

Navrhované riešenie neintegruje ISVS iných OVM ani IS tretích strán.

5.1.5        Aplikačné služby na integráciu

Navrhované riešenie nebuduje aplikačné služby.

5.1.6        Poskytovanie údajov z ISVS do IS CSRÚ

Navrhované riešenie neposkytuje údaje do IS CSRÚ.

5.1.7        Konzumovanie údajov z IS CSRÚ

Navrhované riešenie nekonzumuje údaje z IS CSRÚ

5.1.8        Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Navrhované riešenie v momentálnom dizajne nevyužíva cloudové služby. HMBA však má podpísané memorandum o spolupráci v oblasti kybernetickej bezpečnosti s MIRRI, ktorého cieľom je integrovať služby bezpečnostného monitoringu a Security Operations Centra ministerstva do prostredia mesta Bratislava.

6.     LEGISLATÍVA

V rámci predkladaného projektu a ani po jeho ukončení počas obdobia udržateľnosti sa neočakáva úprava alebo priama zmena zákona vyplývajúca z aktivít projektu a teda úspešná realizácia projektu nie je ovplyvnená žiadnymi vyžadovanými zmenami v legislatíve. Predložené riešenie v rámci projektu počíta s platnou legislatívou a očakávanými zmenami a úpravami legislatívy, najmä prijatia smernice NIS2.

7.     ROZPOČET A PRÍNOSY

7.1        Sumarizácia nákladov a prínosov

V prípade projektov kybernetickej bezpečnosti je priame vyčíslenie návratnosti pomerne komplikované. Z pohľadu návratnosti je potrebné venovať sa hodnoteniu možných škôd, ktoré by vznikli v prípade, že nebude adekvátne riešená KIB na úrovni poskytovateľa základnej služby.

Ide o nasledovné potenciálne škody:

Finančné riziko – dôsledky kybernetického útoku. Ide o možné sankcie vyplývajúce priamo z legislatívnych rámcov, prípadných súdnych sporov (v prípade napríklad úniku osobných údajov) ako aj nákladov spojených so sanáciou prípadného kybernetického incidentu. Tieto finančné prostriedky nie je možné momentálne vyčísliť, reálne však môže niekoľko násobne prekročiť straty interných finančných prostriedkov HMBA.

Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností HMBA, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS alebo vyhlášky 362 /2018 Z. z. či reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

8.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Projekt a jeho realizácia a všetky jeho projektové výstupy budú v súlade s vyhláškou 401/2023 o riadení projektov. Pre projekt bola vzhľadom na jeho povahu vybraná ako najvhodnejšia metóda Waterfall. Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác

9.     PROJEKTOVÝ TÍM

Zodpovednosti členov Riadiaceho výboru sú v súlade s čl. 4 Štatútu Riadiaceho výboru projektu:

1. Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:
2. a) zastupovať záujmy objednávateľa v projekte,
3. b) kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,
4. c) zabezpečiť a udržať finančné krytie (rozpočet) realizácie projektu,
5. d) zabezpečiť nákladovo prijateľný prístup v projekte,

1. Hlavným záujmom a zodpovednosťou zástupcu vlastníka procesu objednávateľa (biznis vlastník) alebo vlastníkov procesov objednávateľa je:
2. a) schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,
3. b) definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na bezpečnosť,
4. c) definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,
5. d) schválenie akceptačných kritérií,
6. e) akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,
7. f) odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,
8. g) dostupnosť ľudských zdrojov alokovaných na realizáciu projektu

1. Hlavným záujmom a zodpovednosťou zástupcu kľúčových používateľov objednávateľa (end user), ktorí reprezentuje záujmy budúcich používateľov projektových produktov alebo projektových výstupov je:
2. a) návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť,
3. b) návrh a definovanie akceptačných kritérií,
4. c) akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky,
5. d) predkladanie požiadaviek na zmenu funkcionalít produktov,

1. Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je:
2. a) návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov,
3. b) splnenie požiadaviek objednávateľa na projektové produkty alebo projektové výstupy,
4. c) určenie projektového manažéra za dodávateľa predložením návrhu predsedovi riadiaceho výboru projektu; projektový manažér za dodávateľa zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch,

Pre účely realizácie projektu sa zostavuje Riadiaci výbor (RV), v minimálne nasledovnom zložení:

Riadiaci výbor:

Predseda RV – Matej Evin

Biznis vlastník – Martin Hrmo

Zástupca prevádzky – Ľubomír Tobek

Projektový manažér – Juraj Repík

Projektový tím:

Projektový manažér – Juraj Repík

Manažér kybernetickej a informačnej bezpečnosti – Matej Evin

IT architekt – Ľubomír Tobek

IT analytik – Zdenko Škandera

Všetci členovia tímu sú internými zamestnancami Hlavného mesta SR Bratislavy ku dňu podania ŽoNFP.

9.1         PRACOVNÉ NÁPLNE

Jednotlivé pozície členov riadiaceho výboru a projektového tímu majú pridelené kompetencie v nasledovnom rozsahu:

Biznis vlastník zodpovedná za:

• Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu;
• Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej);
• Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi;
• Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek;
• Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu;
• Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť;
• Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov;
• Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov;
• Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu;
• Schválenie akceptačných kritérií;
• Riešenie problémov používateľov;
• Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky;
• Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu;
• Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch;
• Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a priority;
• Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd;
• Odsúhlasenie akceptačných protokolov zmenových konaní;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z., Prílohou č.1 plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu.

Projektový manažér zodpovedá za:

• Riadenie prípravy, inicializácie a realizácie projektu;
• Riadenie projektu podľa pravidiel stanovených vo Vyhláške 401/2023 Z. z.;
• Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii;
• Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu;
• Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu;
• Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov;
• Zabezpečenie vypracovania a aktualizície manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z. Z.;
• Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.;
• Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 401/2023 Z. z.;
• Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí;
• Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV);
• Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby;
• Vypracovanie požiadaviek na zmenu, návrh ich priority a predkladanie zmenových požiadaviek na rokovanie RV;
• Riadenie zmeny a prípadné požadované riadenie konfigurácií a ich zmien;
• Riadenie implementačných a prevádzkových aktivít v rámci projektov;
• Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov;
• Formálnu administráciu projektu, správu a archiváciu projektovej dokumentácie, kontrolu dodržiavania a plnenia zmluvy s dodávateľom;
• Dodržiavanie metodík projektového riadenia;
• Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV);
• Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr.

Kľúčový používateľ zodpovedá za:

• Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
• Návrh a špecifikáciu funkčných a technických požiadaviek;
• Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy;
• Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, · Špecifikáciu požiadaviek koncových používateľov na prínos systému;
• Špecifikáciu požiadaviek na bezpečnosť;
• Návrh a definovanie akceptačných kritérií;
• Vykonanie testovania a finálne odsúhlasenie funkčnosti;
• Vykonanie akceptačného testovania;
• Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov;
• Finálny návrh na spustenie do produkčnej prevádzky;
• Predkladanie požiadaviek na zmenu funkcionalít produktov;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z.;
• Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
• Realizáciu kvalitatívneho používateľského výskumu (nastavenie požiadaviek na regrutáciu, návrh scenára, vedenie rozhovoru
• Analýzu a návrh riešenia problematiky prístupnosti webových sídiel;
• Podporu a spoluprácu pri tvorbe Stratégie riadenia kvality (princípy, kritériá kvality);
• Spoluprácu pri vytváraní funkčných požiadaviek na výstupy;
• Vedenie a aktualizáciu príslušných projektových výstupov a registrov;
• Hodnotenie jednotlivých verzií výstupov projektu v jednotlivých etapách;
• Vytváranie hodnotiacich kritérií na dohľad výstupov a príslušných záznamov, o ktorých reportuje projektovému manažérovi objednávateľa;
• Nastavenie a dohľad nad procesom testovania a pripomienkovanie stratégie testovania, plánov a testovacích scenárov;
• Účasť na kontrolných aktivitách počas implementácie výstupov;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

IT analytik zodpovedá za:

• Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
• Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie riešení;
• Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom;
• Analýza potrieb zákazníka vrátane tvorby dokumentácie a vstupov do verejného obstarávania (VO);
• Mapovanie požiadaviek do návrhu funkčných riešení;
• Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia;
• Analýza funkčných a nefunkčných požiadaviek;
• Návrh fyzického a logického modelu;
• Návrh testovacích scenárov;
• V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním;
• Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy;
• Definovanie akceptačných kritérií v projekte;
• Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení;
• Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek;
• Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov;
• Rieši požiadavky používateľov a konflikty iných priorít;
• Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

IT architekt zodpovedá za:

• Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu;
• Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu;
• Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení;
• Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu;
• Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu;
• Zodpovednosť za technické navrhnutie a realizáciu projektu;
• Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola;
• Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania;
• Definovanie architektúry systému, technických požiadaviek a funkčného modelu;
• Vytvorenie požiadaviek na HW/SW infraštruktúru IS;
• Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru;
• Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS;
• Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia;
• Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami;
• Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry;
• Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu;
• Prípravu akceptačných kritérií · Analýza nových nástrojov, produktov a technológií;
• Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov;
• Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia;
• Posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania;
• Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení;
• Participáciu na výkone bezpečnostných testov;
• Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

Manažér kybernetickej a informačnej bezpečnosti zodpovedá za:

• Špecifikovanie štandardov, princípov a stratégií v oblasti kybernetickej a informačnej bezpečnosti;
• Špecifikáciu a analýzu funkčných požiadaviek kybernetickej a informačnej bezpečnosti;
• Špecifikovanie požiadaviek na kybernetickú a informačnú bezpečnosť, kontroluje ich implementáciu v realizovanom projekte;
• Špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia;
• Špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy;
• Špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru;
• Špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa kybernetickú a informačnú bezpečnosť;
• Realizáciu posúdenie požiadaviek agendy na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia;
• Špecifikovanie požiadaviek na testovanie z hľadiska kybernetickej a informačnej bezpečnosti, realizáciu kontroly zapracovania a retestu, špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek;
• Špecifikáciu akceptačných kritérií za oblasť kybernetickej a informačnej bezpečnosti;
• Špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom KIB;
• Poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť kybernetickej a informačnej bezpečnosti;
• Získavanie informácií nutných pre plnenie úloh v oblasti kybernetickej a informačnej bezpečnosti;
• Špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,
• Konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dokumentácie;
• Realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezpečnostnom projekte, na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí, realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí;
• Realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB;
• Realizáciu kontroly zameranú na implementovaný proces a jeho súlad s platnou legislatívou v oblasti kybernetickej a informačnej bezpečnosti;
• Poskytovanie konzultácií a súčinnosti pre problematiku kybernetickej a informačnej bezpečnosti;
• Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 401/2023 Z.z..

10. ODKAZY

Pre projekt nerelevantné.

11. PRÍLOHY

Príloha : Zoznam rizík a závislostí (Excel): priložený ako samostatná príloha k tomuto dokumentu.

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente