Wiki zdrojový kód pre projektovy_zamer
Version 2.2 by frantisek_andrus1 on 2024/11/07 10:04
Hide last authors
| author | version | line-number | content |
|---|---|---|---|
 |
2.1 | 1 | **PROJEKTOVÝ ZÁMER** |
| 2 | |||
| 3 | **manažérsky výstup I-02** | ||
| 4 | |||
| 5 | **podľa vyhlášky MIRRI č. 401/2023 Z. z.** | ||
| 6 | |||
| 7 | \\ | ||
| 8 | |||
| 9 | (% class="" %)|((( | ||
| 10 | Povinná osoba | ||
| 11 | )))|((( | ||
| 12 | Východoslovenský onkologický ústav, a.s. | ||
| 13 | ))) | ||
| 14 | (% class="" %)|((( | ||
| 15 | Názov projektu | ||
| 16 | )))|((( | ||
| 17 | Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Východoslovenský onkologický ústav | ||
| 18 | ))) | ||
| 19 | (% class="" %)|((( | ||
| 20 | Zodpovedná osoba za projekt | ||
| 21 | )))|((( | ||
| 22 | František Andrus (projektový manažér) | ||
| 23 | ))) | ||
| 24 | (% class="" %)|((( | ||
| 25 | Realizátor projektu | ||
| 26 | )))|((( | ||
| 27 | Východoslovenský onkologický ústav, a.s. | ||
| 28 | ))) | ||
| 29 | (% class="" %)|((( | ||
| 30 | Vlastník projektu | ||
| 31 | )))|((( | ||
| 32 | Východoslovenský onkologický ústav, a.s. | ||
| 33 | ))) | ||
| 34 | |||
| 35 | **~ ** | ||
| 36 | |||
| 37 | **Schvaľovanie dokumentu** | ||
| 38 | |||
| 39 | (% class="" %)|((( | ||
| 40 | Položka | ||
| 41 | )))|((( | ||
| 42 | Meno a priezvisko | ||
| 43 | )))|((( | ||
| 44 | Organizácia | ||
| 45 | )))|((( | ||
| 46 | Pracovná pozícia | ||
| 47 | )))|((( | ||
| 48 | Dátum | ||
| 49 | )))|((( | ||
| 50 | Podpis | ||
| 51 | |||
| 52 | (alebo elektronický súhlas) | ||
| 53 | ))) | ||
| 54 | (% class="" %)|((( | ||
| 55 | Vypracoval | ||
| 56 | )))|((( | ||
| 57 | František Andrus | ||
| 58 | )))|((( | ||
| 59 | Východoslovenský onkologický ústav, a.s. | ||
| 60 | )))|((( | ||
| 61 | |||
| 62 | )))|((( | ||
| 63 | 19.6.2024 | ||
| 64 | )))|((( | ||
| 65 | |||
| 66 | ))) | ||
| 67 | |||
| 68 | **~ ** | ||
| 69 | |||
| 70 | = {{id name="projekt_2787_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1. História DOKUMENTU = | ||
| 71 | |||
| 72 | (% class="" %)|((( | ||
| 73 | Verzia | ||
| 74 | )))|((( | ||
| 75 | Dátum | ||
| 76 | )))|((( | ||
| 77 | Zmeny | ||
| 78 | )))|((( | ||
| 79 | Meno | ||
| 80 | ))) | ||
| 81 | (% class="" %)|((( | ||
| 82 | 0.1 | ||
| 83 | )))|((( | ||
| 84 | 19.6.2024 | ||
| 85 | )))|((( | ||
| 86 | Pracovný návrh | ||
| 87 | )))|((( | ||
| 88 | |||
| 89 | ))) | ||
| 90 | |||
| 91 | **~ ** | ||
| 92 | |||
| 93 | = {{id name="projekt_2787_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2. DEFINOVANIE PROJEKTU = | ||
| 94 | |||
| 95 | |||
| 96 | |||
| 97 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1 Manažérske zhrnutie == | ||
| 98 | |||
| 99 | Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy. | ||
| 100 | |||
| 101 | Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia informačnej a kybernetickej bezpečnosti (ďalej ako „KIB“). | ||
| 102 | |||
| 103 | Aktuálna situácia v oblasti KIB vo Východoslovenskom onkologickom ústave, a.s., (ďalej ako „VOU KE“) nie je ideálna. VOU KE nemá implementované všetky riešenia a opatrenia pre zvýšenie úrovne KIB. Z externého pohľadu sa zvyšuje frekvencia a závažnosť bezpečnostných hrozieb a útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda bezpečnostné hrozby, výskyt zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB. | ||
| 104 | |||
| 105 | |||
| 106 | |||
| 107 | VOU KE má vykonané samohodnotenie v zmysle platnej právnej úpravy, pričom bolo odhalených niekoľko dôležitých oblastí, ktoré vyžadujú okamžitú pozornosť a zlepšenie. Ide najmä o oblasť bezpečnostného monitoringu, riadenia rizík, riadenie bezpečnosti prevádzky, riadenia prístupov, riadenia kontinuity činností (ďalej ako „BCM“) a zálohovania. | ||
| 108 | |||
| 109 | |||
| 110 | |||
| 111 | Hlavným cieľom je zabezpečiť integritu, dostupnosť a dôvernosť informácií organizácie, a to prostredníctvom účinných bezpečnostných opatrení a postupov. | ||
| 112 | |||
| 113 | |||
| 114 | |||
| 115 | VOU KE nemá implementované požadované požiadavky v niektorých oblastiach KIB z nasledovných dôvodov: | ||
| 116 | |||
| 117 | * nie sú k dispozícii personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov, | ||
| 118 | * nie sú k dispozícii dostatočné finančné zdroje, | ||
| 119 | * nemáme zavedené všetky procesy riadenia KIB. | ||
| 120 | |||
| 121 | |||
| 122 | |||
| 123 | Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti VOU KE, čo chceme naplniť nasledujúcimi podaktivitami: | ||
| 124 | |||
| 125 | * Aktivity ohľadom vytvorenia dokumentácie a nastavenia procesov riadenia KIB: | ||
| 126 | ** vytvorenie stratégie kybernetickej bezpečnosti a bezpečnostnej politiky kybernetickej bezpečnosti (aj vo väzbe na opatrenia zavedené týmto projektom), | ||
| 127 | ** vytvorenie interných smerníc a politík pre všetky relevantné oblasti riadenia KIB, najmä pre oblasti pokryté opatreniami v rámci tohto projektu. | ||
| 128 | * Analytické aktivity: | ||
| 129 | ** spracovanie úvodnej GAP analýzy voči požiadavkám aktuálnej legislatívy, najmä zákon o KB, | ||
| 130 | ** aktualizácia identifikácie a evidencie informačných aktív, | ||
| 131 | ** vykonanie klasifikácie informácií a kategorizácie IS a sietí, | ||
| 132 | ** vykonanie analýzy rizík a analýzy dopadov (AR/BIA), | ||
| 133 | ** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík, | ||
| 134 | ** na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS, | ||
| 135 | ** vypracovanie kontinuity činností v zmysle zákona o KB, vrátane aktualizácie plánu zálohovania podľa výsledkov AR/BIA. | ||
| 136 | * Implementačné a konfiguračné aktivity bezpečnostných riešení: | ||
| 137 | ** implementácia centrálneho Log Manažment Systému (LMS) pre účely zberu logov z jednotlivých agendových, podporných a infraštruktúrnych systémov a koncových zariadení, | ||
| 138 | ** nasadenie systému pre bezpečnostný monitoring (SIEM), | ||
| 139 | * Pre-financovanie nasledovných, legislatívou vyžadovaných aktivít: | ||
| 140 | ** pre-financovanie nákladov spojených s auditom kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z. zrealizovaným po ukončení implementácie vyššie uvedených bezpečnostných riešení, | ||
| 141 | ** pre-financovanie aktualizácie inventarizácia aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej implementácii vyššie uvedených bezpečnostných riešení. | ||
| 142 | ** Pre-financovanie spracovania žiadosti o NFP. | ||
| 143 | |||
| 144 | |||
| 145 | |||
| 146 | Výsledkom projektu bude aktualizácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB (tzv. governance), zrealizovaná aktualizácia inventarizácie aktív, vytvorená prvotná klasifikácia aktív a kategorizácia IS, zrealizovaná AR/BIA a zavedený formalizovaný proces riadenia rizík. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely zberu a správy logov a bezpečnostného monitoringu. Zároveň projekt podporí aj oblasť BCM vytvorením BCM politiky a najmä zadefinovaním BCP a DRP plánov pre najkritickejšie systémy. | ||
| 147 | |||
| 148 | Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti a pracovníkmi útvaru IT. | ||
| 149 | |||
| 150 | |||
| 151 | |||
| 152 | Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí zdravotníckych zariadení s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. | ||
| 153 | |||
| 154 | |||
| 155 | |||
| 156 | Celková žiadaná výška ŽoNFP je 344 888 EUR. | ||
| 157 | |||
| 158 | |||
| 159 | |||
| 160 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2 Motivácia a rozsah projektu == | ||
| 161 | |||
| 162 | |||
| 163 | |||
| 164 | Hlavnou motiváciou projektu je zvýšenie úrovne KIB vo VOU KE, najmä pripravenosti čeliť interným a externým hrozbám v oblasti KIB. Na rozdiel od súčasného stavu bude VOU KE disponovať výrazne vyššími schopnosťami predchádzať bezpečnostným incidentom, resp. včas identifikovať prípadne incidenty a efektívne na reagovať. Technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát a zároveň budú nastavené procesy riadenia IB a KIB (tzv. Governance). | ||
| 165 | |||
| 166 | \\ | ||
| 167 | |||
| 168 | Medzi hlavné ciele systému riadenia KIB patria: | ||
| 169 | |||
| 170 | - zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie, | ||
| 171 | |||
| 172 | - monitorovanie prostredia, | ||
| 173 | |||
| 174 | - riadenie a povoľovanie prístupov len autorizovaným osobám. | ||
| 175 | |||
| 176 | \\ | ||
| 177 | |||
| 178 | Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s: | ||
| 179 | |||
| 180 | * naplnením povinností definovanými v zákone o KB a zákone o ITVS, najmä opatreniami definovanými v § 20 zákona o KB, | ||
| 181 | * nutnosťou zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na sústavne sa zvyšujúce bezpečnostné hrozby a riziká, | ||
| 182 | * nutnosťou reagovať na prípadné bezpečnostné incidenty, napr. ransomware útoky, ktoré sú v poslednej dobe značne rozšírené najmä v oblasti zdravotníctva, | ||
| 183 | * zabezpečením realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti, | ||
| 184 | * reakciou na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB, | ||
| 185 | * reakciou na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti. | ||
| 186 | |||
| 187 | \\ | ||
| 188 | |||
| 189 | Projekt rieši nasledovné špecifické problémy v oblasti KIB: | ||
| 190 | |||
| 191 | * Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov. | ||
| 192 | * Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií. | ||
| 193 | * Pravidelnú, povinnú aktualizáciu inventarizácie informačných aktív, klasifikácie a kategorizácie IS a sietí, analýzy rizík a analýzy dopadov aj so zapojením vlastníkov aktív a zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti. | ||
| 194 | * Absencia centrálneho zberu a manažmentu logov z jednotlivých systémov a ich vzájomnej korelácie. | ||
| 195 | * Chýbajúci bezpečnostný monitoring na včasné odhaľovanie prípadných bezpečnostných incidentov. | ||
| 196 | * Neefektívny proces reakcie na bezpečnostné incidenty. | ||
| 197 | |||
| 198 | __ __ | ||
| 199 | |||
| 200 | Chýbajú bezpečnostné funkcie a opatrenia najmä v oblasti: | ||
| 201 | |||
| 202 | * governance a riadenia procesov IB a KIB, | ||
| 203 | * bezpečnostného monitoringu, | ||
| 204 | * riadenia rizík, | ||
| 205 | * riadenie bezpečnosti prevádzky, | ||
| 206 | * riadenia prístupov, | ||
| 207 | * riadenia kontinuity činností a zálohovania. | ||
| 208 | |||
| 209 | \\ | ||
| 210 | |||
| 211 | Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti: | ||
| 212 | |||
| 213 | * konsolidácie logov a auditných záznamov, | ||
| 214 | * analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie, | ||
| 215 | * riešenie bezpečnostných incidentov, | ||
| 216 | * obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov. | ||
| 217 | |||
| 218 | \\ | ||
| 219 | |||
| 220 | **Informačné systémy v správe VOU KE podporujúce základnú službu:** | ||
| 221 | |||
| 222 | * NIS – nemocničný informačný systém | ||
| 223 | * PACS- úložisko obrazových snímok | ||
| 224 | |||
| 225 | Okrem toho VOU KE prevádzkuje aj nasledovné infraštruktúrne a podporné IS: | ||
| 226 | |||
| 227 | * DRG Asseco- klasifikačný a kategorizačný systém | ||
| 228 | * PaP – pacientska lekáreň | ||
| 229 | * Web | ||
| 230 | * AD | ||
| 231 | * Worklist server | ||
| 232 | * Kerio Firewall | ||
| 233 | * Eset Antivirus | ||
| 234 | * Navision | ||
| 235 | * Mail Server | ||
| 236 | * Hour | ||
| 237 | * Josephine | ||
| 238 | * UNIFI Switch-WIFI PRO | ||
| 239 | |||
| 240 | \\ | ||
| 241 | |||
| 242 | Počet používateľov je aktuálne 240 (vytvorených kont v AD), počet koncových zariadení je cca 210. Počet aplikačných a databázových serverov je 16. Používajú sa OS Linux a OS Windows. | ||
| 243 | |||
| 244 | Aktuálna AV ochrana Eset je na všetkých staniciach a všetkých serveroch aj s funkciou inspect. | ||
| 245 | |||
| 246 | Počet serverovní v prostredí VOU KE je 3 s 2 lokalitami, tzn., že v jednej lokalite jedna serverovňa v druhej lokalite dve serverovne. | ||
| 247 | |||
| 248 | Na perimetri siete je nasadený NGFW a sú nasadené aj ďalšie pasívne ochrany typu IDS/IPS a EDR. | ||
| 249 | |||
| 250 | \\ | ||
| 251 | |||
| 252 | __Implementácia projektu bude prebiehať v nasledovných krokoch:__ | ||
| 253 | |||
| 254 | __ __ | ||
| 255 | |||
| 256 | **__Hlavná aktivita: __Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti** | ||
| 257 | |||
| 258 | \\ | ||
| 259 | |||
| 260 | Jednotlivé pod-aktivity v rámci implementácie projektu: | ||
| 261 | |||
| 262 | * **Analýza a dizajn bude obsahovať:** | ||
| 263 | * konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení, | ||
| 264 | * identifikáciu a analýzu rolí, procesov a integrácii, | ||
| 265 | * funkčnú a nefunkčnú špecifikáciu celého riešenia. | ||
| 266 | |||
| 267 | \\ | ||
| 268 | |||
| 269 | * **Nákup HW a prípadne aj krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia**: | ||
| 270 | * SW vybavenia pre LMS. | ||
| 271 | * SW vybavenia pre SIEM. | ||
| 272 | * Potrebného HW vybavenia. | ||
| 273 | |||
| 274 | \\ | ||
| 275 | |||
| 276 | * **Implementácia bude obsahovať:** | ||
| 277 | * implementáciu a nastavenie jednotlivých technických služieb, | ||
| 278 | * implementácia bezpečnostných opatrení, | ||
| 279 | * implementácia proaktívnych a reaktívnych služieb, | ||
| 280 | * obvyklé testovanie celého riešenia popri implementácii, | ||
| 281 | * zladenie interných procesov riešenia bezpečnostných incidentov s pripravovanou dokumentáciou. | ||
| 282 | |||
| 283 | \\ | ||
| 284 | |||
| 285 | * **Testovanie obsahuje**: | ||
| 286 | * testovanie funkcionality riešenia, | ||
| 287 | * vulnerability testovanie, | ||
| 288 | * testovanie integrácii, | ||
| 289 | * pilotnú prevádzku, | ||
| 290 | * akceptačné testovanie. | ||
| 291 | |||
| 292 | \\ | ||
| 293 | |||
| 294 | * **Nasadenie obsahuje:** | ||
| 295 | * nasadenie riešenia do produkčného prostredia, zaškolenie pre celé riešenie | ||
| 296 | * prechod na plnú prevádzku. | ||
| 297 | |||
| 298 | \\ | ||
| 299 | |||
| 300 | * **Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu. | ||
| 301 | |||
| 302 | \\ | ||
| 303 | |||
| 304 | * **Podporná aktivita – Publicita a informovanosť** vzhľadom na povahu projektu obsahuje iba povinné položky, t. j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač | ||
| 305 | |||
| 306 | \\ | ||
| 307 | |||
| 308 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3 Zainteresované strany/Stakeholderi == | ||
| 309 | |||
| 310 | \\ | ||
| 311 | |||
| 312 | (% class="" %)|((( | ||
| 313 | ID | ||
| 314 | )))|((( | ||
| 315 | AKTÉR / STAKEHOLDER | ||
| 316 | )))|((( | ||
| 317 | SUBJEKT | ||
| 318 | |||
| 319 | (názov / skratka) | ||
| 320 | )))|((( | ||
| 321 | ROLA | ||
| 322 | |||
| 323 | (vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.) | ||
| 324 | )))|((( | ||
| 325 | Informačný systém | ||
| 326 | |||
| 327 | (MetaIS kód a názov ISVS) | ||
| 328 | ))) | ||
| 329 | (% class="" %)|((( | ||
| 330 | 1. | ||
| 331 | )))|((( | ||
| 332 | Východoslovenský onkologický ústav, a.s. | ||
| 333 | )))|((( | ||
| 334 | VOU KE | ||
| 335 | )))|((( | ||
| 336 | Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti | ||
| 337 | )))|((( | ||
| 338 | - | ||
| 339 | ))) | ||
| 340 | |||
| 341 | \\ | ||
| 342 | |||
| 343 | \\ | ||
| 344 | |||
| 345 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4 Ciele projektu == | ||
| 346 | |||
| 347 | |||
| 348 | |||
| 349 | |||
| 350 | |||
| 351 | (% class="" %)|((( | ||
| 352 | ID | ||
| 353 | )))|((( | ||
| 354 | |||
| 355 | |||
| 356 | |||
| 357 | |||
| 358 | Názov cieľa | ||
| 359 | )))|((( | ||
| 360 | Názov strategického cieľa | ||
| 361 | )))|((( | ||
| 362 | Spôsob realizácie strategického cieľa | ||
| 363 | ))) | ||
| 364 | (% class="" %)|((( | ||
| 365 | 1 | ||
| 366 | )))|((( | ||
| 367 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 368 | )))|((( | ||
| 369 | Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy. | ||
| 370 | )))|((( | ||
| 371 | Implementácia projektu | ||
| 372 | ))) | ||
| 373 | |||
| 374 | **~ ** | ||
| 375 | |||
| 376 | **~ ** | ||
| 377 | |||
| 378 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5 Merateľné ukazovatele (KPI) == | ||
| 379 | |||
| 380 | \\ | ||
| 381 | |||
| 382 | (% class="" %)|((( | ||
| 383 | ID | ||
| 384 | )))|((( | ||
| 385 | |||
| 386 | |||
| 387 | |||
| 388 | |||
| 389 | ID/Názov cieľa | ||
| 390 | )))|((( | ||
| 391 | Názov | ||
| 392 | ukazovateľa (KPI) | ||
| 393 | )))|((( | ||
| 394 | Merná jednotka | ||
| 395 | \\ | ||
| 396 | )))|((( | ||
| 397 | Čas plnenia | ||
| 398 | |||
| 399 | merateľného | ||
| 400 | |||
| 401 | ukazovateľa projektu | ||
| 402 | )))|((( | ||
| 403 | závislosti | ||
| 404 | |||
| 405 | merateľného | ||
| 406 | |||
| 407 | ukazovateľa | ||
| 408 | |||
| 409 | projektu) | ||
| 410 | )))|((( | ||
| 411 | Príznak rizika | ||
| 412 | )))|((( | ||
| 413 | Relevancia | ||
| 414 | |||
| 415 | k HP | ||
| 416 | ))) | ||
| 417 | (% class="" %)|((( | ||
| 418 | VÝSTUP | ||
| 419 | |||
| 420 | PO095 / PSKPSOI12 | ||
| 421 | )))|((( | ||
| 422 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 423 | )))|((( | ||
| 424 | Verejné inštitúcie podporované v | ||
| 425 | |||
| 426 | rozvoji kybernetických služieb, | ||
| 427 | |||
| 428 | produktov a procesov | ||
| 429 | )))|((( | ||
| 430 | verejné inštitúcie | ||
| 431 | )))|((( | ||
| 432 | ku koncu realizácie | ||
| 433 | |||
| 434 | hlavných aktivít | ||
| 435 | |||
| 436 | projektu | ||
| 437 | )))|((( | ||
| 438 | 1 | ||
| 439 | )))|((( | ||
| 440 | nie | ||
| 441 | )))|((( | ||
| 442 | n/a | ||
| 443 | ))) | ||
| 444 | (% class="" %)|((( | ||
| 445 | VÝSLEDOK | ||
| 446 | |||
| 447 | PR017 / PSKPRCR11 | ||
| 448 | )))|((( | ||
| 449 | RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy | ||
| 450 | )))|((( | ||
| 451 | Používatelia nových a vylepšených | ||
| 452 | |||
| 453 | verejných digitálnych služieb, | ||
| 454 | |||
| 455 | produktov a procesov | ||
| 456 | )))|((( | ||
| 457 | Používatelia/rok | ||
| 458 | )))|((( | ||
| 459 | v rámci udržateľnosti | ||
| 460 | |||
| 461 | projektu | ||
| 462 | )))|((( | ||
| 463 | 200 | ||
| 464 | )))|((( | ||
| 465 | nie | ||
| 466 | )))|((( | ||
| 467 | n/a | ||
| 468 | ))) | ||
| 469 | |||
| 470 | |||
| 471 | |||
| 472 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6 Riziká a závislosti == | ||
| 473 | |||
| 474 | |||
| 475 | |||
| 476 | Riziká sa nachádzajú v samostatnej prílohe. | ||
| 477 | |||
| 478 | |||
| 479 | |||
| 480 | |||
| 481 | |||
| 482 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7 Stanovenie alternatív v biznisovej vrstve architektúry == | ||
| 483 | |||
| 484 | |||
| 485 | |||
| 486 | V rámci biznis architektúry sú popísané služby, ktoré by v zmysle §20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v §20 zákona o KB, resp. zefektívnia sa existujúce postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami. | ||
| 487 | |||
| 488 | Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne: | ||
| 489 | |||
| 490 | * zvýšením úrovne governance a vyspelosti procesov riadenia KIB, | ||
| 491 | * zvýšením ochrany pred útokmi z externého, ale aj interného prostredia, | ||
| 492 | * zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty, | ||
| 493 | * zvýšením úrovne ochrany dát, dátových prenosov a komunikácie, | ||
| 494 | * zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov. | ||
| 495 | |||
| 496 | Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany. | ||
| 497 | |||
| 498 | \\ | ||
| 499 | |||
| 500 | __Alternatívy riešenia sú nasledovné__: | ||
| 501 | |||
| 502 | **Alternatíva 1:** realizácia KIB** **v rámci tohto projektu. | ||
| 503 | |||
| 504 | **Alternatíva 2:** ponechanie realizácie bezpečnostných opatrení a rozvoja KIB v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení. | ||
| 505 | |||
| 506 | \\ | ||
| 507 | |||
| 508 | Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy: | ||
| 509 | |||
| 510 | * Riadenie aktív a riadenie rizík. | ||
| 511 | ** Proces evidencie a správy aktív. | ||
| 512 | ** Proces klasifikácie informácií a kategorizácie IS a sietí. | ||
| 513 | ** Proces realizácie AR/BIA. | ||
| 514 | ** Proces rozhodovania ohľadom riadenia identifikovaných rizík. | ||
| 515 | * Riadenie kontinuity činností. | ||
| 516 | ** Proces riadenia kontinuity činností a obnovy. | ||
| 517 | ** Proces zálohovania. | ||
| 518 | * Zaznamenávanie udalostí a monitorovanie. | ||
| 519 | ** Proces zberu, ukladania a riadenia logov. | ||
| 520 | ** Proces bezpečnostného monitoringu koncových staníc. | ||
| 521 | ** Proces bezpečnostného monitoringu systémov a dátových úložísk. | ||
| 522 | ** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry. | ||
| 523 | ** Proces bezpečnostného monitoringu aktivít používateľov. | ||
| 524 | ** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov. | ||
| 525 | ** Proces vyhodnocovania udalostí a identifikácie bezpečnostných incidentov. | ||
| 526 | * Riešenie bezpečnostných incidentov. | ||
| 527 | ** Proces riešenia kybernetických bezpečnostných incidentov. | ||
| 528 | |||
| 529 | \\ | ||
| 530 | |||
| 531 | Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti: | ||
| 532 | |||
| 533 | * governance KIB a bezpečnostná dokumentácia, | ||
| 534 | * vytvorenie úvodnej GAP analýzy voči požiadavkám aktuálnej legislatívy, najmä zákon o KB, | ||
| 535 | * zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia. | ||
| 536 | |||
| 537 | |||
| 538 | |||
| 539 | V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu) a z aktuálne dostupnými technickými prostriedkami a ľudskými zdrojmi by VOU KE bola schopná zrealizovať a do praxe implementovať len nasledovné biznis funkcie: | ||
| 540 | |||
| 541 | * Riadenie aktív a riadenie rizík. | ||
| 542 | |||
| 543 | \\ | ||
| 544 | |||
| 545 | Implementácia len týchto biznis funkcií je z pohľadu zabezpečenia ochrany informačných aktív VOU KE a naplnenia legislatívnych požiadaviek absolútne nepostačujúca. | ||
| 546 | |||
| 547 | \\ | ||
| 548 | |||
| 549 | \\ | ||
| 550 | |||
| 551 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8 Multikriteriálna analýza == | ||
| 552 | |||
| 553 | |||
| 554 | |||
| 555 | |||
| 556 | |||
| 557 | (% class="" %)|((( | ||
| 558 | **// //** | ||
| 559 | )))|((( | ||
| 560 | KRITÉRIUM | ||
| 561 | )))|((( | ||
| 562 | ZDÔVODNENIE KRIÉRIA | ||
| 563 | )))|((( | ||
| 564 | MIRRI (výzva) | ||
| 565 | )))|((( | ||
| 566 | Organizácia | ||
| 567 | )))|((( | ||
| 568 | STAKEHOLDER | ||
| 569 | |||
| 570 | 3 | ||
| 571 | ))) | ||
| 572 | (% class="" %)|(% rowspan="6" %)((( | ||
| 573 | BIZNIS VRSTVA | ||
| 574 | |||
| 575 | // // | ||
| 576 | )))|((( | ||
| 577 | A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením. | ||
| 578 | )))|((( | ||
| 579 | Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie | ||
| 580 | )))|((( | ||
| 581 | áno | ||
| 582 | )))|((( | ||
| 583 | áno | ||
| 584 | )))|((( | ||
| 585 | \\ | ||
| 586 | ))) | ||
| 587 | (% class="" %)|((( | ||
| 588 | B Rýchlosť implementácie. | ||
| 589 | )))|((( | ||
| 590 | Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr | ||
| 591 | )))|((( | ||
| 592 | áno | ||
| 593 | )))|((( | ||
| 594 | nie | ||
| 595 | )))|((( | ||
| 596 | \\ | ||
| 597 | ))) | ||
| 598 | (% class="" %)|((( | ||
| 599 | C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času | ||
| 600 | )))|((( | ||
| 601 | Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje | ||
| 602 | )))|((( | ||
| 603 | áno | ||
| 604 | )))|((( | ||
| 605 | nie | ||
| 606 | )))|((( | ||
| 607 | \\ | ||
| 608 | ))) | ||
| 609 | (% class="" %)|((( | ||
| 610 | Kritérium D (KO) | ||
| 611 | )))|((( | ||
| 612 | |||
| 613 | )))|((( | ||
| 614 | \\ | ||
| 615 | )))|((( | ||
| 616 | \\ | ||
| 617 | )))|((( | ||
| 618 | \\ | ||
| 619 | ))) | ||
| 620 | (% class="" %)|((( | ||
| 621 | Kritérium E | ||
| 622 | )))|((( | ||
| 623 | |||
| 624 | )))|((( | ||
| 625 | \\ | ||
| 626 | )))|((( | ||
| 627 | \\ | ||
| 628 | )))|((( | ||
| 629 | \\ | ||
| 630 | ))) | ||
| 631 | (% class="" %)|((( | ||
| 632 | Kritérium F | ||
| 633 | )))|((( | ||
| 634 | |||
| 635 | )))|((( | ||
| 636 | \\ | ||
| 637 | )))|((( | ||
| 638 | \\ | ||
| 639 | )))|((( | ||
| 640 | \\ | ||
| 641 | ))) | ||
| 642 | |||
| 643 | |||
| 644 | |||
| 645 | \\ | ||
| 646 | |||
| 647 | (% class="" %)|((( | ||
| 648 | Zoznam kritérií | ||
| 649 | )))|((( | ||
| 650 | Alternatíva | ||
| 651 | |||
| 652 | 1 | ||
| 653 | )))|((( | ||
| 654 | Spôsob | ||
| 655 | |||
| 656 | dosiahnutia | ||
| 657 | )))|((( | ||
| 658 | Alternatíva 2 | ||
| 659 | )))|((( | ||
| 660 | Spôsob | ||
| 661 | |||
| 662 | dosiahnutia | ||
| 663 | ))) | ||
| 664 | (% class="" %)|((( | ||
| 665 | Kritérium A | ||
| 666 | )))|((( | ||
| 667 | áno | ||
| 668 | )))|((( | ||
| 669 | Projekt zavádza procesy Governance v oblasti KIB | ||
| 670 | )))|((( | ||
| 671 | čiastočne | ||
| 672 | )))|((( | ||
| 673 | |||
| 674 | ))) | ||
| 675 | (% class="" %)|((( | ||
| 676 | Kritérium B | ||
| 677 | )))|((( | ||
| 678 | áno | ||
| 679 | )))|((( | ||
| 680 | Realizácia výzvy je najrýchlejšou možnosťou implementácie | ||
| 681 | )))|((( | ||
| 682 | nie | ||
| 683 | )))|((( | ||
| 684 | |||
| 685 | ))) | ||
| 686 | (% class="" %)|((( | ||
| 687 | Kritérium C | ||
| 688 | )))|((( | ||
| 689 | áno | ||
| 690 | )))|((( | ||
| 691 | Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje | ||
| 692 | )))|((( | ||
| 693 | nie | ||
| 694 | )))|((( | ||
| 695 | |||
| 696 | ))) | ||
| 697 | (% class="" %)|((( | ||
| 698 | Kritérium D | ||
| 699 | )))|((( | ||
| 700 | |||
| 701 | )))|((( | ||
| 702 | |||
| 703 | )))|((( | ||
| 704 | |||
| 705 | )))|((( | ||
| 706 | |||
| 707 | ))) | ||
| 708 | |||
| 709 | |||
| 710 | |||
| 711 | Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu. | ||
| 712 | |||
| 713 | // // | ||
| 714 | |||
| 715 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9 Stanovenie alternatív v aplikačnej vrstve architektúry == | ||
| 716 | |||
| 717 | Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti Organizácie. | ||
| 718 | |||
| 719 | |||
| 720 | |||
| 721 | Z pohľadu aplikačnej vrstvy architektúry je účelom projektu: | ||
| 722 | |||
| 723 | * implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia, | ||
| 724 | * budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov. | ||
| 725 | |||
| 726 | |||
| 727 | |||
| 728 | **Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:** | ||
| 729 | |||
| 730 | * vytváranie bezpečnostného povedomia, | ||
| 731 | * vzdelávanie zamestnancov a správcov IS v oblasti kybernetickej bezpečnosti, | ||
| 732 | * technologický dozor, | ||
| 733 | * vykonávanie bezpečnostných auditov, | ||
| 734 | * riadenie identít a prístupov, | ||
| 735 | * vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia. | ||
| 736 | |||
| 737 | |||
| 738 | |||
| 739 | **Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:** | ||
| 740 | |||
| 741 | * detekcia kybernetických bezpečnostných incidentov, | ||
| 742 | * analýza kybernetických bezpečnostných incidentov, | ||
| 743 | * odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov, | ||
| 744 | * reakcia na kybernetický bezpečnostný incident, podpora a koordinácia činnosti v rámci riešenia incidentov, | ||
| 745 | * obnova systémov a dát zo záloh, | ||
| 746 | * návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov. | ||
| 747 | |||
| 748 | |||
| 749 | |||
| 750 | Aplikačná architektúra v rámci tohto projektu bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi: | ||
| 751 | |||
| 752 | * Zaznamenávanie udalostí a monitorovanie. | ||
| 753 | ** Proces zberu, ukladania a riadenia logov. | ||
| 754 | ** Proces bezpečnostného monitoringu. | ||
| 755 | ** Proces vyhodnocovania udalostí a identifikácie bezpečnostných incidentov. | ||
| 756 | |||
| 757 | |||
| 758 | |||
| 759 | == {{id name="projekt_2787_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10 Stanovenie alternatív v technologickej vrstve architektúry == | ||
| 760 | |||
| 761 | Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek. | ||
| 762 | |||
| 763 | // // | ||
| 764 | |||
| 765 | = {{id name="projekt_2787_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) = | ||
| 766 | |||
| 767 | |||
| 768 | |||
| 769 | (% class="" %)|((( | ||
| 770 | **ID** | ||
| 771 | )))|((( | ||
| 772 | **Aktivita/prevádzková dokumentácia (výstup)** | ||
| 773 | )))|((( | ||
| 774 | **Poznámka** | ||
| 775 | ))) | ||
| 776 | (% class="" %)|((( | ||
| 777 | 1.1 | ||
| 778 | )))|((( | ||
| 779 | Vytvorenie smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti | ||
| 780 | )))|((( | ||
| 781 | Výstupom aktivity budú nasledovné smernice a dokumenty, najmä vo väzbe na implementované technické bezpečnostné riešenia uvedené nižšie: | ||
| 782 | |||
| 783 | · Stratégia kybernetickej bezpečnosti. | ||
| 784 | |||
| 785 | · Bezpečnostná politika. | ||
| 786 | |||
| 787 | · Bezpečnostná smernica pre používateľov. | ||
| 788 | |||
| 789 | · Smernica riadenia prístupových práv. | ||
| 790 | |||
| 791 | · Smernica o bezpečnej prevádzke IS pre administrátorov. | ||
| 792 | |||
| 793 | · Smernica pre riadenie informačnej bezpečnosti. | ||
| 794 | |||
| 795 | · Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam VOU KE. | ||
| 796 | |||
| 797 | · Smernica klasifikácie a kategorizácie IS a sietí. | ||
| 798 | |||
| 799 | · Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS. | ||
| 800 | |||
| 801 | · BCM politika. | ||
| 802 | ))) | ||
| 803 | (% class="" %)|((( | ||
| 804 | 1.2 | ||
| 805 | )))|((( | ||
| 806 | GAP analýza súladu s legislatívnymi požiadavkami a pripravovanou legislatívou v súvislosti s NIS2 | ||
| 807 | )))|((( | ||
| 808 | Spracovanie úvodnej GAP analýzy voči požiadavkám aktuálnej legislatívy, najmä zákon o KB a vyhlášky č. 362/2018 Z. z. a pripravovanej legislatívy v súlade s NIS2 za účelom identifikácie všetkých opatrení, ktoré bude musieť VOU KE implementovať v budúcnosti mimo rámca tohto projektu, aj vo väzbe na opatrenia pokryté týmto projektom. | ||
| 809 | ))) | ||
| 810 | (% class="" %)|((( | ||
| 811 | 1.3 | ||
| 812 | )))|((( | ||
| 813 | Aktualizácia inventarizácie aktív a vykonanie klasifikácie, kategorizácie a AR/BIA | ||
| 814 | )))|((( | ||
| 815 | Vykonanie povinnej a pravidelnej (raz ročne) aktualizácie inventarizácie aktív, klasifikácie aktív, kategorizácie IS a sietí a analýzy rizík a analýzy dopadov (AR/BIA) aj so zapojením vlastníkov aktív. Súčasťou analýzy bude aj určenie RTO a RPO parametrov vlastníkmi aktív. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením VOU KE. | ||
| 816 | |||
| 817 | |||
| 818 | ))) | ||
| 819 | (% class="" %)|((( | ||
| 820 | 1.4 | ||
| 821 | )))|((( | ||
| 822 | Vypracovanie kontinuity činností v zmysle ZoKB | ||
| 823 | )))|((( | ||
| 824 | Predmetom tejto aktivity bude zadefinovanie stratégie obnovy pre jednotlivé IS a plánu zálohovania pre jednotlivé IS a dáta a následne vytvorenie BCP a DRP plánov. | ||
| 825 | |||
| 826 | Výsledkom bude najmä: | ||
| 827 | |||
| 828 | · Definovanie stratégie obnovy (na základe výsledkov RTO určených vlastníkmi aktív v aktivite 1.3). | ||
| 829 | |||
| 830 | · Plán zálohovania (na základe výsledkov RPO určených vlastníkmi aktív v aktivite 1.3) a smernica ohľadom postupov zálohovania. | ||
| 831 | |||
| 832 | · Vytvorenie BCP plánov pre najkritickejšie procesy (rádovo do 6 plánov). | ||
| 833 | |||
| 834 | · Vytvorenie DRP pre najkritickejšie IS a zariadenia (rádovo do 8 plánov). | ||
| 835 | |||
| 836 | Kontinuita činností musí okrem iného zadefinovať scenáre rôznych udalostí, ktoré potencionálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad: | ||
| 837 | |||
| 838 | · náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy, | ||
| 839 | |||
| 840 | · nedostupnosť technologickej infraštruktúry či potrebných médií, | ||
| 841 | |||
| 842 | · incident či živelná katastrofa. | ||
| 843 | |||
| 844 | V rámci kontinuity činností musia byť stanovené požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností. V zmysle požiadaviek zákona o kybernetickej bezpečnosti sa musí určiť čo má byť hlavným cieľom plánu kontinuity s ohľadom na riadenie incidentov v prípade katastrofy alebo iného rušivého incidentu a ako sa obnovia činnosti v stanovených termínoch. | ||
| 845 | |||
| 846 | Kontinuitou musia byť zavedené postupy zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu obsahujúce najmenej: | ||
| 847 | |||
| 848 | · frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh, | ||
| 849 | |||
| 850 | · určenie osoby zodpovednej za zálohovanie, | ||
| 851 | |||
| 852 | · časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní, | ||
| 853 | |||
| 854 | · umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom, | ||
| 855 | |||
| 856 | · zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené, | ||
| 857 | |||
| 858 | · vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne. | ||
| 859 | ))) | ||
| 860 | (% class="" %)|((( | ||
| 861 | 2.1 | ||
| 862 | )))|((( | ||
| 863 | Implementácia LMS | ||
| 864 | )))|((( | ||
| 865 | Nasadenie Log manažment systému (LMS) za účelom agentského aj bez-agentského zberu logov zo systémov VOU KE, aplikácií a sieťových prvkov pre následné nasadenie Security Incident and Event Management (SIEM) systému. | ||
| 866 | |||
| 867 | LMS bude poskytovať dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 6 mesiacov. Predpokladaná kapacita pre uloženie logov je 10 TB. Predpokladaný počet EPS je 500. Počet účtov v AD je cca 240. | ||
| 868 | |||
| 869 | Súčasťou nasadenia LMS bude aj vykonanie komplexnej konsolidácie všetkých logov pre efektívne a spoľahlivé fungovanie SIEM vrátane nasledovných činností: | ||
| 870 | |||
| 871 | · zmapovania súčasných logov, | ||
| 872 | |||
| 873 | · analýza a návrh spôsobu zaznamenávania logov a auditných udalostí, | ||
| 874 | |||
| 875 | · analýza ich centrálneho zberu a zhromažďovania, ukladania, uchovávania, rotácie, | ||
| 876 | |||
| 877 | · poskytovanie analýz a reportovanie počas pilotnej fázy projektu, | ||
| 878 | |||
| 879 | · parsovanie logov – pre definované OS, sieťové zariadenia, aplikácie a pod., | ||
| 880 | |||
| 881 | · nasadenie prípadných agentov na zbieranie logov pre vybrané operačné systémy. | ||
| 882 | |||
| 883 | Súčasťou implementácie LMS budú aj analytické, integračné a konfiguračné práce na napojení, zasielaní logov z LMS do SIEM. | ||
| 884 | ))) | ||
| 885 | (% class="" %)|((( | ||
| 886 | 2.2 | ||
| 887 | )))|((( | ||
| 888 | Implementácia SIEM | ||
| 889 | )))|((( | ||
| 890 | V rámci bezpečnostného monitoringu ide o dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie systému bezpečnostného monitoringu (SIEM) pre účely agentského aj bez-agentského zberu logov zo systémov VOU KE, vrátane zaškolenia administrátora VOU KE. | ||
| 891 | |||
| 892 | Systém pre bezpečnostný monitoring (SIEM) bude poskytovať konfigurovateľnú funkcionalitu detekcie hrozieb a reakcie na bezpečnostné incidenty pomocou „real time“ vyhodnocovania a korelácie logov z LMS systému pre širokú škálu hrozieb a útokov. SIEM bude poskytovať možnosť monitorovať virtuálne, ale aj fyzické systémy infraštruktúry. SIEM bude monitorovať a korelovať všetky typy logovaných udalostí, vrátane rôznych OS (Windows, Unix) a zariadení (IDS/IPS, FW a pod.). | ||
| 893 | |||
| 894 | Tento systém bude poskytovať najmä nasledovnú funkcionalitu: | ||
| 895 | |||
| 896 | · XDR (Extended detection and response), | ||
| 897 | |||
| 898 | · ABA (Attacker Behavior Analytics), | ||
| 899 | |||
| 900 | · UBA (User Behavior Analytics), | ||
| 901 | |||
| 902 | · NTA (Network Traffic Analysis), | ||
| 903 | |||
| 904 | · FAAM (File Access Activity Monitoring), | ||
| 905 | |||
| 906 | · FIM (File Integrity Monitoring), | ||
| 907 | |||
| 908 | · Deception Technology (Honey Pots/User/File/Credential) | ||
| 909 | |||
| 910 | pre zabezpečenie komplexného monitoringu a možnosti vyhodnocovania bezpečnostných udalostí. | ||
| 911 | |||
| 912 | Je nevyhnutné, aby monitorovací systém bol úplne nezávislý od použitej sieťovej infraštruktúry a neovplyvňoval monitorovanú sieť, systémy a zariadenia v ich funkcii. Monitorovací systém nesmie byť zistiteľný z monitorovanej siete. Systém musí podporovať infraštruktúru typu: IPv4, IPv6, VLAN, MPLS, Ethernet 10 Mb/s až 100 Gb/s. Riešenie bude centrálne spravované a konfigurované z centrálnej jednotky a poskytne centrálny prehľad o analýze tokov, upozorneniach a hláseniach. Riešenie bude nezávislé od existujúcej sieťovej infraštruktúry (optická alebo metalická dátová kabeláž) a použitých aktívnych prvkov (typ alebo výrobca). Systém musí umožniť detekciu na základe správania a reputácie, rýchlu reakciu na identifikované incidenty, automatické prerušenie pokročilých kybernetických útokov na úrovni jednotlivých zariadení, pokročilú analytiku a automatizáciu, prioritizáciu incidentov a pod. | ||
| 913 | ))) | ||
| 914 | (% class="" %)|((( | ||
| 915 | 3.1 | ||
| 916 | )))|((( | ||
| 917 | Audit KB | ||
| 918 | )))|((( | ||
| 919 | Pre-financovanie auditu kybernetickej bezpečnosti v zmysle §29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý bude zrealizovaný tesne pred ukončením projektu. | ||
| 920 | ))) | ||
| 921 | (% class="" %)|((( | ||
| 922 | 3.2 | ||
| 923 | )))|((( | ||
| 924 | Aktualizácia AR/BIA | ||
| 925 | )))|((( | ||
| 926 | Vzhľadom na odhadované trvanie projektu viac ako 1 rok, a značné zmeny, ktoré implementácie projektu prinesie, je žiadúce tesne pred ukončením projektu vykonať aj aktualizáciu AR/BIA. Prvotná AR/BIA bude zrealizovaná hneď na začiatku projektu (aktivita 1.3). | ||
| 927 | ))) | ||
| 928 | |||
| 929 | |||
| 930 | |||
| 931 | = {{id name="projekt_2787_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4. NÁHĽAD ARCHITEKTÚRY = | ||
| 932 | |||
| 933 | |||
| 934 | |||
| 935 | Náhľad architektúry sa nachádza v dokumente Prístup k projektu. | ||
| 936 | |||
| 937 | |||
| 938 | |||
| 939 | = {{id name="projekt_2787_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY = | ||
| 940 | |||
| 941 | |||
| 942 | |||
| 943 | Prínosy projektu sú vypočítané na základe zákona č. 69/2018 Z. z., kde zákonodarca priamo v §31 ods. 2, písm. C ohodnotil pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR. | ||
| 944 | |||
| 945 | |||
| 946 | |||
| 947 | Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie Governance kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál). | ||
| 948 | |||
| 949 | Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom. | ||
| 950 | |||
| 951 | |||
| 952 | |||
| 953 | == {{id name="projekt_2787_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1 Sumarizácia nákladov a prínosov == | ||
| 954 | |||
| 955 | |||
| 956 | |||
| 957 | (% class="" %)|((( | ||
| 958 | Náklady | ||
| 959 | )))|((( | ||
| 960 | Názov modulu | ||
| 961 | ))) | ||
| 962 | (% class="" %)|((( | ||
| 963 | **Všeobecný materiál** | ||
| 964 | )))|((( | ||
| 965 | LMS/SIEM | ||
| 966 | ))) | ||
| 967 | (% class="" %)|((( | ||
| 968 | **IT - CAPEX** | ||
| 969 | )))|((( | ||
| 970 | 238 000 EUR | ||
| 971 | ))) | ||
| 972 | (% class="" %)|((( | ||
| 973 | Aplikácie | ||
| 974 | )))|((( | ||
| 975 | \\ | ||
| 976 | ))) | ||
| 977 | (% class="" %)|((( | ||
| 978 | SW | ||
| 979 | )))|((( | ||
| 980 | \\ | ||
| 981 | ))) | ||
| 982 | (% class="" %)|((( | ||
| 983 | HW | ||
| 984 | )))|((( | ||
| 985 | \\ | ||
| 986 | ))) | ||
| 987 | (% class="" %)|((( | ||
| 988 | **IT - OPEX- prevádzka** | ||
| 989 | )))|((( | ||
| 990 | 16500 EUR | ||
| 991 | ))) | ||
| 992 | (% class="" %)|((( | ||
| 993 | Aplikácie | ||
| 994 | )))|((( | ||
| 995 | \\ | ||
| 996 | ))) | ||
| 997 | (% class="" %)|((( | ||
| 998 | SW | ||
| 999 | )))|((( | ||
| 1000 | \\ | ||
| 1001 | ))) | ||
| 1002 | (% class="" %)|((( | ||
| 1003 | HW | ||
| 1004 | )))|((( | ||
| 1005 | \\ | ||
| 1006 | ))) | ||
| 1007 | |||
| 1008 | |||
| 1009 | |||
| 1010 | = {{id name="projekt_2787_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA = | ||
| 1011 | |||
| 1012 | |||
| 1013 | |||
| 1014 | |||
| 1015 | |||
| 1016 | (% class="" %)|((( | ||
| 1017 | ID | ||
| 1018 | )))|((( | ||
| 1019 | FÁZA/AKTIVITA | ||
| 1020 | )))|((( | ||
| 1021 | ZAČIATOK | ||
| 1022 | |||
| 1023 | (odhad termínu) | ||
| 1024 | )))|((( | ||
| 1025 | KONIEC | ||
| 1026 | |||
| 1027 | (odhad termínu) | ||
| 1028 | ))) | ||
| 1029 | (% class="" %)|((( | ||
| 1030 | 1. | ||
| 1031 | )))|((( | ||
| 1032 | Prípravná fáza a Iniciačná fáza | ||
| 1033 | )))|((( | ||
| 1034 | 06/2024 | ||
| 1035 | )))|((( | ||
| 1036 | 11/2024 | ||
| 1037 | ))) | ||
| 1038 | (% class="" %)|((( | ||
| 1039 | 2. | ||
| 1040 | )))|((( | ||
| 1041 | Realizačná fáza | ||
| 1042 | )))|((( | ||
| 1043 | 12/2024 | ||
| 1044 | )))|((( | ||
| 1045 | 02/2026 | ||
| 1046 | ))) | ||
| 1047 | (% class="" %)|((( | ||
| 1048 | 2a | ||
| 1049 | )))|((( | ||
| 1050 | Analýza a Dizajn | ||
| 1051 | )))|((( | ||
| 1052 | 12/2024 | ||
| 1053 | )))|((( | ||
| 1054 | 05/2025 | ||
| 1055 | ))) | ||
| 1056 | (% class="" %)|((( | ||
| 1057 | 2b | ||
| 1058 | )))|((( | ||
| 1059 | Nákup technických prostriedkov, programových prostriedkov a služieb | ||
| 1060 | )))|((( | ||
| 1061 | 02/2025 | ||
| 1062 | )))|((( | ||
| 1063 | 07/2025 | ||
| 1064 | ))) | ||
| 1065 | (% class="" %)|((( | ||
| 1066 | 2c | ||
| 1067 | )))|((( | ||
| 1068 | Implementácia a testovanie | ||
| 1069 | )))|((( | ||
| 1070 | 06/2025 | ||
| 1071 | )))|((( | ||
| 1072 | 01/2026 | ||
| 1073 | ))) | ||
| 1074 | (% class="" %)|((( | ||
| 1075 | 2d | ||
| 1076 | )))|((( | ||
| 1077 | Nasadenie | ||
| 1078 | )))|((( | ||
| 1079 | 12/2025 | ||
| 1080 | )))|((( | ||
| 1081 | 01/2026 | ||
| 1082 | ))) | ||
| 1083 | (% class="" %)|((( | ||
| 1084 | 3. | ||
| 1085 | )))|((( | ||
| 1086 | Dokončovacia fáza | ||
| 1087 | )))|((( | ||
| 1088 | 03/2026 | ||
| 1089 | )))|((( | ||
| 1090 | 04/2026 | ||
| 1091 | ))) | ||
| 1092 | (% class="" %)|((( | ||
| 1093 | 4. | ||
| 1094 | )))|((( | ||
| 1095 | Podpora prevádzky (SLA) | ||
| 1096 | )))|((( | ||
| 1097 | 05/2026 | ||
| 1098 | )))|((( | ||
| 1099 | 05/2030 | ||
| 1100 | ))) | ||
| 1101 | |||
| 1102 | \\ | ||
| 1103 | |||
| 1104 | , | ||
| 1105 | |||
| 1106 | // // | ||
| 1107 | |||
| 1108 | // // | ||
| 1109 | |||
| 1110 | \\ | ||
| 1111 | |||
| 1112 | = {{id name="projekt_2787_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM = | ||
| 1113 | |||
| 1114 | |||
| 1115 | |||
| 1116 | Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení: | ||
| 1117 | |||
| 1118 | Predseda RV | ||
| 1119 | |||
| 1120 | Biznis vlastník | ||
| 1121 | |||
| 1122 | Zástupca prevádzky | ||
| 1123 | |||
| 1124 | Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen) | ||
| 1125 | |||
| 1126 | Projektový manažér objednávateľa (PM) | ||
| 1127 | |||
| 1128 | \\ | ||
| 1129 | |||
| 1130 | \\ | ||
| 1131 | |||
| 1132 | \\ | ||
| 1133 | |||
| 1134 | (% class="" %)|((( | ||
| 1135 | ID | ||
| 1136 | )))|((( | ||
| 1137 | Meno a Priezvisko | ||
| 1138 | )))|((( | ||
| 1139 | Pozícia | ||
| 1140 | )))|((( | ||
| 1141 | Oddelenie | ||
| 1142 | )))|((( | ||
| 1143 | Rola v projekte | ||
| 1144 | ))) | ||
| 1145 | (% class="" %)|((( | ||
| 1146 | 1. | ||
| 1147 | )))|((( | ||
| 1148 | František Andrus | ||
| 1149 | )))|((( | ||
| 1150 | odborný zamestnanec | ||
| 1151 | )))|((( | ||
| 1152 | \\ | ||
| 1153 | )))|((( | ||
| 1154 | Projektový manažér | ||
| 1155 | ))) | ||
| 1156 | |||
| 1157 | \\ | ||
| 1158 | |||
| 1159 | == {{id name="projekt_2787_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1 PRACOVNÉ NÁPLNE == | ||
| 1160 | |||
| 1161 | |||
| 1162 | |||
| 1163 | __Riadiaci výbor projektu budú tvoriť:__ | ||
| 1164 | |||
| 1165 | Členovia Riadiaceho výboru s hlasovacím právom: | ||
| 1166 | |||
| 1167 | * predseda Riadiaceho výboru projektu | ||
| 1168 | * manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV, | ||
| 1169 | * zástupca prevádzky | ||
| 1170 | |||
| 1171 | \\ | ||
| 1172 | |||
| 1173 | Členovia Riadiaceho výboru bez hlasovacieho práva: | ||
| 1174 | |||
| 1175 | * projektový manažér prijímateľa | ||
| 1176 | * projektový manažér dodávateľa | ||
| 1177 | * zástupca dodávateľa | ||
| 1178 | |||
| 1179 | \\ | ||
| 1180 | |||
| 1181 | Určenie zodpovednosti členov Riadiaceho výboru | ||
| 1182 | |||
| 1183 | Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je: | ||
| 1184 | |||
| 1185 | * celkovo zodpovedať za projekt, | ||
| 1186 | * kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi, | ||
| 1187 | * zabezpečiť a udržať finančné a personálne krytie realizácie projektu, | ||
| 1188 | * zabezpečiť nákladovo prijateľný prístup v projekte, | ||
| 1189 | |||
| 1190 | Hlavným záujmom a zodpovednosťou biznis vlastníka je: | ||
| 1191 | |||
| 1192 | * schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, | ||
| 1193 | * definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na | ||
| 1194 | * bezpečnosť, | ||
| 1195 | * definovanie merateľných výkonnostných ukazovateľov projektov a prvkov, | ||
| 1196 | * schválenie akceptačných kritérií, | ||
| 1197 | * odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky, | ||
| 1198 | * dostupnosť ľudských zdrojov alokovaných na realizáciu projektu | ||
| 1199 | |||
| 1200 | Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je: | ||
| 1201 | |||
| 1202 | * návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov, | ||
| 1203 | * zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch, | ||
| 1204 | |||
| 1205 | . | ||
| 1206 | |||
| 1207 | = {{id name="projekt_2787_Projektovy_zamer_detailny-8.Legislatíva"/}}8. Legislatíva = | ||
| 1208 | |||
| 1209 | V rámci platnej legislatívy nie je nutná zmeny legislatívy. | ||
| 1210 | |||
| 1211 | |||
| 1212 | |||
| 1213 | Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou, najmä s: | ||
| 1214 | |||
| 1215 | |||
| 1216 | |||
| 1217 | Zákonom č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, | ||
| 1218 | |||
| 1219 | Zákonom č.95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, | ||
| 1220 | |||
| 1221 | Vyhláškou č.401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy, | ||
| 1222 | |||
| 1223 | Vyhláškou č.78/2020 Z. z. o štandardoch pre ITVS, | ||
| 1224 | |||
| 1225 | Vyhláškou č.179/2020 Z. z. o obsahu bezpečnostných opatrení ITVS, | ||
| 1226 | |||
| 1227 | Vyhláškou 362/2018 Z .z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení). | ||
| 1228 | |||
| 1229 | = {{id name="projekt_2787_Projektovy_zamer_detailny-9.PRÍLOHY"/}}9. PRÍLOHY = | ||
| 1230 | |||
| 1231 | |||
| 1232 | |||
| 1233 | **Príloha: **Zoznam rizík a závislostí (Excel) | ||
| 1234 | |||
| 1235 | **Príloha:** Katalóg požiadaviek | ||
| 1236 | |||
| 1237 | // // | ||
| 1238 | |||
| 1239 |