PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02  podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    HISTÓRIA DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

Použité skratky a pojmy

Konvencie pre typy požiadaviek (príklady)

N/A

3.    DEFINOVANIE PROJEKTU

Manažérske zhrnutie

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Senec“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v meste Senec a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

Tab.č.1 Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/)

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení Auditu kybernetickej bezpečnosti realizovaného v Meste Senec v roku 2024.

Predmetom projektu je:

• Tvorba bezpečnostnej dokumentácie a metodiky – dopracovanie dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v zmysle výsledkov Auditu kybernetickej bezpečnosti,
• Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,
• Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

Po implementácii projektu bude mesto pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

Mesto v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

Hlavnými beneficientom projektu je MsÚ Senec a jeho jednotliví pracovníci, resp. užívatelia informačných systémov mesta. Nepriamym beneficientom sú obyvatelia mesta a subjekty komunikujúce s MsÚ. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod úradu a poskytovanie služieb občanom a podnikateľom.

Predpokladaný rozpočet projektu: 365 701,18 €

Motivácia a rozsah projektu

Mesto Senec je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

Mesto v roku 2024 realizovalo „Audit kybernetickej bezpečnosti“. Predmetom auditu bolo  posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú poskytovanie základnej služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu. 

Audit zistil priestor na zlepšenie prevažne v oblastiach:

• Obsah a štruktúra bezpečnostnej dokumentácie,
• Klasifikácia informácií a kategorizácia sietí a IS,
• Riadenie rizík,
• Personálna bezpečnosť,
• Riadenie KB s tretími stranami,
• Architektúra siete,
• Incident Manažment,
• Kontinuita základnej služby a Riadenie súladu,
• Audit a kontrolné činnosti.

Hlavné zistenia:

• Obsah a štruktúra bezpečnostnej dokumentácie,
  • Rozsah a štruktúra bezpečnostnej dokumentácie čiastočne vychádza z odporučenia členenia politík v zmysle Prílohy č. 2 k vyhláške č. 362/2018 Z. z. ZoKB,
  • Časť dokumentácie je nevydaná, zatiaľ v draftovej forme. Dokumentované informácie sú poskytované zamestnancom na intranete spoločnosti.,
• Stratégia kybernetickej bezpečnosti
  • Sú čiastočne vypracované politiky (KB-K1-2-Bezp.politika) oblastí podľa Prílohy 1 B vyhlášky 362/2018 Z. z. a sú čiastočne personalizované role pre implementáciu a aktualizovanie  bezpečnostných politík,
  • Je vo fáze budovania rámec riadenia bezpečnostnej dokumentácie pre celú organizáciu,
• Klasifikácia informácií a kategorizácia sietí a informačných systémov
  • Nie je vypracovaná metodika pre klasifikáciu informácií, kategorizácií sietí a informačných systémov v súlade s klasifikačnou schémou podľa vyhlášky č. 362/2018.
• Riadenie rizík KB
  • Je čiastočne zavedený a riadený register informačných aktív,
  • Nie je vypracovaná metodika riadenia rizík,
  • Nie je vypracovaná analýza rizík podľa definovanej metodiky,
  • PZS ako súčasť rizík neanalyzuje riziká tretích strán pred podpisom zmluvy s dodávateľom,
• Personálna bezpečnosť
  • PZS nemá formalizované a vypracované postupy pri zaradení osoby do niektorých z bezpečnostných rolí.  (RACI matica zodpovedností). Nie je vypracovaný plán rozvoja bezpečnostného povedomia a pravidelného vzdelávania zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov,
  • Nie Je zavedené hodnotenie účinnosti plánu rozvoja bezpečnostného povedomia,
• Riadenie prístupov
  • Jednotlivé akcie na úrovni pridania/ zmeny/ odstránenia nie sú dohladatelné. Nie je Tiketovací systém s možnosťou tracebility,
• Riadenie KB s tretími stranami
  • Pred podpisom zmluvy s treťou stranou sa neanalyzujú a nevyhodnocujú riziká dodávateľov.
  • Nie sú pravidelne analyzované zmluvné vzťahy s tretími stranami a aktualizované v zmysle požiadaviek vyhlášky č. 362/2018.
  • Nie sú s vybranými dodávateľmi podpísané zmluvy o opatreniach a notifikačných povinnostiach.
• Riadenie bezpečnosti prevádzky sietí a IS
  • PZS nemá formálne zavedený proces riadenie zmien, riadenie kapacít.
• Technické zraniteľnosti
  • Nie je formálne definovaný zoznam kontrolných mechanizmov v oblasti technických zraniteľností a ich implementácie do prostredia spoločnosti,
  • Nie Je zavedený proces Vulnerability manažment implementáciou technických riešení pre riadenie zraniteľností,
  • Neexistuje register výnimiek, ktorý dokumentuje akceptáciu rizík z neaplikovania bezpečnostných aktualizácií.
• Sieťová a komunikačná bezpečnosť
  • PZS nemá vybudovanú vysoko dostupnú sieťovú infraštruktúru
• Požiadavky na akvizíciu, vývoj a údržbu sietí a IS
  • PZS priamo nevykonáva SW development. Požiadavky sú prenášané na dodávateľov App,
• Zaznamenávanie udalostí a monitorovanie sietí a IS
  • Nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu.
  • Nie je definovaný a formalizovaný zoznam kontrolných mechanizmov v oblasti monitorovania a testovania bezpečnosti a ich implementácia do prostredia spoločnosti.
  • Zamestnanci IKT nevyhodnocujú prevádzkové záznamy automatizovaným spôsobom. Nie je formalizovaná rola pre analýzu bezpečnostných eventov a incidentov ani frekvencia a rozsah analyzovania bezpečnostných udalostí.
  • Nie je vypracovaný Logovací štandard, nie je vybudovaná forenzná infraštruktúra, nie je zavedený automatizovaný nástroj pre detekciu kybernetických udalostí a incidentov.
  • Nie je konštituovaný Response tím.
• Riešenie kybernetických incidentov
  • Nie je vytvorená smernica na incident manažment. Nie je zavedený register Incidentov,
  • Nie je formálne definovaný spôsob a miesto pre evidenciu bezpečnostných incidentov a kompletnej histórie aktivít pri ich riešení,
  • Nie sú personalizované role v oblasti riadenia kybernetických bezpečnostných incidentov,
  • Nie sú definované postupy reakcie pre základné vektory útokov,
• Kryptografia
  • Notebooky nie sú kryptované.
  • Nie je definovaná metóda pre posielanie dokumentov klasifikovaných ako Chránené a Prísne Chránené cez mailovú komunikáciu.
  • Zálohy nie sú kryptované.
• Kontinuita základnej služby.
  • Nie je zabezpečená kontinuity činnosti pri výskyte bezpečnostného incidentu. Nie sú definované základné krízy, havarijné scenáre pre základnú službu a jej komponenty,
  • Nie je vypracovaná stratégia a vzorový krízový plán na zabezpečenie kontinuity základnej služby, siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu,
  • Nie sú definované jednotlivé požiadavky na RTO, RPO, ktoré by slúžili ako podklad k backup politike a vypracovaniu biznis kontinuity plánov,
  • Nie sú vypracované reálne plány obnovy kritických systémov (BCP) pre jednotlivé krízy. Nie sú personalizované a školené kontinuity tímy a minimálne raz do roka preukázateľne testované BCT. Záložné zdroje nezodpovedajú požiadavkám na primeranú biznis kontinuitu,
• Riadenie súladu, audit a kontrolné činnosti
  • Nie je zavedený proces interného auditu pre rozsah informačnej bezpečnosti, kybernetickej bezpečnosti a PRIVACY. Nie je personalizovaná rola interný audítor. Nie je vypracovaný plán interných auditov.
  • Nie je vykonávaná kontrolná činnosť a nie sú zápisy o výkone auditov vrátane definovania a plnenia nápravných a preventívnych opatrení.
• Bezpečnostné opatrenia
  • Bezpečnostné opatrenia sa doposiaľ neprijímajú a nerealizujú na základe analýzy rizík kybernetickej bezpečnosti, ktorá určuje pravdepodobnosť vzniku škodlivej udalosti.

Realizované činnosti v rámci projektu

V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu (1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov, (3) činnosti manažéra kybernetickej bezpečnosti.

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

• Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
• vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;
• vypracovanie štatútu bezpečnostného výboru;
• Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
• riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
• vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.
• Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;
• vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;
• vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.
• Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;
• vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.
• Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;
• analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
• vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
• Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;
• implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov,
• Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;
• vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;
• implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.
• Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
• implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;
• vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;
• implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.
• Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;
• zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup,
• vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;
• realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
• Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;
• implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);
• vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;
• špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;
• Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;
• implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;
• vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;
• Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;
• vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
• vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
• vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
• implementácia systému zálohovania.
• obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

Tvorba bezpečnostnej dokumentácie a metodiky (1)

Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba rozšírenia bezpečnostnej dokumentácie kybernetickej bezpečnosti.

Aktuálny rozsah a štruktúra bezpečnostnej dokumentácie čiastočne vychádza z odporúčania členenia politík v zmysle zákona o KB. Dokumentácia je čiastočne zavedená a udržiavaná. Procesy sú čiastočne personalizované. Nie je vykonávané pravidelné preskúmavanie a aktualizácia dokumentovaných informácií po zásadných zmenách. Časť dokumentácie je nevydaná, zatiaľ v draftovej forme. Sú čiastočne vypracované politiky oblastí a čiastočne personalizované role pre implementáciu a aktualizovanie  bezpečnostných politík.

Implementácia softvérových a hardvérových nástrojov (2) (podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

Nástroj na centrálny manažment logov

V zmysle zistení auditu kybernetickej bezpečnosti sa zaznamenávanie udalostí a monitorovanie sietí a IS neuskutočňuje implementáciou centrálneho nástroja pre centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb.

Z uvedeného dôvodu je v rámci projektu navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

Interný Helpdesk

V zmysle zistení auditu kybernetickej bezpečnosti riešenie kybernetických bezpečnostných incidentov nepozostáva z monitorovania a analyzovania udalostí v sieťach a informačných systémoch, nepozostáva z detekcie, zberu a vyhodnocovania informácií o kybernetických bezpečnostných incidentoch. Proces detekcie KB incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu KB incidentov.

Z uvedeného dôvodu je navrhnuté v rámci projektu zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

Prevádzkový monitoring

V zmysle zistení auditu kybernetickej bezpečnosti v rámci sieťovej a komunikačnej bezpečnosti nie sú zabezpečené monitorovacie mechanizmy. Rovnako nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu. Z uvedeného dôvodu je navrhnutý komponent „prevádzkový monitoring“.

Nástroj na ochranu proti škodlivému kódu

Pre potreby Mesta Senec bude potrebná kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, zabezpečením súborových serverov, pokročilou ochranou pred hrozbami a šifrovaním celého disku.

Nástroj na centrálny manažment siete

V zmysle zistení auditu kybernetickej bezpečnosti nie je zabezpečený sieťový monitoring. Z uvedeného dôvodu je v rámci projektu navrhnutý na nasadenie nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

Aktualizácia / upgrade sieťovej vrstvy

Vykonaný audit konštatoval skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

Aktualizácia / upgrade serverovej infraštruktúry

Vykonaný audit konštatuje potrebu výmeny nepodporovanej infraštruktúry. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu navrhnutých riešení kybernetickej bezpečnosti a sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) – manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

Zainteresované strany/Stakeholderi

Ciele projektu

Merateľné ukazovatele (KPI)

Špecifikácia potrieb koncového používateľa

Z hľadiska projektu je koncovým používateľom Mesto Senec, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.

Hlavné zistenia: viď. Motivácia a rozsah projektu

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

Riziká a závislosti

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

Stanovenie alternatív v biznisovej vrstve architektúry

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

1. Ponechanie súčasného stavu

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich z auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

1. Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu technických riešení navrhnutých v projekte.

1. Plnohodnotná realizácia opatrení kybernetickej bezpečnosti

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

Multikriteriálna analýza

Vyhodnotenie MCA

Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni mesta, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

Stanovenie alternatív v technologickej vrstve architektúry

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupom projektu budú:

• projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
• vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),
• nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

5.    NÁHĽAD ARCHITEKTÚRY

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

Obr.1 Biznis funkcie / podaktivity projektu

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

Obrázok 2 Model aplikačnej architektúry

Nástroj na centrálny manažment logov

V zmysle zistení auditu kybernetickej bezpečnosti sa zaznamenávanie udalostí a monitorovanie sietí a IS neuskutočňuje implementáciou centrálneho nástroja pre centrálnych sieťových prvkov a serverov, služieb prístupných do externých sietí a kritických interných serverov a služieb.

Z uvedeného dôvodu je v rámci projektu navrhnuté implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy.

Interný Helpdesk

V zmysle zistení auditu kybernetickej bezpečnosti riešenie kybernetických bezpečnostných incidentov nepozostáva z monitorovania a analyzovania udalostí v sieťach a informačných systémoch, nepozostáva z detekcie, zberu a vyhodnocovania informácií o kybernetických bezpečnostných incidentoch. Proces detekcie KB incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu KB incidentov.

Z uvedeného dôvodu je navrhnuté v rámci projektu zavedenie interného helpdesku, ktorý bude využiteľný nielen ako centrálne úložisko požiadaviek klientov s možnosťou sledovania riešenia každej požiadavky, ale umožní aj centralizovaný zber bezpečnostných incidentov.

Prevádzkový monitoring

V zmysle zistení auditu kybernetickej bezpečnosti v rámci sieťovej a komunikačnej bezpečnosti nie sú zabezpečené monitorovacie mechanizmy. Rovnako nie je zabezpečená schopnosť detekcie udalostí a následných incidentov v infraštruktúre pomocou bezpečnostného sieťového monitoringu. Z uvedeného dôvodu je navrhnutý komponent „prevádzkový monitoring“.

Nástroj na ochranu proti škodlivému kódu

Pre potreby Mesta Senec bude potrebná kompletná ochrana koncových zariadení, cloudových aplikácií a e‑mailov. Multiplatformové riešenie s jednoduchou cloudovou alebo lokálnou správou, zabezpečením súborových serverov, pokročilou ochranou pred hrozbami a šifrovaním celého disku.

Nástroj na centrálny manažment siete

V zmysle zistení auditu kybernetickej bezpečnosti nie je zabezpečený sieťový monitoring. Z uvedeného dôvodu je v rámci projektu navrhnutý na nasadenie nástroj na centrálny manažment siete, ktorý by poskytol centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií.

Podrobný popis komponentov je uvedený v dokument – Prístup k projektu, kap. 4.2 Aplikačná vrstva.

Prehľad e-Government komponentov

5.1.1     Prehľad koncových služieb – budúci stav:

Projekt nebuduje koncové služby.

5.1.2     Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Projekt nebuduje/nerozvíja ISVS

5.1.3     Prehľad budovaných aplikačných služieb – budúci stav:

Projekt nebuduje aplikačné služby.

5.1.4     Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

V rámci projektu nebude realizovaná integrácia.

5.1.5     Aplikačné služby na integráciu

Projekt nebuduje aplikačné služby.

5.1.6     Poskytovanie údajov z ISVS do IS CSRÚ

Projekt nebude poskytovať údaje do IS CSRÚ.

5.1.7     Konzumovanie údajov z IS CSRÚ

Projekt nebude konzumovať údaje z IS CSRÚ.

5.1.8     Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

6.    LEGISLATÍVA

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

7.    ROZPOČET A PRÍNOSY

Sumarizácia nákladov a prínosov

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Projekt bude realizovaný metódou Waterfall

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

Objednávateľ projektu vypracuje funkčnú špecifikáciu - detailnú a technickú špecifikáciu - rámcovú.

9.    PROJEKTOVÝ TÍM

V rámci projektu je zostavený Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (PM)

Zostavuje sa Projektový tím objednávateľa

• kľúčový používateľ,
• IT analytik,
• IT architekt,
• biznis vlastník,
• manažér kybernetickej a informačnej bezpečnosti,

 PRACOVNÉ NÁPLNE

10. ODKAZY

N/A

11. PRÍLOHY

Príloha : Zoznam rizík a závislostí (.xls)

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente