projekt_2785_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 10:06

PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Povinná osoba

BIONT, a.s.

Názov projektu

Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – PET klinika BIONT

Zodpovedná osoba za projekt

Ing. Mgr. Liliana Húsková (Projektový manažér, Manažér kybernetickej bezpečnosti)

Realizátor projektu

BIONT, a.s.

Vlastník projektu

BIONT, a.s.

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Ing. Mgr. Liliana Húsková

BIONT, a.s.

Projektový manažér, Manažér kybernetickej bezpečnosti

26.7.2024

 

1.    História DOKUMENTU

Verzia

Dátum

Zmeny

Meno

0.1

01.07.2024

Pracovný návrh

 Ing. Mgr. Liliana Húsková

1.0

26.07.2024

Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.

 Ing. Mgr. Liliana Húsková

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

 2.1       Použité skratky a pojmy

SKRATKA/POJEM

POPIS

Projekt

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – PET klinika BIONT“

Zákon o KB

Zákon 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

Audit KB

Audit kybernetickej bezpečnosti podľa vyhlášky č. 493/2022 Z. z. Národného bezpečnostného úradu

ReAudit KB

Opakovaný Audit kybernetickej bezpečnosti podľa vyhlášky č. 493/2022 Z. z. Národného bezpečnostného úradu po 2 rokoch

SLA

Service Level Agreement — dohoda/zmluva o parametroch poskytovania služby

KB

Kybernetická bezpečnosť

MD

Man-day, človeko-deň

IS

Informačný systém

IT

Informačné technológie

IKT

Informačno-komunikačné technológie

OS

Operačný systém

SIEM

Nástroj pre zbieranie a vyhodnocovanie údajov a logov, Security Information and Event Management

NGFW

Next-generation Firewall

NGAV

Next-generation Antivirus

BackUp

Zálohovanie dát- data backup

HW

Hardvér

SW

Softvér

OVM

orgán verejnej moci 

3.    DEFINOVANIE PROJEKTU

3.1       Manažérske zhrnutie

Spoločnosť BIONT a.s. sa nachádza v situácii, kde jej súčasná IT infraštruktúra vykazuje nedostatky z hľadiska bezpečnosti, spoľahlivosti a efektívnosti. Hlavná budova spoločnosti je vybavená zastaranými technológiami, čo predstavuje výzvu pre integritu dát a prevádzkovú spoľahlivosť. Nasadenie nových technologických riešení a zlepšenie bezpečnostných opatrení je nevyhnutné na zvýšenie efektívnosti pracovných procesov, ochranu citlivých informácií a prevenciu pred zlyhaním zastaraných zariadení alebo aj stratou dát.

 

Účel projektu: Cieľom projektu je systematické zvýšenie úrovne informačnej a kybernetickej bezpečnosti v spoločnosti BIONT. Projekt sa zameriava na aktívne monitorovanie a vyhodnocovanie aktuálnych bezpečnostných rizík a zavádzanie opatrení na ich minimalizáciu, čím sa zníži pravdepodobnosť bezpečnostných incidentov. Ďalším cieľom je splnenie legislatívnych požiadaviek podľa zákonov č. 69/2018 Z.z, č. 95/2019 Z.z a Vyhlášky NBÚ č. 362/2018 Z.z týkajúcich sa kybernetickej a informačnej bezpečnosti.

 

Očakávané výsledky:

  • Kompletná bezpečnostná dokumentácia zosúladená s aktuálnymi právnymi predpismi.
  • Implementácia moderných bezpečnostných opatrení na výrazné zníženie rizika kybernetických útokov.
  • Vyššia úroveň informovanosti zamestnancov a ich pripravenosť na riešenie bezpečnostných incidentov.
  • Zlepšené riadenie prístupových práv na ochranu citlivých informácií.
  • Efektívne riadenie bezpečnostných incidentov s rýchlym a efektívnym riešením v prípade incidentov.

Realizačné fázy projektu:

  1. Prípravná a iniciačná fáza (5/2024 - 12/2024):
  • Vytvorenie projektového tímu a definovanie cieľov.
  • Identifikácia kľúčových zainteresovaných strán.
  • Audit KB.
  1. Realizačná fáza (1/2025 - 12/2026):
  • Koordinácia činností a zabezpečenie zdrojov.
  • Podrobná analýza aktuálneho stavu kybernetickej bezpečnosti.
  • Návrh bezpečnostných opatrení a dokumentácie.
  • Vypracovanie plánu implementácie.
  • Nákup technických a programových prostriedkov.
  • Implementácia a integrácia nových technológií.
  • Školenie zamestnancov.
  1. Analýza a dizajn (1/2025 - 12/2025)
  2. Nákup technických prostriedkov, programových prostriedkov a služieb (1/2025 - 12/2025)
  3. Implementácia (6/2025 - 12/2025)

BIONT má vytvorenú a schválenú Bezpečnostnú stratégiu pre oblasť Informačných systémov. Následné bezpečnostné politiky kybernetickej bezpečnosti, inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov, analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík plánujeme realizovať vrámci trvania projektu v realizačnej fáze.

  1. Dokončovacia fáza a testovanie (1/2026 - 12/2026):
  • Kompletné testovanie zavedených opatrení.
  • Overenie ich funkčnosti a efektívnosti.
  • Finálne úpravy a optimalizácia systémov, príprava záverečnej dokumentácie.
  • ReAudit KB.

 Dlhodobé prínosy

  • Zvýšená úroveň ochrany: Minimalizácia rizík kybernetických útokov a zneužitia informácií.
  • Efektívnejšie riadenie bezpečnosti: Systematické a efektívne riadenie kybernetickej bezpečnosti.
  • Zlepšená pripravenosť na incidenty: Zvýšenie schopnosti reagovať na kybernetické bezpečnostné incidenty.
  • Posilnenie dôvery: Zvýšenie dôvery zákazníkov, partnerov a regulačných orgánov.
  • Súlad s legislatívou: Splnenie všetkých legislatívnych požiadaviek a noriem.

Projektové riadenie

Projekt bude riadený systematicky s cieľom zabezpečiť efektívnu komunikáciu, plynulosť projektových aktivít, organizáciu stretnutí a monitorovanie pokroku. Projektový manažér bude koordinovať jednotlivé aktivity spolu s externými odborníkmi, pričom kľúčová bude flexibilita, efektívna komunikácia a riadenie rizík.

Udržateľnosť projektu: Projekt zabezpečí dlhodobú udržateľnosť prostredníctvom pravidelnej revízie a aktualizácie riadiacej dokumentácie, neustáleho zlepšovania bezpečnostných opatrení, zvýšenia odolnosti kritickej infraštruktúry, podpory včasnej detekcie a rýchlej reakcie na bezpečnostné incidenty, a adaptácie najmodernejších technológií a inovácií. Udržateľnosť projektu plánujeme zabezpečiť v týchto úrovniach:

  1. Revízia a aktualizácia riadiacej dokumentácie: Pravidelné revízie dokumentov súvisiacich s kybernetickou bezpečnosťou.
  2. Zavádzanie bezpečnostných opatrení: Optimalizácia procesov, modernizácia infraštruktúry a zvyšovanie kvalifikácie zamestnancov.
  3. Posilnenie kritickej infraštruktúry: Zvýšenie odolnosti prostredníctvom pokročilých technológií.
  4. Podpora včasnej detekcie a reakcie na incidenty: Zlepšenie schopností v oblasti detekcie a riešenia incidentov.
  5. Adaptácia najmodernejších technológií: Priebežné nasadzovanie nových technológií a postupov.
  6. Podpora inovatívnych produktov a služieb: Zavádzanie inovatívnych riešení na neustále zlepšovanie bezpečnostných štandardov.

Dodatočné informácie: Realizáciou projektu dôjde k zásadnému obnoveniu IKT prostriedkov serverovej a sieťovej infraštruktúry, čo významne prispeje k zjednodušeniu manažmentu kybernetickej bezpečnosti. Tento krok okrem vytvorenia lepších pracovných podmienok pre zamestnancov BIONT aj zabezpečí zvýšenú spoľahlivosť služieb poskytovaných občanom prostredníctvom spoľahlivej a zabezpečenej IT infraštruktúry.

3.2       Motivácia a rozsah projektu

Motivácia projektu

Projekt kybernetickej bezpečnosti v spoločnosti BIONT je motivovaný viacerými faktormi, ktoré sú kľúčové pre jeho úspešnú realizáciu a prínos organizácii:

  1. Zvýšenie bezpečnosti a dôveryhodnosti:
    • Cieľom projektu je posilniť kybernetickú a informačnú bezpečnosť spoločnosti BIONT. Implementácia komplexných bezpečnostných opatrení minimalizuje riziká kybernetických útokov, čo zvyšuje ochranu citlivých údajov a dôveru zákazníkov, partnerov a regulačných orgánov.
  2. Súlad s legislatívnymi požiadavkami:
    • Projekt zabezpečí, že spoločnosť BIONT bude plne súhlasiť so všetkými platnými legislatívnymi a regulačnými požiadavkami v oblasti kybernetickej a informačnej bezpečnosti, vrátane ochrany osobných údajov.
  3. Prevencia pred hrozbami a rizikami:
    • Cieľom projektu je systematicky predchádzať kybernetickým hrozbám a rizikám prostredníctvom monitorovania, analýzy a implementácie preventívnych opatrení. Tento prístup minimalizuje pravdepodobnosť bezpečnostných incidentov a zvyšuje schopnosť rýchlej a efektívnej reakcie na hrozby.
  4. Zlepšenie riadenia a efektívnosť:
    • Implementácia riadiacich politík a postupov v oblasti kybernetickej bezpečnosti zlepšuje riadenie IT zdrojov, optimalizuje procesy a zvyšuje celkovú bezpečnosť a stabilitu IT prostredia.
  5. Zlepšenie povedomia a pripravenosti zamestnancov:
    • Projekt zahŕňa školenia a osvetu pre zamestnancov, čím zvyšuje ich povedomie o kybernetickej bezpečnosti a pripravuje ich na efektívnu reakciu v prípade bezpečnostných incidentov.
  6. Dlhodobá udržateľnosť a konkurencieschopnosť:
    • Implementácia projektu prispieva k dlhodobej udržateľnosti bezpečnosti informačných systémov a sietí v spoločnosti, čo posilňuje jej konkurenčnú výhodu a odolnosť voči kybernetickým hrozbám.

Rozsah projektu

Projekt kybernetickej bezpečnosti v spoločnosti BIONT sa zameriava na nasledujúce hlavné oblasti:

  • Zabezpečenie ochrany citlivých informácií: Implementácia komplexných bezpečnostných opatrení, riadenie prístupových práv a klasifikácia informácií podľa ich citlivosti.
  • Splnenie legislatívnych požiadaviek: Zabezpečenie, že všetky bezpečnostné opatrenia a procesy sú v súlade s platnými právnymi predpismi, ako sú zákony a vyhlášky týkajúce sa kybernetickej bezpečnosti.
  • Implementácia riadiacich politík a postupov: Definovanie a implementácia politík založených na analýze rizík, ktoré minimalizujú potenciálne bezpečnostné hrozby.
  • Zlepšenie povedomia a pripravenosti zamestnancov: Školenia a osvetové aktivity na zvýšenie povedomia a schopností zamestnancov v oblasti kybernetickej bezpečnosti.
  • Implementácia technologických riešení: Nasadenie nových technologických opatrení na zlepšenie ochrany informačných systémov a sietí.
  • Riadenie bezpečnostných incidentov: Vytvorenie štruktúrovaného rámca pre detekciu, hodnotenie a riešenie kybernetických bezpečnostných incidentov.
  • Zabezpečenie kontinuity prevádzky: Implementácia opatrení na zabezpečenie nepretržitej prevádzky a rýchlu obnovu systémov v prípade bezpečnostných incidentov.

Zvolený projekt kybernetickej bezpečnosti v spoločnosti BIONT je kľúčový pre zabezpečenie dlhodobej udržateľnosti, zvýšenie dôveryhodnosti a ochrany citlivých údajov. Jeho úspešná realizácia bude mať výrazný vplyv na celkovú bezpečnostnú kultúru organizácie a jej schopnosť efektívne reagovať na dynamické bezpečnostné hrozby.

Návrh realizácie aktivít projektu

Podaktivita 1. Prípravná fáza a Iniciačná fáza (Od 5/2024 do 12/2024)

Podaktivita 1.1: Vytvorenie projektového tímu

Podaktivita 1.2: Definovanie cieľov a harmonogramu

Podaktivita 1.3: Identifikácia kľúčových zainteresovaných strán

Podaktivita 1.4: Audit u prevádzkovateľa PZS (6/2024)

Podaktivita 2. Realizačná fáza (Od 1/2025 do 12/2026)

Podaktivita 2.1 Koordinácia všetkých činností súvisiacich s projektom

Podaktivita 2.2 Zabezpečenie potrebných zdrojov a komunikácia s dodávateľmi

Podaktivita 2.3 Riadenie rizík


    • Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu
    • Implementácia systému pre inventarizáciu aktív
    • Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení
    • Vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti

Podaktivita 2.4 Personálna bezpečnosť


    • Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia a pod.
    • Vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu

Podaktivita 2.5 Riadenie prístupov


    • Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému
    • zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení

Podaktivita 2.6 Riadenie Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch  s tretími stranami


    • Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík
    • Analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou
    • Vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu
    • s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB

Podaktivita 2.7 Bezpečnosť pri prevádzke informačných systémov a sietí


    • Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov
    • Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení
    • Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania

Podaktivita 2.8 Hodnotenie zraniteľností a bezpečnostné aktualizácie


    • Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby
    • Vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat

Podaktivita 2.9 Ochrana proti škodlivému kódu


    • Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu
    • Implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu
    • Vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu

Podaktivita 2.10 Sieťová a komunikačná bezpečnosť 


    • Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel
    • Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov
    • Vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov
    • Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie
    • Vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

Podaktivita 2.11 Zaznamenávanie udalostí a monitorovanie


    • Implementácia Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov
    • Implementácia nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM)
    • Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností

Podaktivita 2.12 Riešenie kybernetických bezpečnostných incidentov 


    • Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností
    • Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov
    • Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí
    • Vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov
    • Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov

Podaktivita 2.13 Kryptografické opatrenia 


    • Implementácia opatrení za účelom zabezpečenia autenticity a integrity súborov
    • Implementácia kryptografických opatrení nad zálohami systémov a dát
    • Vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania
    • Definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov
    • Vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov
    • Implementácia systému správy kryptografických kľúčov a certifikátov a pod.

Podaktivita 2.14 Kontinuita prevádzky


    • Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu
    • Vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania
    • Vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie
    • Vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie
    • Implementácia systému zálohovania

 

Podaktivita 3. Analýza a dizajn (Od 1/2025 do 12/2025)

Podaktivita 3.1: Podrobná analýza aktuálneho stavu kybernetickej bezpečnosti

Podaktivita 3.2: Organizácia kybernetickej a informačnej bezpečnosti

Podaktivita 3.3: Vypracovanie plánu implementácie

Podaktivita 4.: Nákup technických prostriedkov, programových prostriedkov a služieb (Od 1/2025 do 12/2025)

Podaktivita 4.1: Identifikácia a výber potrebných technických a programových prostriedkov

Podaktivita 4.2: Obstaranie potrebných zariadení a služieb

Podaktivita 5. Implementácia (Od 6/2025 do 12/2025)

Podaktivita 5.1.Zavedenie navrhnutých bezpečnostných opatrení

Podaktivita 5.2. Integrácia nových technológií a riešení do existujúcej infraštruktúry

Podaktivita 5.3. Školenie zamestnancov na nové postupy a technológie

Podaktivita 6. Dokončovacia fáza a testovanie (Od 1/2026 do 12/2026)

Podaktivita 6.1. Kompletné testovanie zavedených opatrení

Podaktivita 6.2. Overenie funkčnosti a efektívnosti riešení

Podaktivita 6.3: Opakovaný audit u prevádzkovateľa PZS (6/2026)

Podaktivita 6.4: Záverečné úpravy a dolaďovanie systémov

3.3       Zainteresované strany/Stakeholderi

ID

AKTÉR / STAKEHOLDER

SUBJEKT

(názov / skratka)

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

Informačný systém

(MetaIS kód a názov ISVS)

1.

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

MIRRI

Riadiaci orgán OP Slovensko/ Poskytovateľ NFP

N/A

2.

BIONT a.s.

BIONT

Prevádzkovateľ základnej služby

Vlastník procesu

N/A

3.

Projektový tím

BIONT/externý

Projektový manažér (vlastník procesu), finančný manažér, IT manažér (vlastník dát)

N/A

5.

Občan/Podnikateľ/OVM

externý

dodanie potrebného SW, HW

N/A

6.

Manažér kybernetickej bezpečnosti

externý

Riadenie hlavných KB činností a organizácie KB

N/A

3.4       Ciele projektu

ID

 

Názov cieľa

Názov strategického cieľa

Spôsob realizácie strategického cieľa

1.

PO095 / PSKPSOI12

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

Zlepšovanie procesného, vedomostného technologického, infraštruktúrneho, a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.

Implementácia projektu

 

 

Implementácia systémov na monitorovanie a hodnotenie bezpečnostných rizík

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Zavedenie nástrojov na aktívne monitorovanie a hodnotenie aktuálnych bezpečnostných rizík

2.

Zníženie pravdepodobnosti bezpečnostných incidentov

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Implementácia efektívnych bezpečnostných opatrení na minimalizáciu rizík kybernetických útokov

3.

Splnenie legislatívnych povinností

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Vypracovanie bezpečnostnej dokumentácie v súlade so zákonmi č. 69/2018 Z.z, č. 95/2019 Z.z, a Vyhláškou NBÚ č. 362/2018 Z.z.

4.

Zvýšenie informovanosti a pripravenosti zamestnancov

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Organizácia školení na zvýšenie informovanosti o kybernetických hrozbách a bezpečnostných postupoch

5.

Efektívne riadenie prístupových práv

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Zavedenie a vylepšenie systémov na kontrolu a monitorovanie prístupu k citlivým informáciám

6.

Zlepšenie riadenia a oznamovania bezpečnostných incidentov

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Vytvorenie procesov na efektívne riadenie a oznamovanie bezpečnostných incidentov.

7.

Vykonanie auditu a reauditu

Zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Vykonanie auditu KB v zmysle zákona o KB

 

3.5       Merateľné ukazovatele (KPI)

ID

 

ID/Názov cieľa

Názov
ukazovateľa (KPI)

Popis
ukazovateľa

Merná jednotka
 

AS IS
merateľné hodnoty
(aktuálne)

TO BE
Merateľné hodnoty
(cieľové hodnoty)

Spôsob ich merania

Pozn.

1.

Implementácia systémov na monitorovanie a hodnotenie bezpečnostných rizík

Implementácia systémov

Počet implementovaných systémov (podľa plánu do 12/2026)

Počet

0

x

Počet implementovaných systémov (monitoring)

 

2.

Zníženie pravdepodobnosti bezpečnostných incidentov

Bezpečnostné incidenty

Zníženie počtu bezpečnostných incidentov (min. 50% zníženie incidentov do 12/2026).

Počet

x

x

Monitorovacia správa, report

 

3.

Splnenie legislatívnych povinností

Bezpečnostná dokumentácia

Schválená kompletná bezpečnostná dokumentácia (do 12/2026)

Počet

1

x

Zavedenie dokumentov do riadenej dokumentácie BIONT

 

4.

Zvýšenie informovanosti a pripravenosti zamestnancov

Informovanosť

Počet vyškolených zamestnancov (min. 90% zamestnancov do 12/2025).

Počet

0

80

Počet zaškolených zamestnancov na kybernetickú informačnú bezpečnosť prostredníctvom kontinuálneho vzdelávania

Spätná väzba a hodnotenia efektivity školení

5.

Efektívne riadenie prístupových práv

Prístupové práva

Miera zlepšenia riadenia prístupov (min. 90% zamestnancov so správne nastavenými prístupovými právami do 12/2026).

Počet

0

80

Report

 

6.

Zlepšenie riadenia a oznamovania bezpečnostných incidentov

Riadenie bezpečnostných incidentov

Počet úspešne riešených bezpečnostných incidentov (min. 90% incidentov riešených v stanovenej lehote).

Počet

x

x

Report

 

7.

Vykonanie auditu a reauditu

Audit

Počet súladov, čiastočných súladov a nesúladov z externého auditu kybernetickej bezpečnosti

Počet

22 súlad

23 čiastočný súlad

226 nesúlad

18 Iné

x

Vykonanie reauditu

Audit vykonaný v 6/2024

Hlavné výstupy projektu

  1. Klasifikácia informácií:
    • Definovanie úrovní citlivosti a ochrany informácií.
  2. Kategorizácia sietí a informačných systémov:
    • Určenie kritických systémov a sietí pre lepšie riadenie bezpečnosti.
  3. Analýza rizík a funkčného dopadu:
    • Identifikácia a hodnotenie potenciálnych bezpečnostných rizík.
    • Posúdenie dopadu potenciálnych bezpečnostných incidentov na prevádzku.
  4. Organizácia kybernetickej a informačnej bezpečnosti (KIB):
    • Vytvorenie organizačnej štruktúry pre riadenie KIB.
  5. Riadenie rizík KIB:
    • Implementácia procesov na identifikáciu, hodnotenie a zmierňovanie rizík.
  6. Personálna bezpečnosť:
    • Zavedenie opatrení na ochranu pred internými hrozbami.
  7. Riadenie prístupov:
    • Kontrola a monitorovanie prístupu k citlivým informáciám a systémom.
  8. Riadenie KIB vo vzťahoch s tretími stranami:
    • Zabezpečenie, že tretie strany dodržiavajú bezpečnostné štandardy.
  9. Bezpečnosť pri prevádzke informačných systémov a sietí:
    • Ochrana pred neoprávneným prístupom a narušením prevádzky.
  10. Hodnotenie zraniteľností a bezpečnostné aktualizácie:
    • Pravidelné hodnotenie zraniteľností a aplikácia bezpečnostných aktualizácií.
  11. Ochrana proti škodlivému kódu:
    • Zavedenie opatrení na detekciu a odstránenie škodlivého softvéru.
  12. Sieťová a komunikačná bezpečnosť:
    • Ochrana integrácie a dôvernosti komunikácií a sietí.
  13. Vývoj a údržba informačných sietí a systémov:
    • Zabezpečenie, že nové a existujúce systémy spĺňajú bezpečnostné požiadavky.
  14. Zaznamenávanie udalostí a monitorovanie:
    • Sledovanie a zaznamenávanie bezpečnostných udalostí na detekciu a reakciu na incidenty.
  15. Riešenie kybernetických bezpečnostných incidentov:
    • Efektívne riadenie a riešenie incidentov kybernetickej bezpečnosti
  16. Kryptografické opatrenia:
    • Použitie šifrovania na ochranu dát
  17. Kontinuita prevádzky:
    • Zabezpečenie kontinuity činností aj pri bezpečnostných incidentoch

3.6       Špecifikácia potrieb koncového používateľa

Projekt je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti v rámci BIONTu. Prostredníctvom projektu nebudú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

3.7       Riziká a závislosti

Zoznam rizík a závislosti sa nachádzajú v samostatnej prílohe.

3.8       Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, ktorá pokrýva procesy a požiadavky všetkých stakeholderov/aktérov a celú životnú situáciu rieši komplexne.

Alternatíva 1 - Ponechanie súčasného stavu ochrany informačných systémov:

Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č. 69/2018 Z.z.

Alternatíva 2 – Čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti:

Druhá alternatíva spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a čiastkové oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

Alternatíva 3 – Aktualizácia bezpečnostnej dokumentácie a systémové zvýšenie úrovne kybernetickej a informačnej bezpečnosti

Tretia alternatíva predstavuje simultánne nasadenie viacerých softvérových a hardvérových nástrojov na systematické nastavenie kybernetickej a informačnej bezpečnosti BIONTu v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší z pohľadu biznis, aplikačnej aj technologickej vrstvy. Alternatíva zároveň uvažuje s vytvorením bezpečnostnej dokumentácie na identifikáciu, riadenie a mitigáciu bezpečnostných rizík v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

3.9       Multikriteriálna analýza

 

KRITÉRIUM

ZDÔVODNENIE KRIÉRIA

 

MIRRI (výzva)

 

BIONT

BIZNIS VRSTVA

 

 

A

Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením

Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie

áno

áno

B

Rýchlosť implementácie

Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr

áno

nie

C

Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času

Vzhľadom stav na ľudských z ľudských zdrojov a času zdrojov je potrebné projekt navrhnúť áno nie tak, aby mal čo najmenšiu náročnosť na ľudské zdroje

áno

nie

Zoznam kritérií

Alternatíva 1

Spôsob

dosiahnutia

Alternatíva 2

Spôsob

dosiahnutia

Kritérium A

áno

Projekt zavádza procesy

Governance v oblasti KIB

čiastočne

 

Kritérium B

áno

Realizácia výzvy je

najrýchlejšou možnosťou implementácie

nie

 

Kritérium C

áno

Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje

nie

 

Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu.

 

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 3. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Nasadenie nových technologických riešení a zlepšenie bezpečnostných opatrení je nevyhnutné na zvýšenie efektívnosti pracovných procesov, ochranu citlivých informácií a prevenciu pred zlyhaním zastaraných zariadení alebo aj stratou dát. Tento projekt sa zameriava na implementáciu moderných bezpečnostných opatrení a zlepšenie správy informačných technológií (IT) v spoločnosti BIONT.

Účel projektu

Cieľom projektu je systematické zvýšenie úrovne informačnej a kybernetickej bezpečnosti v spoločnosti BIONT. Projekt sa zameriava na aktívne monitorovanie a vyhodnocovanie aktuálnych bezpečnostných rizík a zavádzanie opatrení na ich minimalizáciu, čím sa zníži pravdepodobnosť bezpečnostných incidentov. Ďalším cieľom je splnenie legislatívnych požiadaviek v oblasti kybernetickej a informačnej bezpečnosti.

Očakávané výsledky

  • Kompletná bezpečnostná dokumentácia zosúladená s aktuálnymi právnymi predpismi: Vypracovanie a implementácia dokumentácie zabezpečenia, ktorá bude zodpovedať všetkým relevantným zákonným a regulačným požiadavkám.
  • Implementácia moderných bezpečnostných opatrení na výrazné zníženie rizika kybernetických útokov: Nasadenie najnovších technológií a postupov na ochranu IT infraštruktúry a citlivých dát pred vonkajšími aj vnútornými hrozbami.
  • Vyššia úroveň informovanosti zamestnancov a ich pripravenosť na riešenie bezpečnostných incidentov: Organizovanie školení a osvietovacích kampaní pre zamestnancov zameraných na zvýšenie povedomia o bezpečnostných hrozbách a ich správne riešenie.
  • Zlepšené riadenie prístupových práv na ochranu citlivých informácií: Implementácia robustných procesov riadenia prístupov a autorizácií na minimalizáciu rizík spojených s neoprávneným prístupom.
  • Efektívne riadenie bezpečnostných incidentov s rýchlym a efektívnym riešením v prípade incidentov: Zavedenie postupov na rýchlu detekciu, reakciu a obnovenie po kybernetických incidentoch, čím sa minimalizuje ich dopad na prevádzku.

Realizačné fázy projektu z pohľadu očakávaných výstupov projektu

Prípravná a iniciačná fáza (5/2024 - 12/2024)

  • Vytvorenie projektového tímu a definovanie cieľov: Identifikácia potrebných odborníkov a zostavenie tímu s jasnými rolami a zodpovednosťami.
  • Identifikácia kľúčových zainteresovaných strán: Zostavenie zoznamu interných a externých zainteresovaných strán a analýza ich očakávaní a vplyvu na projekt.

Realizačná fáza (1/2025 - 12/2026)

  • Koordinácia činností a zabezpečenie zdrojov: Pravidelná komunikácia a koordinácia medzi členmi tímu a dodávateľmi na zabezpečenie plynulého priebehu projektu.
  • Podrobná analýza aktuálneho stavu kybernetickej bezpečnosti: Zber dát a hodnotenie súčasného stavu IT bezpečnosti v spoločnosti BIONT.
  • Návrh bezpečnostných opatrení a dokumentácie: Vypracovanie konkrétnych návrhov na zlepšenie bezpečnostných opatrení a príprava dokumentácie podľa aktuálnych štandardov.
  • Vypracovanie plánu implementácie: Detailné naplánovanie krokov na implementáciu navrhnutých bezpečnostných opatrení s jasnými termínmi a zodpovednosťami.
  • Nákup technických a programových prostriedkov: Výber a obstaranie potrebných technologických riešení a služieb na podporu implementácie bezpečnostných opatrení.
  • Implementácia a integrácia nových technológií: Inštalácia a konfigurácia nových bezpečnostných riešení a ich integrácia do existujúcej IT infraštruktúry spoločnosti.
  • Školenie zamestnancov: Odborné školenia pre zamestnancov zamerané na zvýšenie povedomia o kybernetickej bezpečnosti a správne riešenie bezpečnostných hrozieb.

Dokončovacia fáza a testovanie (1/2026 - 12/2026)

  • Kompletné testovanie zavedených opatrení: Dôkladné testovanie nových bezpečnostných opatrení na overenie ich funkčnosti a efektívnosti v reálnom prostredí.
  • Overenie ich funkčnosti a efektívnosti: Hodnotenie úspešnosti a efektívnosti implementovaných bezpečnostných opatrení a prípadné finálne úpravy podľa výsledkov testovania.
  • Finálne úpravy a optimalizácia systémov, príprava záverečnej dokumentácie: Dokončovanie detailov implementácie a príprava dokumentácie zahŕňajúcej všetky zmeny a zlepšenia.

Tento podrobný opis projektu poskytuje jasný rámec pre plánovanie, implementáciu a riadenie projektu zameraného na zvýšenie kybernetickej bezpečnosti a ochranu informácií v spoločnosti BIONT.

5.    NÁHĽAD ARCHITEKTÚRY

Architektúra BIONT bola vytvorená v programe ArchiMate modelling na základe rozsiahlych diskusií s oddelením IT.

Máme zakreslenú situáciu „as-is“, ako aj situáciu „to-be“.

Nakoľko veríme, že sa jedná o tajnú informáciu a zdieľanie tejto informácie na verejne dostupnom portáli vnímame ako hrozbu bezpečnostného incidentu, nebudeme prikladať prílohy. Pri vyžiadaní vieme túto architektúru dať k nahliadnutiu pri osobnom stretnutí. 

Medzi hlavné zmeny bude vytvorenie NAS úložiska, CM, XDR, IPS/IDP, NIS na úrovni aplikačnej architektúry a upgrade fyzického zabezpečenia priestorov serverovní (back up server) na technologickej úrovni.

Projekt zahŕňa zavedenie nových hardvérových a softvérových riešení a bezpečnostných opatrení, ktoré možno rozdeliť do jednotlivých modulov projektu. Každý modul je priamo namapovaný na Katalóg požiadaviek:

image-2024-8-2_12-38-0.png

Realizáciou týchto modulov sa projekt zameria na vytvorenie robustného a odolného kybernetického bezpečnostného rámca v spoločnosti BIONT.

Požiadavky pre jednotlivé moduly sú vylistované v zozname uvedenom v dokumente I_04_KATALOG_POZIADAVIEK v tabe „Moduly a inkrementy“.

Rozsah architektúry budúceho stavu (TO-BE) v porovnaní so súčasným stavom (AS-IS) sa zmení prevažne na úrovni aplikačnej a technologickej vrstvy.

Inkrementálne čiastkové plnenie projektu, ktoré zahŕňa minimálne etapy implementácie, testovania a nasadenia do produkčného prostredia, môže byť realizované prostredníctvom viacerých iterácií v závislosti od charakteru projektu. Každý doručený inkrement projektu je nasadený v produkčnom prostredí, čo umožňuje začať s dokončovacou fázou projektu alebo pokračovať ďalším inkrementom.

Vzhľadom na to, že projekt zahŕňa najmä nákup technických prostriedkov, softvérových nástrojov a služieb, je rozdelenie na inkrementy menej relevantné. Napriek tomu bude rozdelenie vykonané v súlade s Katalógom požiadaviek.

Implementácia každého inkrementu zahŕňa nasledujúce kľúčové fázy:

  • Implementácia: Zavedenie technických a softvérových prostriedkov do testovacieho prostredia.
  • Testovanie: Dôkladné overenie funkčnosti a bezpečnosti implementovaných riešení.
  • Nasadenie do produkcie: Premiestnenie a aktivácia overených riešení v produkčnom prostredí.

Tento prístup zabezpečuje, že každý inkrement prináša merateľnú hodnotu a umožňuje priebežné zlepšovanie a adaptáciu projektu na aktuálne potreby a podmienky.

5.1       Prehľad e-Government komponentov

5.1.1       Prehľad koncových služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.3       Prehľad budovaných aplikačných služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby, ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.4       Prehľad integrácii ISVS na spoločné ISVS[1] a ISVS iných OVM alebo IS tretích strán

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných orgánov verejnej moci a tretích strán.

5.1.5       Aplikačné služby na integráciu

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

5.1.6       Poskytovanie údajov z ISVS do IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

5.1.7       Konzumovanie údajov z IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

5.1.8       Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

6.    LEGISLATÍVA

Projekt sa v čase jeho prípravy riadi príslušnou legislatívou:

  • Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov
  • Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy
  • Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov
  • Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov

7.    ROZPOČET A PRÍNOSY

Projekt bol nacenený pre relevantné:

  • Mzdové náklady na projektový tím boli nacenené podľa súm ceny prác už schválených NFP (20 EUR/hod), na manažéra IT boli stanovené v maximálne povolenej sume 25 EUR/hod a hodinová sadzba manažéra kybernetickej bezpečnosti, ktorý bude obstaraný externe stanovený na 22 EUR/hod.
  • Hardvér sa odvíjal od prieskumov trhu (priemerná cena z troch ponúk firiem)
  • Softvér vychádza z na mieru šitých cenových ponúk od dodávateľa služby, v prípade NIS je cena odvodená od existujúcej zmluvy na NIS v CRZ (najskoršia dohľadateľná ponuka bola z roku 2022). Nárokujeme si len čiastkovú sumu, nakoľko rokovania s dodávateľom nového NIS sú iba v iniciálnej fáze a ešte sa nepristúpilo ku kvantifikovaniu a definovaniu rozsahu prác, funkcionalít, licencií a pod.
  • Ostatné služby ako napr. audit, cena je odvodená od faktúry vykonaného auditu vo firme v 6/2024.

Rozpočet vrámci ŽoNFP bol rozdelený na percentuálne pomery pre financovanie viac rozvinutého regiónu 22,86% a menej rozvinutého regiónu 77,14%.

521- MZDOVÉ NÁKLADY

Projektový manažér

800 EUR (cena práce na mesiac, 40 hodínx20 EUR/hod) x 32 (počet mesiacov, obdobie od 05/2024) =  25´600 EUR

 

Finančný manažér

800 EUR (cena práce na mesiac, 40 hodínx20 EUR/hod) ) x 32 (počet mesiacov, od 05/2024) = 25´600 EUR.

 

 IT manažér

2000 EUR (cena práce na mesiac, 80 hodín x25 EUR/hod) x 32 (počet mesiacov, od 09/2024) = 56´000 EUR.

 

Manažér kybernetickej bezpečnosti

Verejné obstarávanie pozície MKB vo výške 49´280 EUR.

1´760 EUR (cena práce na mesiac, 80 hodínx22 EUR/hod) x 28 (počet mesiacov, od 09/2024) = 49´280 EUR.

 

013 SOFVÉR

  • Produkt EDR Optimum
    • Vzdelávacia platforma KASAP
    • Penetračný test
    • Nemocničný informačný systém na bezpečnú správu dát
    • Modul na zdieľanie dokumentácie z PET vyšetrenia pacienta lekárom, ktorí nedisponujú najnovšou technológiou a nevedia prijať dokumenty z PET vyšetrenia.

22 SAMOSTATNE HNUTEĽNÉ VECI A SÚBOR HNUTEĽNÝCH VECÍ

  • Zabezpečenie fyzickej bezpečnosti priestorov serverovne a backupovej serverovne vo vedľajšej budove (bezpečnostné dvere, biometrický zámok, kamerový systém, alarmový systém, záložná klimatizácia).

 2 kusy NAS diskových polí (diskové pole pre NAS, Záložné diskové pole NAS pre BIONT).

 518 OSTATNÉ SLUŽBY

  • refundácia už vykonaného auditu KB, ktorá je vyžadovaná podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti každé dva roky.
  • reaudit v 6/2026
  • licencia, publicita, notár, právnik a paušálne náhrady na licencie, vybavenie serverovní a pod.

7.1       Sumarizácia nákladov a prínosov

Prínosy projektu

  • Zavedenie komplexných bezpečnostných opatrení na minimalizáciu rizík a zvýšenie úrovne ochrany: Zvýšenie celkovej bezpečnosti informačných systémov a citlivých dát spoločnosti BIONT.
  • Implementácia systémových riadiacich politík a postupov na efektívne riadenie bezpečnosti: Zavádzanie štandardizovaných a efektívnych postupov na riadenie kybernetickej bezpečnosti, ktoré zabezpečia konzistentnú ochranu.
  • Zlepšenie schopnosti rýchlo reagovať a obnoviť prevádzku po bezpečnostných incidentoch: Posilnenie schopností spoločnosti BIONT na rýchlu a efektívnu reakciu na bezpečnostné incidenty a minimalizáciu ich dopadu na business.
  • Posilnenie dôvery zákazníkov, partnerov a regulačných orgánov vzhľadom na dodržiavanie legislatívnych noriem: Zlepšenie reputácie spoločnosti a zvýšenie dôvery zákazníkov a ďalších zainteresovaných strán v jej schopnosť ochrany dát a informácií.

Náklady

 

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Všeobecný materiál

 

 

 

IT - CAPEX

 

 

 

Aplikácie

 

SW

58´412 EUR

HW

50´000  EUR

IT - OPEX- prevádzka

 

 

 

Aplikácie

 

SW

 

HW

 

Prínosy

 

 

 

Finančné prínosy

 

 

 

Administratívne poplatky

 

 

 

Ostatné daňové a nedaňové príjmy

 

 

 

Ekonomické prínosy

 

 

 

Občania (€)

 

 

 

Úradníci (€)

 

 

 

Úradníci (FTE)

 

 

 

Kvalitatívne prínosy

 

 

 

 

 

 

 

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

ID

FÁZA/AKTIVITA

ZAČIATOK

(odhad termínu)

KONIEC

(odhad termínu)

POZNÁMKA

1.

Prípravná fáza a Iniciačná fáza

5/2024

12/2024

09/spustenie procesu VO

2.

Realizačná fáza

1/2025

12/2026

 

3.

Analýza a Dizajn

1/2025

12/2025

 

4.

Nákup technických prostriedkov, programových prostriedkov a služieb

1/2025

12/2025

 

5.

Implementácia a testovanie

06/2025

12/2025

 

6.

Dokončovacia fáza

01/2026

12/2026

 

Projekt bude realizovaný po dobu 32 mesiacov prostredníctvom jednej hlavnej aktivity „Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti“ a 6 podaktivít:

  1. Prípravná fáza a Iniciačná fáza
    • Vytvorenie projektového tímu.
    • Definovanie cieľov a harmonogramu.
    • Identifikácia kľúčových zainteresovaných strán.
  2. Realizačná fáza
    • Koordinácia všetkých činností súvisiacich s projektom.
    • Zabezpečenie potrebných zdrojov a komunikácia s dodávateľmi.
  3. Analýza a dizajn
    • Podrobná analýza aktuálneho stavu kybernetickej bezpečnosti.
    • Návrh bezpečnostných opatrení a dokumentácie.
    • Vypracovanie plánu implementácie.
  4. Nákup technických prostriedkov, programových prostriedkov a služieb
    • Identifikácia a výber potrebných technických a programových prostriedkov.
    • Obstaranie potrebných zariadení a služieb.
  5. Implementácia
    • Zavedenie navrhnutých bezpečnostných opatrení.
    • Integrácia nových technológií a riešení do existujúcej infraštruktúry.
    • Školenie zamestnancov na nové postupy a technológie.
  6. Dokončovacia fáza a testovanie
    • Kompletné testovanie zavedených opatrení.
    • Overenie funkčnosti a efektívnosti riešení.
    • Záverečné úpravy a dolaďovanie systémov.

9.    PROJEKTOVÝ TÍM

ID

Meno a Priezvisko

Rola v projekte

1.

Interný/externý

Projektový manažér

2.

Interný

Finančný manažér

3.

Externý

IT manažér

4.

Externý

Manažér KB

9.1        PRACOVNÉ NÁPLNE

 

Projektový manažér

  • zodpovedá za implementáciu projektu v súlade so schválenou žiadosťou o NFP, resp. zmluvou o NFP, s platným systémom finančného riadenia a systémom riadenia EŠIF, platnými právnymi predpismi SR a EK, usmerneniami a pokynmi RO súvisiacimi s čerpaním fondov EÚ,
  • sleduje platné právne predpisy SR a EK, usmernenia a pokyny RO, súvisiace s čerpaním fondov EÚ,
  • zodpovedá za implementáciu projektu v súlade so schváleným harmonogramom realizácie aktivít projektu,
  • zodpovedá za napĺňanie merateľných ukazovateľov projektu,
  • zodpovedá, resp. koordinuje všetky činnosti súvisiace s implementáciou projektu – monitorovanie projektu, publicitu projektu, verejné obstarávanie a pod.
  • koná vo vzťahu k dodávateľom, resp. partnerom na projekte,
  • zodpovedá za komunikáciu s RO/SO v oblasti vzťahov vyplývajúcich zo zmluvy o NFP.

Finančný manažér

  • zodpovedá za správne finančné riadenie projektu v súlade so schválenou žiadosťou o NFP, resp. zmluvou o NFP, s platným systémom finančného riadenia  a systémom riadenia EŠIF, platnými právnymi predpismi SR a EK, usmerneniami a pokynmi RO súvisiacimi s čerpaním fondov EÚ,
  • zodpovedá za čerpanie rozpočtu v súlade s pokrokom v implementácii projektu a dosahovanými ukazovateľmi,
  • zodpovedá za komunikáciu s RO/SO v oblasti finančných vzťahov vyplývajúcich zo zmluvy o NFP,
  • zodpovedá za prípravu a včasné predkladanie ŽoP vrátane úplnej podpornej dokumentácie (rozsah stanoví RO),
  • zodpovedá za oprávnenosť výdavkov prijímateľa v súlade s platnými pravidlami oprávnenosti,
  • sleduje platné právne predpisy SR a EK, usmernenia a pokyny RO, súvisiace s čerpaním fondov EÚ.

IT manažér

  • zodpovedá za vypracovanie a aktualizáciu internej riadiacej dokumentácie organizácie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
  • tvorí strategické materiály, koncepcie , služobné predpisy, nariadenia, normy, pokyny v oblasti IT a mobilnej dátovej komunikácie,
  • zodpovedá za poskytovanie IT služieb, návrh, implementáciu, obstaranie, prevádzku, údržbu a posudzovanie prostriedkov IKT vrámci schváleného NFP,
  • rozvíja, optimalizuje a zabezpečuje podporu procesov v rámci oblasti IT služby zmenové konanie (change management),
  • podpora rozvoja a optimalizácie procesov v rámci oblasti IT služby kapacitný manažment (dIho a strednodobé a operatívne plánovanie zdrojov),
  • nastavuje a konzultuje metodiky pre kapacitné plánovanie a alokáciu IT zdrojov,
  • spolupracuje s auditormi v programe interného/externého auditu kybernetickej bezpečnosti.

Manažér KB

  • zodpovedá za vypracovanie a aktualizáciu internej riadiacej dokumentácie organizácie v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti
  • predkladá návrhy a oznamuje informácie v oblasti informačnej a kybernetickej bezpečnosti priamo štatutárnemu orgánu prevádzkovateľa základnej služby,
  • riadi aplikáciu bezpečnostných opatrení v rámci systémov manažérstva,
  • udržiava a poukazuje na potreby aktualizácie Politiky kybernetickej bezpečnosti a informačnej bezpečnosti a ďalších interných riadiacich aktov podľa ZoKB a Vyhlášky č. 362/2018 Z.z.,
  • riadi kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov,
  • metodicky vedie správcov informačných technológií, gestorov informačných technológií, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
  • v súčinnosti s ostatnými organizačnými útvarmi objednávateľa analyzuje, definovať a monitorovať bezpečnostné hrozby a riziká,
  • navrhuje opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitoruje plnenie a efektivitu týchto opatrení a vedie evidenciu bezpečnostných incidentov,
  • koordinuje vypracovanie plánov kontinuity a obnovy činností,
  • predkladá odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú bezpečnosť,
  • navrhuje procesy pre zabezpečenie vzdelávania zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti.

10. ODKAZY

Žiadne odkazy.

11. PRÍLOHY

Prílohy :

Zoznam rizík a závislostí (Excel)

Katalóg požiadaviek (Excel)

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente