projekt_2785_Projektovy_zamer_detailny

Version 2.1 by Biont_a_s_ on 2024/07/29 15:37

 

IDEOVÝ ZÁMER


Vzor manažérsky výstup I-01  

 podľa vyhlášky MIRRI č. 401/2023 Z. z.   




Pre rýchlejšiu prípravu projektu a vyššiu spokojnosť používateľov.




 

Identifikácia projektu

Názov:

Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – PET klinika BIONT

Realizátor:

BIONT, a.s.

Kontaktná osoba:

Ing. Mgr. Liliana Húsková (huskova@biont.sk)

Dátum:

28.6.2024

Predpokladaný začiatok:

Q3 2024

Dátum schválenia projektovou komisiou:

28.6.2024




  1. POPIS PROJEKTU

1.1.      Stručný popis východiskovej situácie

 

Hlavným cieľom projektu je rozšírenie spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v spoločnosti BIONT. Spoločnosť BIONT a.s. sa nachádza v situácii, kde jej súčasná IT infraštruktúra vykazuje nedostatky z hľadiska bezpečnosti, spoľahlivosti a efektívnosti. Hlavná budova spoločnosti je vybavená zastaranými technológiami, čo predstavuje výzvu pre integritu dát a prevádzkovú spoľahlivosť. Nasadenie nových technologických riešení a zlepšenie bezpečnostných opatrení je nevyhnutné na zvýšenie efektívnosti pracovných procesov, ochranu citlivých informácií a prevenciu pred zlyhaním zastaraných zariadení alebo aj stratou dát.


Ťažiskovým zameraním projektu bude vypracovanie požadovanej bezpečnostnej dokumentácie v oblasti informačnej a kybernetickej bezpečnosti a implementácia bezpečnostných opatrení potrebných na efektívne a požadované riadenie informačnej a kybernetickej bezpečnosti v BIONTe.


Jedná sa najmä o zosúladenie zdravotníckeho zariadenia s požiadavkami zákona o kybernetickej bezpečnosti č. 69/2018 Z.z. a Vyhláškou NBÚ č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

Projekt bude realizovaný po dobu 32 mesiacov prostredníctvom jednej hlavnej aktivity „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“. Zvolený projekt kybernetickej bezpečnosti v spoločnosti BIONT je kľúčový pre zabezpečenie dlhodobej udržateľnosti, zvýšenie dôveryhodnosti a ochrany citlivých údajov. Jeho úspešná realizácia bude mať výrazný vplyv na celkovú bezpečnostnú kultúru organizácie a jej schopnosť efektívne reagovať na dynamické bezpečnostné hrozby.

1.2.      Situácia po realizácii projektu

 

Realizáciou projektu dôjde k zásadnému obnoveniu IKT prostriedkov serverovej a sieťovej infraštruktúry, čo významne prispeje k zjednodušeniu manažmentu kybernetickej bezpečnosti. Tento krok okrem vytvorenia lepších pracovných podmienok pre zamestnancov BIONT aj zabezpečí zvýšenú spoľahlivosť služieb poskytovaných občanom prostredníctvom spoľahlivej a zabezpečenej IT infraštruktúry. Po realizácii projektu bude mať naše zdravotnícke zariadenie nasadený nový NIS, ktorý prinesie jednoduchší a spoľahlivejší manažment pacientskych dát a zefektívnenie prác interných a externých zdravotníckych pracovníkov.

Očakávané výsledky:

  • Kompletná bezpečnostná dokumentácia zosúladená s aktuálnymi právnymi predpismi.
  • Implementácia moderných bezpečnostných opatrení na výrazné zníženie rizika kybernetických útokov, zvýšená úroveň ochrany.
  • Vyššia úroveň informovanosti zamestnancov a ich pripravenosť na riešenie bezpečnostných incidentov.
  • Zlepšené riadenie prístupových práv na ochranu citlivých informácií.
  • Efektívne riadenie bezpečnostných incidentov s rýchlym a efektívnym riešením v prípade incidentov.
  • Splnená zákonná podmienka realizácie auditov KB.
  • Vytvorenie nového spoľahlivejšieho, bezpečnejšieho a užívateľsky jednoduchšieho NIS.


Dlhodobé prínosy:

  • Minimalizácia rizík kybernetických útokov a zneužitia informácií.
  • Posilnenie dôvery: Zvýšenie dôvery zákazníkov, partnerov a regulačných orgánov.
  • Súlad s legislatívou: Splnenie všetkých legislatívnych požiadaviek a noriem.


Udržateľnosť projektu: Projekt zabezpečí dlhodobú udržateľnosť prostredníctvom pravidelnej revízie a aktualizácie riadiacej dokumentácie, neustáleho zlepšovania bezpečnostných opatrení, zvýšenia odolnosti kritickej infraštruktúry, podpory včasnej detekcie a rýchlej reakcie na bezpečnostné incidenty, a adaptácie najmodernejších technológií a inovácií. Udržateľnosť projektu plánujeme zabezpečiť v týchto úrovniach:

  1. Revízia a aktualizácia riadiacej dokumentácie: Pravidelné revízie dokumentov súvisiacich s kybernetickou bezpečnosťou.
  2. Zavádzanie bezpečnostných opatrení: Optimalizácia procesov, modernizácia infraštruktúry a zvyšovanie kvalifikácie zamestnancov.
  3. Posilnenie kritickej infraštruktúry: Zvýšenie odolnosti prostredníctvom pokročilých technológií.
  4. Podpora včasnej detekcie a reakcie na incidenty: Zlepšenie schopností v oblasti detekcie a riešenia incidentov.
  5. Adaptácia najmodernejších technológií: Priebežné nasadzovanie nových technológií a postupov.
  6. Podpora inovatívnych produktov a služieb: Zavádzanie inovatívnych riešení na neustále zlepšovanie bezpečnostných štandardov.

1.3.      úprava procesov

 

Optimalizácia interných procesov bude kľúčová pre úspešnú implementáciu nových technologických riešení. Rozsah úprav procesov bude vyplývať z postupnej dokumentácie zmien v interných smerniciach. Úpravy procesov budú nevyhnutné na zabezpečenie hladkého nasadenia a prevádzky nových systémov, ako aj na zabezpečenie súladu so zákonnými požiadavkami. Komunikácia a spolupráca medzi oddeleniami bude zintenzívnená s cieľom zabezpečiť efektívnu integráciu nových technologických riešení do pracovných procesov.


Najväčší rozsah úpravy procesov bude prebiehať v procese implementácie nového Nemocničného informačného systému na bezpečnú správu dát. Zmeny nastanú najmä v objednávaní pacientov, v inteligentnom dopĺňaní informácií, v zmene ambulantného pracovného toku vrátane elektronickej čakárne, v podpore práce lekárov a sestier, výmenných lístkov a výkazov pre zdravotné poisťovne, vo zvýšení miery elektronizácie dát s cieľom prípravy na bezpapierovú prevádzku, v elektronickom podpisovaní, v dlhodobej a bezpečnej archivácii zdravotnej dokumentácie, vo funkcii zasielania notifikácií, v zdieľaní dokumentácie z vyšetrenia lekárom, ktorí nemajú prístup k týmto portálom, v prístupe pacientov a lekárov k lekárskym nálezom a obrazovej dokumentácii z vyšetrení a v mnohých iných zlepšených funkcionalitách oproti súčasnému nemocničnému informačnému systému.


Do prevádzky bude nasadené kontinuálne vzdelávanie zamestnancov v kybernetickej bezpečnosti, avšak používanie tejto platformy nebude vyžadovať úpravu procesov. Zaškolenie IT personálu a manažéra KB bude potrebné pre Endpoint Detection and Response Optimum, vzdelávaciu platformu pre zamestnancov a SIEM nástroj.


Používatelia riešenia

Zapojenie používateľov do celého procesu projektu bude kľúčové pre úspešné prijatie nových technologických riešení. Zohľadnenie ich potrieb a spätná väzba počas celej realizácie projektu bude zabezpečená prostredníctvom pravidelných porád, stretnutí, workshopov, konzultácií, dotazníkov a testovacích fáz. Zabezpečenie podpory a systematické školenia prostredníctvom kontinuálneho vzdelávania používateľov bude prioritou pre úspešnú implementáciu nových systémov.


Postupnou implementáciou bezpečnostných riešení budú v BIONTe postupne riešené kľúčové problémy spoločnosti spočívajúce najmä v posilnení bezpečnosti IS vyžadovanej v zákone č. 69 Z.z. (medzi plánované riešenia definitívne patrí upgrade existujúceho AV, SIEM nástroj a zavedenie vzdelávacej platformy pre zamestnancov, nakoľko doteraz vo firme neprebiehalo žiadne vzdelávanie).


Používatelia sa momentálne najviac dotazujú na výmenu nemocničného informačného systému za novší, nakoľko súčasný nemocničný informačný systém vykazuje mnoho chýbajúcich funkcionalít a tým spôsobuje nutnosť vykonávania veľkého množstva manuálnych procesov, ktoré prinášajú väčšie riziko straty pacientskych dát.


  1. priorizácia


Nevyhnutné procesy

Medzi nevyhnutné procesy patrí upgrade AV, implementovanie riešení SIEM, CM, XDR, IPS/IDP, Endpoint detection a response optimum a vykonania penetračných testov. Medzi nevyhnutné procesy patrí aj back up serverovne, výmena diskových NAS polí a fyzické zabezpečenie serverovní. Medzi nevyhnutné procesy taktiež sa patrí aj implementácia nového NIS, platformy na kontinuálne vzdelávanie zamestnancov a v neposlednej rade opakovanie auditu v dokončovacej fáze.

Viac nevyhnutných procesov bude vyplývať z postupného vypracovania bezpečnostnej dokumentácie.

Legislatíva

Projekt sa v čase jeho prípravy riadi príslušnou legislatívou:

·          Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

·          Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov.

·          Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

·          Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

·          Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov.

Ostatné požiadavky

Okrem nevyhnutných procesov a legislatívnych požiadaviek budeme tiež zvažovať ďalšie požiadavky a ich prínos pre organizáciu. Tieto požiadavky môžu zahŕňať ďalšie vylepšenia a rozšírenia funkcií a služieb, ktoré môžu prispieť k zlepšeniu celkovej efektívnosti a konkurencieschopnosti BIONTu. Po úspešnom nasadení nevyhnutných procesov a splnení legislatívnych požiadaviek budeme ďalej priorizovať ďalšie kroky a rozšírenia projektu na základe získaných skúseností a spätnej väzby od používateľov. Týmto spôsobom budeme postupne rozširovať rozsah projektu a zabezpečíme, aby sa investície efektívne využili a dosiahli sa stanovené ciele a očakávania.


  1. uvažované technologické alternatívy projektu

Krabicové riešenie

Bližšie zhodnotenie dostupných komerčných produktov prebehne v inicializačnej fáze.

Budeme zohľadňovať nielen technické parametre, ale aj náklady na licencie, údržbu a podporu. Cena softvérových položiek vychádzala najmä z cenových ponúk na mieru šitých od dodávateľa služby, ktorú máme v súčasnosti implementovanú vo firme. Cena hardvérových položiek sa odvíjala od prieskumov trhu komerčných firiem (priemerná cena z troch ponúk firiem).

V prípade dodania nového NIS sú rokovania s dodávateľom zatiaľ iba v úvodnej fáze a ešte sa nepristúpilo ku kvantifikovaniu a definovaniu rozsahu prác, funkcionalít, licencií a pod. a zodpovedajúcej cene.

Úprava existujúceho IS

Možnosti úprav existujúcich informačných systémov alebo ich integrácie s novými komponentami posúdime v inicializačnej fáze.


  1. prínosy

Prínosy projektu:

  • Zvýšenie celkovej bezpečnosti informačných systémov a citlivých dát spoločnosti BIONT (zavedenie komplexných bezpečnostných opatrení na minimalizáciu rizík a zvýšenie úrovne ochrany).
  • Zvýšenie súladu s legislatívnymi požiadavkami a štandardmi (implementácia systémových riadiacich politík a postupov na efektívne riadenie bezpečnosti, zavádzanie štandardizovaných a efektívnych postupov na riadenie kybernetickej bezpečnosti, ktoré zabezpečia konzistentnú ochranu).
  • Zvýšenie spoľahlivosti a výkonnosti IT systémov.
  • Posilnenie schopností spoločnosti BIONT na rýchlu a efektívnu reakciu na bezpečnostné incidenty a minimalizáciu ich dopadu na biznis (zlepšenie schopnosti rýchlo reagovať a obnoviť prevádzku po bezpečnostných incidentoch).
  • Zlepšenie reputácie spoločnosti a zvýšenie dôvery zákazníkov a ďalších zainteresovaných strán v jej schopnosť ochrany dát a informácií (posilnenie dôvery zákazníkov, partnerov a regulačných orgánov vzhľadom na dodržiavanie legislatívnych noriem).

 

Detailné prínosy pre konkrétne aktivity:

 

Nový NIS (realizačná fáza):

  • Ušetrenie času zdravotníckych pracovníkov (interných, externých) elimináciou veľkého množstva manuálnych procesov.
  • Štruktúrované riadenie času, personálu, prístrojovej techniky a ambulantných pracovísk.
  • Homogénny pohľad na stav pacienta a na možnosti jeho liečby v rôznych rovinách vrátane manažérskeho pohľadu pre vedúcich pracovníkov s ohľadom na celoústavnú racionálnu liekovú politiku zameranú na sústavné zvyšovanie bezpečnosti pacientov a ekonomiky prevádzky.
  • Eliminácia rizika straty pacientskych dát (eliminácia papierovej prevádzky).
  • Lepšia bezpečnostná kontrola personálu a mnoho ďalších prínosov.

 

Back up serverovne a výmena NAS diskových polí (realizačná fáza):

  • Fyzické zabezpečenie serverovní a back up serverovňa k existujúcej serverovni zabezpečí ďalší stupeň ochrany proti výpadkom systému, ochranu dát a kontinuitu prevádzky pred nepredvídateľnými udalosťami.

 

Endpoint detection a response optimum:

  • Minimalizácia finančných rizík, poškodenia dobrého mena a ďalších rizík spojených s hrozbami, ktoré obchádzajú preventívnu ochranu.
  • Optimalizácia pracovného zaťaženia pracovníkov a využívania zdrojov prostredníctvom zdokonaleného pracovného postupu a radom funkcií automatizácie.
  • Zvýšenie efektívnosti pomocou cenovo dostupného nástroja s jednoduchým ovládaním, ktorý nevyžaduje rozsiahle odborné znalosti.

 

Platforma na kontinuálne vzdelávanie pre zamestnancov:

  • Prínos tohto online nástroja spočíva vo zvýšení informovanosti zamestnancov v oblasti kybernetickej bezpečnosti, motivácii zamestnancov ku vhodnému správaniu, ktoré vedie k prevencii voči kybernetickým incidentom.


Automatizovaný black box penetračný test:

  • Overená webová aplikácie a mailová služba (scen, analýza a testovanie zraniteľností, testovanie antispam a antivírových filtrov, identifikácia záznamov v globálnych reputačných databázach).

 

  1. ROZPOČET

Rozpočet je podrobnejšie vypracovaný v detailnom Projektovom zámere. Plánovaný rozpočet projektu "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – PET klinika BIONT" je 299 313 EUR. Rozpočet je rozdelený na nasledujúce položky:


< 1 mil. eur

 

521- MZDOVÉ NÁKLADY v sume spolu 107´200 EUR

 

Projektový manažér

800 EUR (cena práce na mesiac, 40 hodínx20 EUR/hod) x 32 (počet mesiacov, obdobie od 05/2024) =  25´600 EUR


Finančný manažér

800 EUR (cena práce na mesiac, 40 hodínx20 EUR/hod) ) x 32 (počet mesiacov, od 05/2024) = 25´600 EUR.

 

IT manažér

2000 EUR (cena práce na mesiac, 80 hodín x25 EUR/hod) x 32 (počet mesiacov, od 09/2024) = 56´000 EUR.

 

013 SOFVÉR v sume spolu 58´412 EUR

• Produkt EDR Optimum
• Vzdelávacia platforma KASAP
• Penetračný test
• Nemocničný informačný systém na bezpečnú správu dát
• Modul na zdieľanie dokumentácie z PET vyšetrenia pacienta lekárom, ktorí nedisponujú najnovšou technológiou a nevedia prijať dokumenty z PET vyšetrenia.


22 SAMOSTATNE HNUTEĽNÉ VECI A SÚBOR HNUTEĽNÝCH VECÍ v sume spolu 50´000 EUR

• Zabezpečenie fyzickej bezpečnosti priestorov serverovne a backupovej serverovne vo vedľajšej budove (bezpečnostné dvere, biometrický zámok, kamerový systém, alarmový systém, záložná klimatizácia).

• 2 kusy NAS diskových polí (diskové pole pre NAS, záložné diskové pole NAS pre BIONT).

 

518 OSTATNÉ SLUŽBY v sume spolu 64´120 EUR


Manažér kybernetickej bezpečnosti

Verejné obstarávanie pozície MKB

1´760 EUR (cena práce na mesiac, 80 hodínx22 EUR/hod) x 28 (počet mesiacov, od 09/2024) = 49´280 EUR.

 

• refundácia už vykonaného auditu KB, ktorá je vyžadovaná podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti každé dva roky.

• reaudit v 6/2026

• licencia, publicita, notár, právnik a paušálne náhrady na licencie, vybavenie serverovní a pod.

NEPRIAME NÁKLADY v sume spolu 19´581 EUR

  1. Pomoc a usmernenie

Tvorba dokumentácie

Legislatíva

Proces hodnotenia

Financovanie

V závislosti od zdroja financovania (0EK – štátny rozpočet, PSK – Program Slovensko, POO – Plán obnovy a odolnosti, Iné zdroje...)

Praktické informácie k realizácii projektu

Iné

Ďalšie otázky smerujte na:  allopk@mirri.gov.sk a investicie.uhp@mfsr.sk. Ak nebudeme vedieť poradiť my, nasmerujeme Vás na ďalšie kontaktné osoby.