PRÍSTUP K PROJEKTU

 Vzor pre manažérsky výstup I-03

podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

 1.    História dokumentu

2.    Účel dokumentu

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky. Dodávané riešenie je v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu. Dokument je určený na rozpracovanie informácií k projektu " Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – PET klinika BIONT", ktorý zahŕňa nákup a implementáciu hardvéru (serverov, sieťových aktívnych prvkov, analytických nástrojov a ostatného HW a SW) potrebných na obmenu a doplnenie existujúcej informačno-komunikačnej infraštruktúry firmy BIONT a.s.

2.1       Použité skratky a pojmy

3.    Popis navrhovaného riešenia

Cieľom projektu je systematické zvýšenie úrovne informačnej a kybernetickej bezpečnosti v spoločnosti BIONT. Projekt sa zameriava na aktívne monitorovanie a vyhodnocovanie aktuálnych bezpečnostných rizík a zavádzanie opatrení na ich minimalizáciu, čím sa zníži pravdepodobnosť bezpečnostných incidentov.

Tento cieľ bude dosiahnutý realizáciou čiastkových cieľov prostredníctvom aktivít:

• Implementácia moderných bezpečnostných opatrení: Implementácia nástrojov na zbieranie a vyhodnocovanie logov a udalostí na výrazné zníženie rizika kybernetických útokov.
• Vyššia úroveň informovanosti zamestnancov: Nasadenie systému kontinuálneho vzdelávania na zvýšenie pripravenosti zamestnancov na riešenie bezpečnostných incidentov.
• Zlepšené riadenie prístupových práv: Posilnenie riadenia prístupových práv na ochranu citlivých informácií.
• Efektívne riadenie bezpečnostných incidentov: Vývoj postupov na rýchle a efektívne riešenie bezpečnostných incidentov s cieľom minimalizovať výpadky a nedostupnosť poskytovaných služieb.
• Modernizácia hardvéru: Upgrade zastaraného hardvéru na predchádzanie výpadkom služieb.
• Zavedenie šifrovania diskov na PC, notebookoch a serveroch.
• Vylepšené zálohovanie a obnova dát: Výmena HW pre BackUp server a inštalovanie druhého geograficky oddeleného záložného servera
• Doplnenie a revízia chýbajúcej bezpečnostnej dokumentácie: Doplnenie a revízia chýbajúcej bezpečnostnej dokumentácie na zabezpečenie komplexných bezpečnostných politík a postupov.
• Vykonanie auditu KB a následného REauditu: Realizácia auditu aktuálneho stavu kybernetickej bezpečnosti na identifikáciu a odstránenie zraniteľností a následného REauditu po 2 rokoch.

Tieto ciele budú dosiahnuté zavedením nových hardvérových a softvérových riešení a bezpečnostných opatrení, ktoré možno rozdeliť do jednotlivých modulov projektu. Každý modul je priamo namapovaný na Katalóg požiadaviek:

Modul Audit KB:

• Komplexné vyhodnotenie aktuálneho bezpečnostného prostredia.

Modul Serverovňa v budove E:

• Upgrade a zabezpečenie infraštruktúry serverovne v budove E.

Modul Serverovňa v budove I:

• Upgrade a zabezpečenie infraštruktúry serverovne v budove I.

Modul NAS úložiska:

• Zlepšenie a zabezpečenie riešení pre sieťové úložisko.

Modul KASKA:

• Implementácia pokročilých bezpečnostných opatrení pre kritickú infraštruktúru.

Modul Switche:

• Upgrade a zabezpečenie sieťových switchov.

Modul Penetračné testy:

• Realizácia dôkladných penetračných testov na identifikáciu zraniteľností.

Modul Bezpečnostná dokumentácia:

• Vypracovanie a aktualizovanie komplexných bezpečnostných politík a dokumentácie.

Modul SIEM:

• Nasadenie systémov pre správu bezpečnostných informácií a udalostí na proaktívne riadenie hrozieb.

Modul Konfiguračný manažment (CM):

• Implementácia konfiguračného manažmentu na udržanie bezpečnostných nastavení a súladu.

Modul BackUP server:

• Inštalácia a konfigurácia nového záložného servera na zlepšenie obnovy dát.

Modul Rozšírené detekčné a reakčné systémy (XDR):

• Implementácia XDR riešení na pokročilú detekciu a reakciu na hrozby.

Modul IPS/IDP:

• Nasadenie systémov na prevenciu a detekciu prienikov v reálnom čase.

Modul Sieťová infraštruktúra (NIS):

• Zlepšenie bezpečnosti sieťovej infraštruktúry.

Modul Endpoint detection a response optimum:

• Nasadenie jednoduchej súpravy nástrojov na analýzu príčin, skenovanie a možnosti automatických reakcií alebo reakcie

Modul ReAudit KB:

• Realizácia následného auditu na zabezpečenie efektívnosti implementovaných opatrení.

Realizáciou týchto modulov sa projekt zameria na vytvorenie robustného a odolného kybernetického bezpečnostného rámca v spoločnosti BIONT. Požiadavky pre jednotlivé moduly sú vylistované v zozname uvedenom v dokumente I_04_KATALOG_POZIADAVIEK v tabe „Moduly a inkrementy“.

4.    Architektúra riešenia projektu

Rozsah architektúry budúceho stavu (TO-BE) v porovnaní so súčasným stavom (AS-IS) sa zmení prevažne na úrovni aplikačnej a technologickej vrstvy. Architektúra BIONT bola vytvorená v programe ArchiMate modelling na základe rozsiahlych diskusií s oddelením IT.

Máme zakreslenú situáciu „as-is“, ako aj situáciu „to-be“. Nakoľko veríme, že sa jedná o tajnú informáciu a zdieľanie tejto informácie na verejne dostupnom portáli vnímame ako hrozbu bezpečnostného incidentu, nebudeme prikladať prílohy. Pri vyžiadaní vieme túto architektúru dať k nahliadnutiu pri osobnom stretnutí. 

Medzi hlavné zmeny bude vytvorenie NAS úložiska, CM, XDR, IPS/IDP, NIS, AV upgrade, SIEM  na úrovni aplikačnej architektúry a upgrade fyzického zabezpečenia priestorov serverovní (back up server) na technologickej úrovni. Rámcový popis riešenia je uvedený v Projektovom zámere.

Inkrementálne čiastkové plnenie projektu, ktoré zahŕňa minimálne etapy implementácie, testovania a nasadenia do produkčného prostredia, môže byť realizované prostredníctvom viacerých iterácií v závislosti od charakteru projektu. Každý doručený inkrement projektu je nasadený v produkčnom prostredí, čo umožňuje začať s dokončovacou fázou projektu alebo pokračovať ďalším inkrementom. Vzhľadom na to, že projekt zahŕňa najmä nákup technických prostriedkov, softvérových nástrojov a služieb, je rozdelenie na inkrementy menej relevantné. Napriek tomu bude rozdelenie vykonané v súlade s Katalógom požiadaviek.

Implementácia každého inkrementu zahŕňa nasledujúce kľúčové fázy:

• Implementácia: Zavedenie technických a softvérových prostriedkov do testovacieho prostredia.
• Testovanie: Dôkladné overenie funkčnosti a bezpečnosti implementovaných riešení.
• Nasadenie do produkcie: Premiestnenie a aktivácia overených riešení v produkčnom prostredí.

Tento prístup zabezpečuje, že každý inkrement prináša merateľnú hodnotu a umožňuje priebežné zlepšovanie a adaptáciu projektu na aktuálne potreby a podmienky.

4.1       Biznis vrstva

Vypracovanie chýbajúcej bezpečnostnej dokumentácie je kľúčovým aspektom architektúry riešenia projektu na úrovni biznis vrstvy. Tento proces zahŕňa nasledujúce oblasti a položky:

• Klasifikácia informácií:

Definovanie kategórií informácií na základe ich dôležitosti a citlivosti.

Vytvorenie politík na správu a ochranu informácií v jednotlivých kategóriách.

• Definovanie úrovní citlivosti a ochrany informácií, kategorizácia sietí a informačných systémov:

Určenie úrovní citlivosti informácií (napr. verejné, interné, citlivé, tajné).

Kategorizácia sietí a informačných systémov podľa úrovne ich citlivosti a požiadaviek na ochranu.

• Určenie kritických systémov a sietí pre lepšie riadenie bezpečnosti:

Identifikácia a označenie kritických systémov a sietí, ktoré sú zásadné pre prevádzku spoločnosti.

Vypracovanie špecifických bezpečnostných opatrení pre tieto systémy a siete.

• Analýza rizík a funkčného dopadu, identifikácia a hodnotenie potenciálnych bezpečnostných rizík:

Vykonanie dôkladnej analýzy rizík spojených s bezpečnostnými incidentmi.

Hodnotenie potenciálnych rizík a ich dopadu na prevádzku spoločnosti.

• Posúdenie dopadu potenciálnych bezpečnostných incidentov na prevádzku:

Analýza scenárov bezpečnostných incidentov a ich možných dopadov na prevádzku a kontinuitu činností.

• Organizácia kybernetickej a informačnej bezpečnosti (KIB):

Vytvorenie organizačnej štruktúry pre riadenie kybernetickej a informačnej bezpečnosti.

Určenie zodpovedností a úloh jednotlivých členov tímu KIB.

• Radenie rizík KIB:

Systematické radenie rizík podľa ich významnosti a pravdepodobnosti výskytu.

Implementácia procesov na identifikáciu, hodnotenie a zmierňovanie rizík.

• Personálna bezpečnosť:

Zavedenie opatrení na ochranu pred internými hrozbami vrátane školení a kontroly zamestnancov.

• Riadenie prístupov:

Kontrola a monitorovanie prístupu k citlivým informáciám a systémom.

Zabezpečenie, že tretie strany dodržiavajú bezpečnostné štandardy pri prístupe k citlivým informáciám.

• Bezpečnosť pri prevádzke informačných systémov a sietí:

Ochrana pred neoprávneným prístupom a narušením prevádzky informačných systémov a sietí.

Pravidelné hodnotenie zraniteľností a aplikácia bezpečnostných aktualizácií.

• Hodnotenie zraniteľností a bezpečnostné aktualizácie:

Pravidelné skenovanie systémov na zraniteľnosti.

Aplikácia bezpečnostných záplat a aktualizácií na ochranu pred novými hrozbami.

• Ochrana proti škodlivému kódu:

Zavedenie opatrení na detekciu a odstránenie škodlivého softvéru.

• Sieťová a komunikačná bezpečnosť:

Ochrana integrity a dôvernosti komunikácií a sietí.

Zabezpečenie, že nové a existujúce systémy spĺňajú bezpečnostné požiadavky.

• Zaznamenávanie udalostí a monitorovanie:

Sledovanie a zaznamenávanie bezpečnostných udalostí na detekciu a reakciu na incidenty.

Efektívne riadenie a riešenie incidentov kybernetickej bezpečnosti.

• Kryptografické opatrenia:

Použitie šifrovania na ochranu dát počas prenosu a ukladania.

• Kontinuita prevádzky:

Zabezpečenie kontinuity činností aj pri bezpečnostných incidentoch.

Vypracovanie a implementácia plánov obnovy po havárii a kontinuity prevádzky.

Komplexná bezpečnostná dokumentácia, ktorá pokrýva uvedené oblasti, je nevyhnutná na vytvorenie robustného rámca kybernetickej a informačnej bezpečnosti. Tento rámec zabezpečí nielen ochranu citlivých informácií a systémov, ale aj stabilitu a kontinuitu prevádzky spoločnosti BIONT v prípade bezpečnostných incidentov.

Vykonanie reauditu v 6/2026

Vykonanie ďalšieho auditu (6/2026) kybernetickej bezpečnosti certifikovaním audítorom, podľa zákona o Kybernetickej bezpečnosti č. 69/2018 Z.z. Týmto dôjde k overeniu plnenia povinností a posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona o Kybernetickej bezpečnosti a nástrojom jedného z troch merateľných ukazovateľov projektu (t.j . Počet súladov, čiastočných súladov a nesúladov z externého auditu kybernetickej bezpečnosti vykonaného auditu v 6/2024).

Architektúra riešenia projektu na úrovni biznis vrstvy

Na biznis vrstve sa riešenie zameriava na efektívne riadenie projektového portfólia, optimalizáciu procesov nákupu technických a programových prostriedkov a poskytovanie jednotných štandardov pre implementáciu a testovanie nových technologických riešení. Súčasťou tejto vrstvy je aj definícia a implementácia stratégií pre kybernetickú bezpečnosť, zahŕňajúc analytické metódy na identifikáciu a hodnotenie bezpečnostných rizík.

4.2       Aplikačná vrstva

1.Implementácia nástroja na ENDPOINT DETECTION AND RESPONSE OPTIMUM:

• Zvýšenie prehľadu o hrozbách na všetkých koncových bodoch:
  • Poskytovanie detailných informácií o stave a hrozbách na všetkých koncových bodoch.
• Skrátenie priemerného času reakcie:
  • Automatizácia reakcií na zistené hrozby, čo umožňuje rýchlejšie odstránenie incidentov.
• Optimalizácia zdrojov IT bezpečnosti:
  • Efektívnejšie využívanie zdrojov IT bezpečnosti prostredníctvom pokročilých analytických nástrojov.
• Poskytovanie organizáciám odborné znalosti v oblasti základnej kybernetickej bezpečnosti pri riešení mnohých hrozieb:
  • Integrácia odborných znalostí a best practices na riešenie bezpečnostných incidentov.

Praktické aplikácie:

• Podrobný prehľad o bezpečnostných upozorneniach o stave koncových bodov:
  • Monitorovanie a zobrazenie detailných informácií o bezpečnostných hrozbách.
• Pokročilá analýza zistených hrozieb s cieľom odhaliť ich rozsah a hlavnú príčinu:
  • Analýza vzorcov správania a identifikácia príčiny hrozieb.
• Rozpoznanie kompromitácie útoku vyhľadávaním indikátorov:
  • Vyhľadávanie indikátorov kompromitácie (IoC) pre rýchlu identifikáciu útokov.
• Automatické reakcie na hrozby pri ich objavení alebo počas ich skúmania:
  • Automatizované kroky na elimináciu hrozieb v reálnom čase.
• Patch management:
  • Monitorovanie dostupných aktualizácií pre operačný systém a aplikácie a ich automatická inštalácia.

2. Implementácia nástroja na vzdelávanie v oblasti kybernetickej bezpečnosti KASAP:

KASAP je efektívny, užívateľský online nástroj, ktorý zvyšuje informovanosť zamestnancov v oblasti kybernetickej bezpečnosti a motivuje ich ku vhodnému správaniu. Riešenie je založené na viac než dvadsaťročných skúsenostiach spoločnosti Kaspersky.  Užívateľsky prívetivé funkcie a automatizácie pomáhajú na všetkých úrovniach od vytvárania plánu až po vyhodnocovanie výsledkov. Vďaka platforma KASAP budú zamestnanci o krok vpred v kybernetickej bezpečnosti.

3. Vykonanie Automatizovaného black box penetračný testu:

Predmet overenia:

1. Webová aplikácia
2. Mailová služba

• Analýza identifikovaných zraniteľností webovej aplikácie:
  • Identifikácia a hodnotenie zraniteľností vo webovej aplikácii.
• Analýza identifikovaných zraniteľností mailovej služby:
  • Identifikácia a hodnotenie zraniteľností v mailovej službe.
• Testovanie antispamových a antivírových filtrov:
  • Overenie účinnosti antispamových a antivírových opatrení a identifikácia záznamov v globálnych reputačných databázach.

4. Implementácia XDR, IPS/IDP

• Zvýšenie prehľadu o hrozbách na všetkých koncových bodoch:

• Integrácia pokročilých detekčných a preventívnych mechanizmov na všetkých koncových bodoch.

• Skrátenie priemerného času reakcie:

• Rýchla detekcia a automatizovaná reakcia na bezpečnostné incidenty.

• Optimalizácia zdrojov IT bezpečnosti:

• Efektívnejšie využívanie IT zdrojov pomocou centralizovaného riadenia hrozieb.

5. Implementácia SIEM

• Centralizovaný zber a vyhodnocovanie logov:

• Konsolidácia a analýza logov zo všetkých systémov a aplikácií.

• Investigácia bezpečnostných udalostí:

• Hĺbková analýza bezpečnostných udalostí a incidentov.

• Analýza sieťovej komunikácie:

• Monitorovanie a vyhodnocovanie sieťovej komunikácie na identifikáciu anomálií.

• Analýza správania sa privilegovaného užívateľa:

• Sledovanie a analýza aktivít privilegovaných užívateľov.

• Detekcia a riešenie na koncovom zariadení:

• Detekcia a zmierňovanie hrozieb priamo na koncových zariadeniach.

• Monitorovanie integrity súborov (FIM):

• Sledovanie zmien v kritických súboroch a adresároch.

• Deception technology:

• Použitie technológie klamu na odhalenie a zmiernenie hrozieb.

• Automatizované aktivity:

• Automatizácia reakcií na bezpečnostné incidenty.

• Identifikácia aktív:

• Identifikácia a klasifikácia aktív v rámci IT infraštruktúry.

6. Implementácia CM

Monitoring je nástroj, ktorý pomôže zabezpečiť, aby  počítačové systémy fungovali hladko, aby nedochádzalo k výpadkom a znížiť vaše náklady. Monitorovanie IT infraštruktúry je proces získavania prehľadov o vašej organizácii. To zahŕňa zhromažďovanie údajov z rôznych bodov, ich spracovanie a vizualizáciu údajov na pochopenie. Pomáha umiestniť všetky dôležité udalosti a aktivity na jedno miesto ľahko zrozumiteľným spôsobom.

• Monitoring IT infraštruktúry:

• Získavanie prehľadov o stave IT infraštruktúry a jej komponentov.

• Vizualizácia údajov:

• Spracovanie a vizualizácia údajov pre lepšie pochopenie stavu infraštruktúry.

• Zabezpečenie hladkej prevádzky:

• Prevencia výpadkov a znižovanie nákladov prostredníctvom proaktívneho monitorovania.

7. Vykonanie zmeny NAS úložiska:

NAS sieťové úložisko je ideálne riešenie pre zabezpečenie bezpečnosti a dostupnosti dát. NAS umožňuje pripojiť viacero pevných diskov do jedného zariadenia, ktoré sa pripája do siete. Takto je možné zdieľať a spravovať dáta z rôznych zariadení a miest. NAS tiež ponúka rôzne funkcie, ako napríklad zálohovanie, šifrovanie, mediálny server, cloudové služby a ďalšie.

8. Implementácia nového Nemocničného informačného systému

Zvýšenie bezpečnosti pacientskych dát, uľahčenie práce zamestnancov a zvýšenie komfortu pacientom využívaním zdrojov prostredníctvom zdokonaleného pracovného postupu a radom funkcií automatizácie technickými vylepšeniami procesu.

Nový NIS (systém so širokým spektrom funkcií):

• Zvýšenie bezpečnosti pacientskych dát:

• Ochrana citlivých pacientskych údajov prostredníctvom pokročilých bezpečnostných opatrení.

• Uľahčenie práce zamestnancov a zvýšenie komfortu pacientov:

• Automatizácia procesov a zlepšenie pracovných postupov.

• Informačná podpora všetkých agend prevádzky PET centra:

• Plánovanie starostlivosti a objednávanie pacientov.
• Riadenie času, personálu, prístrojovej techniky a ambulantných pracovísk.

• Inteligentné dopĺňanie informácií:

• Automatizované dopĺňanie a spracovanie údajov.

• Implementácia ambulantného pracovného toku:

• Elektronická čakáreň, podpora práce lekárov a sestier, výmenné lístky a výkazy pre zdravotné poisťovne.

• Homogénny pohľad na stav pacienta:

• Komplexný prehľad o zdravotnom stave pacienta a možnostiach jeho liečby.

• Optimalizácia liečebných nákladov:

• Znižovanie nákladov prostredníctvom efektívneho riadenia liečebných procesov.

• Vyššia miera elektronizácie dát:

• Príprava na bezpapierovú prevádzku a elektronické podpisovanie.

• Dlhodobá, bezpečná archivácia zdravotnej dokumentácie:

• Archivácia v súlade so zákonom o ochrane osobných údajov.

• Nepretržitý prístup k potrebným informáciám:

• Recepty, žiadanky, elektronické laboratórne výsledky.

• Použiteľnosť na mobilných zariadeniach:

• Podpora pre tablety a smartfóny.

• Komplexná správa skladov s liečivami:

• Logistika a ekonomika prevádzky.

• Bezpečnostná kontrola personálu:

• Overenie a monitorovanie prístupu zamestnancov k citlivým údajom.

• Funkcia zasielania notifikácií:

• Automatizované upozornenia a notifikácie.

• Prístup pacientov k ich lekárskym nálezom:

• Zabezpečený prístup k obrazovej a audiovizuálnej dokumentácii z vyšetrení.

Architektúra riešenia projektu na úrovni aplikačnej vrstvy

Aplikačná vrstva zahŕňa implementáciu nástrojov na Endpoint Detection and Response (EDR), ktoré umožnia detailné monitorovanie a ochranu koncových bodov. Ďalej obsahuje implementáciu nástroja na vzdelávanie v oblasti kybernetickej bezpečnosti KASAP, ktorý zlepšuje povedomie o bezpečnostných hrozbách medzi zamestnancami a podporuje správne kybernetické správanie. Táto vrstva taktiež zahŕňa nástroje bezpečnostnej architektúry ako napr. XDR, IPS/IDP, CM, SIEM, black box penetračný test a iné. Táto vrstva zahŕňa aj vytvorenie Nového informačného systému pre PET Kliniku BIONT.

4.3       Dátová vrstva

Vzhľadom na charakter projektu (projekt sa týka dodania HW a SW) nie je uvedená kapitola relevantná. Napriek tomu, je dôležité spomenúť, že nasadenie nových technológií bude podporovať efektívnu správu dát, ich zálohovanie a obnovu, čím sa zabezpečí ich dostupnosť a integrita.

Architektúra riešenia projektu na úrovni dátovej vrstvy

Vzhľadom na charakter projektu, ktorý zahŕňa dodanie hardvéru a softvéru, infraštruktúrna vrstva je navrhnutá na podporu efektívneho spravovania dát, zálohovanie a obnovu, ako aj na zabezpečenie ich dostupnosti a integrovanie do celkovej IT infraštruktúry organizácie.

Celkový návrh infraštruktúry projektu kombinuje tieto vrstvy a zabezpečuje, že všetky časti projektu sú integrované a optimalizované s cieľom dosiahnuť maximálnu efektivitu, bezpečnosť a spoľahlivosť. Implementácia navrhovanej infraštruktúry zabezpečí, že projekt bude schopný plne podporovať podnikové ciele a požiadavky na IT.

4.4       Technologická vrstva

Investícia do nových serverov a nasadenie spravovateľných switchov umožní kľúčový krok v modernizácii a centralizácii riadenia kybernetickej bezpečnosti. Tieto kroky umožnia nasadenie pokročilých monitorovacích nástrojov, zlepšenie výkonu a zvýšenie bezpečnosti infraštruktúry.

9. Výmena HW pre BackUp server a inštalovanie druhého geografický oddeleného záložného servera:

Výmena existujúceho backup servera a implementácia nového servera na geograficky oddelenej lokalite v druhej budove, priestory novej serverovne sa novovybudujú  a ich prepojenie (požiadavky sú opísané v KP pre modul).

• Prepojenie serverovní:
  • Zabezpečenie spoľahlivého prepojenia medzi oboma serverovňami, vrátane redundancie a vysokorýchlostných spojení.
• Implementácia záložného servera:
  • Nasadenie záložného servera, ktorý bude schopný poskytovať služby aj v prípade výpadku primárneho servera.
• Replikácia dát:
  • Implementácia replikácie dát medzi primárnym a záložným serverom, aby sa zabezpečila aktuálnosť a dostupnosť kritických údajov.

Výmena switchov:

Switche budú dodané do serverovní v budove E, I. Na switche budú pripojené VoIP telefóny, WiFi zariadenia a podobné prvky ktoré si vyžadujú PoE+ nápajanie. Inštalácia bude vykonaná mimo pracovných hodín a dodávateľ sa bude musieť prispôsobiť takému režimu. Inštalovanie a konfigurovanie switchov, z dôvodu jednoduchosti a menšej pravdepodobnosti chýb vykoná jeden dodávateľ. Táto výmena bude obsahovať najmä tieto kroky v implementácii:

• Nasadenie spravovateľných switchov:
  • Inštalácia spravovateľných switchov, ktoré umožnia centralizované riadenie a monitorovanie siete.
• Pripojenie zariadení:
  • Switche budú pripojené k VoIP telefónom, WiFi zariadeniam a ďalším prvkom, ktoré vyžadujú PoE+ napájanie.
• Inštalácia mimo pracovných hodín:
  • Inštalácia a konfigurácia switchov bude vykonaná mimo pracovných hodín, aby nedošlo k prerušeniu prevádzky.
• Jednotná realizácia:
  • Dodávateľ zabezpečí inštaláciu a konfiguráciu všetkých switchov, čo minimalizuje riziko chýb a zabezpečuje konzistentnosť riešenia.

10. Vykonať bezpečnostný fyzický upgrade serverovní v budovách E, I:

Zabezpečenie fyzickej bezpečnosti priestorov serverovne a backupovej serverovne vo vedľajšej budove (bezpečnostné dvere, biometrický zámok, kamerový systém, alarmový systém, záložná klimatizácia).

Konkrétne kroky pre implementáciu tejto aktivity bude obsahovať najmä nasledovné aktivity:

• Bezpečnostné dvere:
  • Inštalácia bezpečnostných dverí s vysokou odolnosťou proti neoprávnenému vstupu.
• Biometrický zámok:
  • Nasadenie biometrických zámkov pre kontrolu prístupu na základe odtlačkov prstov alebo iných biometrických údajov.
• Kamerový systém:
  • Inštalácia kamerového systému s vysokým rozlíšením pre nepretržité monitorovanie priestorov serverovne.
• Alarmový systém:
  • Nasadenie alarmového systému na detekciu neoprávnených vstupov a iných bezpečnostných incidentov.
• Záložná klimatizácia:
  • Implementácia záložného klimatizačného systému na zabezpečenie optimálnych podmienok pre IT vybavenie aj v prípade poruchy hlavného systému.
• Požiarna ochrana:
  • Zavedenie automatických hasiacich systémov na ochranu IT infraštruktúry pred požiarmi.

4.4.1       Návrh riešenia technologickej architektúry

Technologická vrstva zahŕňa investície do nových serverov a spravovateľných switchov, ktoré umožnia centralizované riadenie a monitorovanie kybernetickej bezpečnosti. Ďalšie opatrenia zahŕňajú fyzický upgrade serverovní a implementáciu bezpečnostných opatrení, ako sú bezpečnostné dvere, biometrické zámky, kamerový a alarmový systém.

4.5       Bezpečnostná architektúra

Bezpečnostná architektúra budúceho stavu bude v súlade s relevantnými právnymi normami a technickými štandardmi, ktoré definujú požadovanú úroveň informačnej bezpečnosti , pre spracovanie údajov a zabezpečenie technického, technologického a personálneho vybavenia výpočtovej techniky. Ide najmä o:

• Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe zabezpečuje rámec pre implementáciu informačných technológií v verejnej správe a ich bezpečnostné požiadavky.
• Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti stanovuje požiadavky na ochranu kritických informačných infraštruktúr a zvyšovanie úrovne kybernetickej bezpečnosti v SR.
• Vyhláška Národného bezpečnostného úradu 362/2018 Z.z. špecifikuje obsah a štruktúru bezpečnostnej dokumentácie pre kritické informačné systémy.
• Vyhláška Úradu podpredsedu vlády SR pre investície a informatizáciu č. 78/2020 Z.z. o štandardoch pre informačné technológie verejnej správy definuje minimálne bezpečnostné štandardy pre IT systémy vo verejnej správe.
• Vyhláška Úradu podpredsedu vlády SR pre investície a informatizáciu č. 179/2020 Z.z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy určuje kategorizáciu a detailný obsah bezpečnostných opatrení.
• Zákon č. 18/2018 Z.z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov zabezpečuje ochranu osobných údajov pri ich spracúvaní.

Tieto normy a zákony budú ústrednými bodmi pre návrh a implementáciu bezpečnostnej architektúry, zabezpečujúce súlad s legislatívnymi požiadavkami a ochranu citlivých údajov.

Bezpečnostné zariadenia (HW) zabezpečia ochranu systému pred kybernetickými hrozbami a podporujú sledovanie, detekciu a reakciu na bezpečnostné incidenty. Ide hlavne o:

Firewall zariadenia

Vykonávajú kontrolu a filtrovanie sieťovej prevádzky, aby sa zabezpečila bezpečná komunikácia.

Umožňujú konfiguráciu pravidiel pre riadenie prístupu a prevenciu neoprávnených prístupov.

poskytujú možnosti zabezpečenia na rôznych vrstvách sieťovej komunikácie (napríklad sieťová vrstva, transportná vrstva).

IPS/IDS zariadenia (Intrusion Prevention System/Intrusion Detection System)

SIEM

IPS/IDS zariadenia slúžia na detekciu a prevenciu neoprávneného prístupu a kybernetických útokov na systém. Monitorujú sieťovú prevádzku a analyzujú ju, aby identifikovali možné bezpečnostné hrozby a anomálie. Detegujú útoky na základe znakov a vzorov a vykonávajú reakcie, ako je blokovanie útočníka alebo upozornenie na bezpečnostný incident. Poskytujú správu a monitorovanie bezpečnostných udalostí (Security Information and Event Management, SIEM).

Doplnenie a revízia chýbajúcej bezpečnostnej dokumentácie

Potrebné aktivity:

• Doplnenie a revízia chýbajúcej bezpečnostnej dokumentácie (požiadavky sú opísané v Katalógu požiadaviek pre modul Bezpečnostná dokumentácia)

Testovanie sieťovej infraštruktúry a nasadených zariadení

Potrebné aktivity:

• Vykonať penetračné testy (požiadavky sú opísané v KP pre modul Penetračné testy)

Vykonanie auditu KB

Potrebné aktivity: Vykonať audit KB v zmysle zákona o KB

BIONT má vypracované nasledovné smernice kybernetickej bezpečnosti:

• 04-interný dokument - Bezpečnostná stratégia pre oblasť Informačných systémov - BIONT v1.00

Cieľ: dopracovanie dokumentácie v nasledujúcich oblastiach:

1. Klasifikácia informácií:
   • Definovanie úrovní citlivosti a ochrany informácií.
2. Kategorizácia sietí a informačných systémov:
   • Určenie kritických systémov a sietí pre lepšie riadenie bezpečnosti.
3. Analýza rizík a funkčného dopadu:
   • Identifikácia a hodnotenie potenciálnych bezpečnostných rizík.
   • Posúdenie dopadu potenciálnych bezpečnostných incidentov na prevádzku.
4. Organizácia kybernetickej a informačnej bezpečnosti (KIB):
   • Vytvorenie organizačnej štruktúry pre riadenie KIB.
5. Riadenie rizík KIB:
   • Implementácia procesov na identifikáciu, hodnotenie a zmierňovanie rizík.
6. Personálna bezpečnosť:
   • Zavedenie opatrení na ochranu pred internými hrozbami.
7. Riadenie prístupov:
   • Kontrola a monitorovanie prístupu k citlivým informáciám a systémom.
8. Riadenie KIB vo vzťahoch s tretími stranami:
   • Zabezpečenie, že tretie strany dodržiavajú bezpečnostné štandardy.
9. Bezpečnosť pri prevádzke informačných systémov a sietí:
   • Ochrana pred neoprávneným prístupom a narušením prevádzky.
10. Hodnotenie zraniteľností a bezpečnostné aktualizácie:
    • Pravidelné hodnotenie zraniteľností a aplikácia bezpečnostných aktualizácií.
11. Ochrana proti škodlivému kódu:
    • Zavedenie opatrení na detekciu a odstránenie škodlivého softvéru.
12. Sieťová a komunikačná bezpečnosť:
    • Ochrana integrácie a dôvernosti komunikácií a sietí.
13. Vývoj a údržba informačných sietí a systémov:
    • Zabezpečenie, že nové a existujúce systémy spĺňajú bezpečnostné požiadavky.
14. Zaznamenávanie udalostí a monitorovanie:
    • Sledovanie a zaznamenávanie bezpečnostných udalostí na detekciu a reakciu na incidenty.
15. Riešenie kybernetických bezpečnostných incidentov:
    • Efektívne riadenie a riešenie incidentov kybernetickej bezpečnosti.
16. Kryptografické opatrenia:
    • Použitie šifrovania na ochranu dát.
17. Kontinuita prevádzky:
    • Zabezpečenie kontinuity činností aj pri bezpečnostných incidentoch.

5.    Závislosti na ostatné ISVS / projekty

Projekt nie je závislý na plánovaných resp. realizovaných projektoch.

6.    Zdrojové kódy

Vzhľadom na to, že sa jedná predovšetkým o aktivitu pre nákup technických prostriedkov, programových prostriedkov a služieb, nie je uvedená kapitola relevantná. Dané riešenie predpokladá kúpu už existujúceho proprietárneho SW a HW bez zdrojových kódov.

7.    Prevádzka a údržba

Údržba, podpora a servis niektorých nasadených technológií budú poskytované externe. Tiež niektoré nasadené technológie budú prevádzkované dodávateľom v zmysle SLA zmluvy. SLA zmluva bude podpísaná na obdobie minimálne 1 rok. Obsahom SLA zmluvy bude poskytovanie pravidelných služieb pre podporu a zabezpečenie prevádzky a údržby.

7.1       Prevádzkové požiadavky

7.1.1       Úrovne podpory používateľov

Táto kapitola je irelevantná pre predmet projektu – implementácia bezpečnostných riešení. Nejde o agendový alebo iný informačný systém verejnej správy.

7.1.2       Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu: Označenie naliehavosti incidentu:

možný dopad:

 Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

Vyžadované reakčné doby:

7.2       Požadovaná dostupnosť IS:

7.2.1       Dostupnosť (Availability)

Dostupnosť (Availability) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Orientačný zoznam dostupnosti je uvedený v nasledovnom prehľade:

• 90% dostupnosťznamená výpadok 36,5 dňa
• 95% dostupnosťznamená výpadok 18,25 dňa
• 98% dostupnosťznamená výpadok 7,30 dňa
• 99% dostupnosťznamená výpadok 3,65 dňa
• 99,5% dostupnosťznamená výpadok 1,83 dňa
• 99,8% dostupnosťznamená výpadok 17,52 hodín
• 99,9%(“tri deviatky”) dostupnosť znamená výpadok 8,76 hodín
• 99,99%(“štyri deviatky”) dostupnosť znamená výpadok 52,6 minút
• 99,999%(“päť deviatok”) dostupnosť znamená výpadok 5,26 minút
• 99,9999%(“šesť deviatok”) dostupnosť znamená výpadok 31,5 sekúnd

Hoci je obvyklé uvádzať dostupnosť v percentách, presnejšie ukazovatele sú vyjadrením doby obnovenia systému a na množstvo dát, o ktoré môžeme prísť:

• RTO (Recovery Time Objective)- doba obnovenia systému, t.j. za ako dlho po výpadku musí byť systém funkčný (pre bližšie info klik na nadpis)
• RPO (Recovery Point Objective) - aké množstvo dát môže byť stratené od vymedzeného okamihu
• Recovery Time - čas potrebný k obnove

Riešenie dostupnosti v praxi: Nedostupnosť dát je jedným z rizík, ktorý môže postihnúť každú organizáciu. Dostupnosť je jedným s kľúčových požiadaviek na každý dôležitý informačný systém a vplyv na dostupnosť má mnoho faktorov, napríklad:

• Dostupnosť servera
• Dostupnosť pripojenie k internetu
• Dostupnosť databázy
• Dostupnosť webových stránok

V prípade, že je časť softvér alebo infraštruktúra zabezpečovaná externe (napr. hosting, webhosting), prenáša sa zodpovednosť za dostupnosť týchto komponentov na dodávateľa. Potom je potrebné mať vhodným spôsobom ošetrenú úroveň dostupnosti, ktorú musí dodávateľ dodržať. Zvyčajne je dostupnosť súčasťou dohody o úrovni poskytovaných služieb (SLA).

7.2.2       RTO (Recovery Time Objective)

Recovery Time Objective (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celej prevádzky nedostupného systému (softvér). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

Využitie RTO v praxi: Ukazovateľ RTO sa z pohľadu zákazníka využíva pre vyjadrenie doby pre obnovu dát. (napr. formou SLA). Na druhú stranu poskytovatelia dnes môžu voliť rôzne technológie zálohovanie, respektíve replikovanie dát a dobu obnovy dát znížiť až k nulovému výpadku. Existujúce technológie sa delia zhruba nasledovne:

• Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni
• Asynchrónne replikácie dát - výpadok a obnova v poriadku sekúnd až minút
• Synchrónny replikácie dát - nulový výpadok

7.2.3       RPO (Recovery Point Objective)

Recovery Point Objective (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

Využitie RPO v praxi: Ukazovateľ RPO sa z pohľadu zákazníka využíva pre vyjadrenie množstva obnoviteľných dát. (napr. formou SLA). Na druhú stranu poskytovatelia dnes môžu voliť rôzne technológie zálohovanie, respektíve replikovanie dát a bod obnovy dát znížiť až k nulovej strate. Existujúce technológie sa delia zhruba nasledovne:

• Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni
• Asynchrónne replikácie dát - výpadok a obnova v poriadku sekúnd až minút, strata sa blíži k nule
• Synchrónny replikácie dát - nulová strata

Požiadavky na zálohovanie:

Zálohovanie produkčného prostredia prebehne vždy po každej implementovanej a akceptovanej zmene IS prostredníctvom zazálohovania celého virtuálneho servera v ktorom nastala zmena. Záloha musí byť geograficky umiestnená mimo miesta prevádzky serverov. Zálohovanie dát uložených na serveroch a najmä v DBMS (SQL databáze) musia byť zálohované automaticky na základe pravidiel nastavených administrátorom minimálne 1 x denne formou prírastkových záloh, min. 2x týždenne plná záloha údajov. Minimálne 1 x týždenne musí byť vykonaná záloha v podobe úplnej zálohy virtualizovaného prostredia.

Požadované:

• Dostupnosť 99%
• RPO - 24 hodín
• RTO – 24 hodín

IS Podpora asistovaneho života:

Požadované:

• Dostupnosť 99%
• RPO - 24 hodín
• RTO – 24 hodín

8.    Požiadavky na personál

• Manažér IT bude počas implementácie zastrešovať technický dohľad nad jednotlivými časťami aktivít.
• Projektový manažér bude dohliadať bude dohliadať na plynulý chod projektu dodržiavaním míľnikov v harmonograme a činností. Administratívne plnenie projektu.
• Manažér kybernetickej a informačnej bezpečnosti – externá pozícia prostredníctvom zmluvy o poskytovaní služieb bude zabezpečovať profesionálny riadiaci prvok kybernetickej bezpečnosti prevádzkovateľa základnej služby, ktorý pre efektívne riadenie potrebuje poznať vnútorné prostredie organizácie a aktíva prevádzkovateľa základnej služby.

1. a) predkladá návrhy a oznamuje informácie v oblasti informačnej a kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
2. b) riadi aplikáciu bezpečnostných opatrení v rámci systémov manažérstva,
3. c) je nezávislý od riadenia prevádzky a vývoja služieb informačných technológií,
4. d) spĺňa znalostné štandardy pre výkon roly manažéra kybernetickej bezpečnosti podľa osobitného predpisu,
5. e) riadi kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov, navrhuje opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitoruje plnenie a efektivitu týchto opatrení a vedie evidenciu bezpečnostných incidentov,
6. f) analyzuje, definovať a monitorovať bezpečnostné hrozby a riziká.

• Finančný manažér je zamestnanec Útvaru ekonomiky a zabezpečuje dohľad nad prípravou a vyhodnotením verejného obstarávania).
• Externý dodávateľ IT služieb.

9.    Implementácia a preberanie výstupov projektu

Projekt bude implementovaný v zmysle Vyhlášky č. 401/2023 Z. z. o riadení projektov, realizovaný metódou Waterfall a samotná realizácia, aj keď je rozdelená na viaceré inkrementy, nevyžaduje špeciálne dokumentovanie výstupov.

Požadované budú iba technické výstupy pre jednotlivé ciele v zmysle dokumentácie:

Implementácia nového Nemocničného informačného systému

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Implementácia nástroja na ENDPOINT DETECTION AND RESPONSE OPTIMUM:

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Implementácia nástroja na vzdelávanie v oblasti kybernetickej bezpečnosti KASAP:

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Vykonanie Automatizovaného black box penetračný testu:

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Výmena HW pre BackUp server a inštalovanie druhého geografický oddeleného záložného servera:

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Vypracovanie chýbajúcej bezpečnostnej dokumentácie:

• Internými a externými pracovnými pozíciami.

Vykonať výmenu switchov:

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Vykonať bezpečnostný fyzický upgrade serverovní v budovách E, I:

• Dodávateľ bezpečnostných riešení.
• Interné a externé pracovné pozície.

Vykonanie zmeny NAS úložiska:

• Dodávateľ hardware.

Implementácia SIEM

• Dodávateľ vykoná inštaláciu SIEM nástroja ako aj potrebných podporných systémov, agentov.

Implementácia CM

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Implementácia XDR

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Implementácia IPS/IDP

• Dodávateľ vypracuje dokumentáciu k konfigurácii a prístupom.

Vykonanie reauditu v 6/2026

• Certifikovaný audítor

10. Prílohy

Zoznam rizík a závislostí (Excel)

Katalóg požiadaviek (Excel)