projekt_2813_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 09:38

PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

podľa vyhlášky MIRRI č. 401/2023 Z. z.

Povinná osoba

Záchranná služba Košice

Názov projektu

Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice

Zodpovedná osoba za projekt

Erik Bašista (projektový manažér)

Realizátor projektu

Záchranná služba Košice

Vlastník projektu

Záchranná služba Košice

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

Pavol Sokol

Záchranná služba Košice

Manažér kybernetickej bezpečnosti

3.7.2024

 

 

1.     História DOKUMENTU

Verzia

Dátum

Zmeny

Meno

0.1

6.6.2024

Pracovný návrh

Pavol Sokol

0.2

1.7.2024

Zapracovanie pripomienok

Pavol Sokol

0.3

2.7.2024

Zapracovanie pripomienok

Pavol Sokol

0.4

3.7.2024

Zapracovanie pripomienok

Pavol Sokol

0.5

3.7.2024

Zapracovanie pripomienok

Pavol Sokol

 

2.     DEFINOVANIE PROJEKTU

2.1        Manažérske zhrnutie

Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.

Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia informačnej a kybernetickej bezpečnosti (ďalej ako „KIB“).

Aktuálna situácia v oblasti KIB v Záchrannej službe Košice (ďalej ako „ZS KE“)  nie je ideálna. ZS KE nemá implementované všetky riešenia a opatrenia pre zvýšenie úrovne KIB. Z externého pohľadu sa zvyšuje frekvencia a závažnosť bezpečnostných hrozieb a útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda bezpečnostné hrozby, výskyt zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.

ZS KE má vykonaný audit kybernetickej bezpečnosti v zmysle platnej právnej úpravy a zároveň na ZS KE prebehla Analýza aktuálneho stavu bezpečnostných opatrení a postupov v organizácii, pričom bolo odhalených niekoľko dôležitých oblastí, ktoré vyžadujú okamžitú pozornosť a zlepšenie. Ide najmä o oblasť riadenia prístupov, riadenia kontinuity činností (ďalej ako „BCM“) a zálohovania.

Hlavným cieľom je zabezpečiť integritu, dostupnosť a dôvernosť informácií organizácie, a to prostredníctvom účinných bezpečnostných opatrení a postupov.

ZSKE nemá implementované požadované požiadavky v niektorých oblastiach KIB z nasledovných dôvodov:

  • nie sú k dispozícii personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov,
  • nie sú k dispozícii dostatočné finančné zdroje,
  • nemáme zavedené všetky procesy riadenia KIB.

Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti ZS KE, čo chceme naplniť nasledujúcimi podaktivitami:  

  • Aktivity ohľadom aktualizácie dokumentácie a nastavenia procesov riadenia KIB:
    • aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti najmä vo väzbe na opatrenia zavedené týmto projektom,
    • aktualizácia interných smerníc a politík pre všetky relevantné oblasti riadenia KIB, najmä pre oblasti pokryté opatreniami v rámci tohto projektu.
  • Analytické aktivity:
    • aktualizácia identifikácie a evidencie informačných aktív,
    • aktualizácia klasifikácie informácií a kategorizácie IS a sietí,
    • aktualizácia analýzy rizík a analýzy dopadov (AR/BIA),
    • zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,
    • na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,
    • aktualizácia plánu zálohovania podľa výsledkov AR/BIA.
  • Implementačné a konfiguračné aktivity bezpečnostných riešení:
    • zavedenie nástroja na udržiavanie a správu aktív (asset management),
    • implementácia riešenia pre správu identít a prístupov (IDM), ktorého súčasťou bude aj:
      • zavedenie viacfaktorového overovania pre privilegovaných používateľov,
      • re-konfigurácia a “hardening” existujúceho AD riešenia,
      • zavedenie Network Access Control (NAC) v súlade so štandardom IEEE 802.1x, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúry pre generovanie a distribúciu šifrovacích kľúčov,
    • implementácia riešenia pre zálohovanie a bezpečné uloženie záloh v inej lokalite (mimo serverovní s primárnou infraštruktúrou) a zladenie procesu s plánom zálohovania navrhnutým na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
  • Pre-financovanie spracovania žiadosti o NFP.

Výsledkom projektu bude aktualizácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB (tzv. governance), zrealizovaná aktualizácia inventarizácie a klasifikácie aktív a kategorizácie IS, aktualizácia AR/BIA a zavedený formalizovaný  proces riadenia rizík, vrátane podpory evidencie a správy aktív SW nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely riadenia prístupov, riadenia BCM a zálohovania a pod.

Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti a pracovníkmi útvaru IT.

Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí zdravotníckych zariadení s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Celková žiadaná výška ŽoNFP je 299.300 EUR.

2.2        Motivácia a rozsah projektu

Hlavnou motiváciou projektu je zvýšenie úrovne KIB v ZS KE, najmä  pripravenosti čeliť interným a externým hrozbám v oblasti KIB. Na rozdiel od súčasného stavu bude ZS KE disponovať výrazne vyššími schopnosťami predchádzať bezpečnostným incidentom súvisiacim najmä s oblasťou riadenia a správy prístupov. Technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát a zároveň bude zabezpečená dostatočná redundancia a bezpečné uloženie systémových záloh a záloh dát.

Medzi hlavné ciele systému riadenia KIB patria:

  • zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,
  • monitorovanie prostredia,
  • riadenie a povoľovanie prístupov len autorizovaným osobám.

Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s:

  • naplnením povinností definovanými v zákone o KB a zákone o ITVS, najmä opatreniami definovanými v § 20 zákona o KB,
  • nutnosťou zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na sústavne sa zvyšujúce bezpečnostné hrozby a riziká,
  • nutnosťou reagovať na prípadné bezpečnostné incidenty, napr. ransomware útoky, ktoré sú v poslednej dobe značne rozšírené najmä v oblasti zdravotníctva,
  • zabezpečením realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,
  • ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,
  • ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.

Projekt rieši nasledovné špecifické problémy v oblasti KIB:

  • Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.
  • Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.
  • Pravidelnú, povinnú aktualizáciu inventarizácie informačných aktív, klasifikácie a kategorizácie IS a sietí, analýzy rizík a analýzy dopadov aj so zapojením vlastníkov aktív a zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti.
  • Oblasť riadenia prístupov je bez IKT podpory, takže samotné riadenie prístupov je aktuálne zdĺhavé a značne neefektívne, pričom sa zároveň zvyšuje aj pravdepodobnosť výskytu ľudských chýb.
  • Taktiež nie je zabezpečená multi-faktorová autentifikácia, min. na strane privilegovaných používateľov pri prístupe k informačným systémom v ich správe a rovnako aj autentifikácia zariadení pripojených do siete ZS KE.
  • Značne neefektívny a nedostatočný z pohľadu bezpečnosti a redundancie záloh je aj proces zálohovania, kedy je potrebné, v prípade bezpečnostného incidentu alebo chyby, bezpečne a spoľahlivo obnoviť informačné systémy a dáta.

Chýbajú bezpečnostné funkcie a opatrenia najmä v oblasti:

  • viac-faktorovej autentifikácie,
  • autentifikácie zariadení v sieti ZS KE,
  • riadenia prístupov a identít,
  • zálohovania a redundancie záloh.

Okrem toho ZS KE nemá dostatočne zabezpečenú serverovňu a HW vybavenie je zastaralé. Sieťová infraštruktúra pre spájanie pobočiek je zabezpečená prostredníctvom VPN siete dodávanej a spravovanej externým dodávateľom (v čase podania projektu spoločnosťou Slovanet). ZS KE prevádzkuje v riaditeľstve a na centrále vlastnú lokálnu počítačovú sieť s nízkou úrovňou segmentácie siete. Jej komponenty sú však zastarané a bez podpory.

Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti:

  • konsolidácie logov a auditných záznamov,
  • analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,
  • riešenie bezpečnostných incidentov,
  • obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.

Informačné systémy v správe ZSKE:

  • Garis ERP (Enterprise resource planing) – účtovný ekonomický software. V implementácii je aj personalistický a mzdový modul.
  • PROMIS Doprava - kľúčový systém, v ktorom sú zhromaždené dáta pre vykazovanie zdravotnej starostlivosti na zdravotné poisťovne.
  • WEB, intranet interná sekcia – systém na zápis záznamu služby.

Implementácia projektu bude prebiehať v nasledovných krokoch:

 

Hlavná aktivita: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Jednotlivé pod-aktivity v rámci implementácie projektu:

  • Analýza a dizajn bude obsahovať:
  • konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,
  • identifikáciu a analýzu rolí, procesov a integrácii,
  • funkčnú a nefunkčnú špecifikáciu celého riešenia,
  • definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.
  • Nákup HW a prípadne aj krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia
  • Nástroj na evidenciu aktív (asset management).
  • Nástroj na riadenie identít a prístupov (IDM) vrátane:
    • SW vybavenia pre MFA pre „privilegovaných používateľov“.
    • SW vybavenia pre NAC (autentifikačný server a PKI).
  • Nástroja pre riešenie zálohovania a ukladanie záloh.
  • Potrebného HW vybavenia.
  • Implementácia bude obsahovať:
  • implementáciu a nastavenie jednotlivých technických služieb,
  • implementácia bezpečnostných opatrení,
  • implementácia proaktívnych a reaktívnych služieb,
  • obvyklé testovanie celého riešenia popri implementácii,
  • zladenie interných procesov riešenia zálohovania s plánom zálohovania vytvoreným na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
  • Testovanie obsahuje:
  • testovanie funkcionality riešenia,
  • vulnerability testovanie,
  • testovanie integrácii,
  • pilotnú prevádzku,
  • akceptačné testovanie.
  • Nasadenie obsahuje:
  • nasadenie riešenia do produkčného prostredia, zaškolenie pre celé riešenie
  • prechod na plnú prevádzku.
  • Podporná aktivita – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.
  • Podporná aktivita – Publicita a informovanosť vzhľadom na povahu projektu obsahuje iba povinné položky, t. j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač

2.3        Zainteresované strany/Stakeholderi

ID

AKTÉR / STAKEHOLDER

SUBJEKT

(názov / skratka)

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

Informačný systém

(MetaIS kód a názov ISVS)

1.

Záchranná služba Košice

ZSKE

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

-

2.4        Ciele projektu

ID

 

Názov cieľa

Názov strategického cieľa

Spôsob realizácie strategického cieľa

1

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.

Implementácia projektu

 

 

2.5        Merateľné ukazovatele (KPI)

ID

 

ID/Názov cieľa

Názov
ukazovateľa (KPI)

Merná jednotka
 

Čas plnenia

merateľného

ukazovateľa projektu

závislosti

merateľného

ukazovateľa

projektu)

Príznak rizika

Relevancia

k HP

VÝSTUP

PO095 / PSKPSOI12

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

Verejné inštitúcie podporované v

rozvoji kybernetických služieb,

produktov a procesov

verejné inštitúcie

ku koncu realizácie

hlavných aktivít

projektu

1

nie

n/a

VÝSLEDOK

PR017 / PSKPRCR11

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

Používatelia nových a vylepšených

verejných digitálnych služieb,

produktov a procesov

Používatelia/rok

 v rámci udržateľnosti

projektu

150

nie

n/a

2.6        Riziká a závislosti

Riziká sa nachádzajú v samostatnej prílohe.

2.7        Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznis architektúry sú popísané služby, ktoré by v zmysle § 20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v § 20 zákona o KB, resp. zefektívnia sa existujúce postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami.

Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne:

  • zvýšením úrovne governance a vyspelosti procesov riadenia KIB,
  • zvýšením ochrany pred útokmi z externého, ale aj interného prostredia,
  • zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty,
  • zvýšením úrovne ochrany dát, dátových prenosov a komunikácie,
  • zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov.

Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany.

Alternatívy riešenia sú nasledovné:

Alternatíva 1: realizácia KIB v rámci tohto projektu.

Alternatíva 2: ponechanie realizácie bezpečnostných opatrení a rozvoja KIB  v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy:

  • Riadenie aktív a riadenie rizík.
    • Proces evidencie a správy aktív.
    • Proces klasifikácie informácií a kategorizácie IS a sietí.
    • Proces realizácie AR/BIA.
    • Proces rozhodovania ohľadom riadenia identifikovaných rizík.
  • Riadenie prístupov.
    • Proces riadenia identít a prístupov.
    • Proces bezpečného prístupu a viac-faktorovej autentifikácie pri prístupe privilegovaných používateľov k správe IS.
    • Proces autentifikácie a prístupu k sieti len autorizovaných zariadení.
  • Riadenie kontinuity činností.
    • Proces zálohovania.
    • Proces ochrany a redundancie záloh.

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

  • governance KIB a bezpečnostná dokumentácia,
  • zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia.

V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu) a z aktuálne dostupnými technickými prostriedkami a ľudskými zdrojmi by ZS KE bola schopná zrealizovať a do praxe implementovať len nasledovné biznis funkcie:

  • Riadenie aktív a riadenie rizík.

Implementácia len tejto biznis funkcie je z pohľadu zabezpečenia ochrany informačných aktív ZS KE a naplnenia legislatívnych požiadaviek absolútne nepostačujúca.

2.8        Multikriteriálna analýza

 

KRITÉRIUM

ZDÔVODNENIE KRIÉRIA

MIRRI (výzva)

Organizácia

STAKEHOLDER

3

BIZNIS VRSTVA

 

A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením.

Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie

áno

áno

 

B Rýchlosť implementácie.

Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr

áno

nie

 

C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času

Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje

áno

nie

 

Kritérium D (KO)

 

 

 

 

Kritérium E

 

 

 

 

Kritérium F

 

 

 

 

Zoznam kritérií

Alternatíva

1

Spôsob

dosiahnutia

Alternatíva 2

Spôsob

dosiahnutia

Kritérium A

áno

Projekt zavádza procesy Governance v oblasti KIB

čiastočne

 

Kritérium B

áno

Realizácia výzvy je najrýchlejšou možnosťou implementácie

nie

 

Kritérium C

áno

Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje

nie

 

Kritérium D

 

 

 

 

Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu.

 

2.9        Stanovenie alternatív v aplikačnej vrstve architektúry

Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti ZSKE.

Z pohľadu aplikačnej vrstvy architektúry  je účelom projektu:

  • implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia,
  • budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov.

Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:

  • vytváranie bezpečnostného povedomia,
  • vzdelávanie zamestnancov a správcov IS v oblasti kybernetickej bezpečnosti,
  • technologický dozor,
  • vykonávanie bezpečnostných auditov,
  • poskytovanie informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti a prijímanie a zasielanie včasného varovania pred bezpečnostnými incidentmi,
  • riadenie identít a prístupov,
  • vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia.

Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:

  • obnova systémov a dát zo záloh,
  • návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.

Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

  • Riadenie aktív a riadenie rizík.
    • Implementácia nástroja na evidenciu aktív (asset management).
  • Riadenie prístupov.
    • Implementácia IDM vrátane 2FA:
      • Zavedenie 2FA pre privilegovaných používateľov pre prístup k IS a zariadeniam.
      • Zavedenie autentifikácie zariadení v sieti ZS KE.
    • Riadenie kontinuity činností.
      • Implementácia nástroja pre zálohovanie.
      • Implementácia úložiska záloh mimo priestorov umiestnenia primárnej technológie (princíp 3-2-1).

2.10     Stanovenie alternatív v technologickej vrstve architektúry

Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek.

 

3.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

ID

Aktivita/prevádzková dokumentácia (výstup)

Poznámka

1.1

Aktualizácia smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti

Výstupom aktivity budú aktualizované nasledovné smernice a dokumenty, najmä vo väzbe na implementované technické bezpečnostné riešenia uvedené nižšie v bodoch 2.1 až 2.3:

·        Smernica riadenia prístupových práv a postupy multi-faktorovej autentifikácie.

·        Plán zálohovania (na základe výsledkov RPO v aktivite 1.2) a smernica ohľadom postupov zálohovania.

·        Definovanie stratégie obnovy (na základe výsledkov RTO v aktivite 1.2).

·        Stratégia kybernetickej bezpečnosti.

·        Bezpečnostná politika.

·        Bezpečnostná smernica pre používateľov.

·        Smernica o bezpečnej prevádzke IS pre administrátorov.

·        Smernica pre riadenie informačnej bezpečnosti.

·        Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam ZSKE.

·        Smernica klasifikácie a kategorizácie IS a sietí.

·        Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS.

1.2

Aktualizácia inventarizácie aktív, klasifikácie, kategorizácie a AR/BIA

Vykonanie povinnej a pravidelnej (raz ročne) aktualizácie inventarizácie aktív, klasifikácie aktív, kategorizácie IS a sietí a analýzy rizík a analýzy dopadov (AR/BIA) aj so zapojením vlastníkov aktív.  Súčasťou analýzy bude aj určenie RTO a RPO parametrov vlastníkmi aktív a zadefinovanie stratégie obnovy pre jednotlivé IS na základe RTO a plánu zálohovania na základe RPO. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením ZS KE.

2.1

Nástroj na udržiavanie a správu aktív (asset management tool)

Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív, napr. formou CMDB databázy.

2.2

Nástroj na riadenie identít a prístupov

Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE. Súčasťou riešenia bude aj:

·        re-konfigurácia a “hardening” existujúceho AD riešenia,

·        SW vybavenie pre multi-faktorovú autentifikáciu privilegovaných používateľov k správe IS (cca 50 privilegovaných používateľov),

·        technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, najmä autentifikačný server (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.

2.3

Nasadenie nástroja na zálohovanie a uloženie záloh

Nasadenie nástroja pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej lokality.

4.     NÁHĽAD ARCHITEKTÚRY

Náhľad architektúry sa nachádza v dokumente Prístup k projektu.

5.     ROZPOČET A PRÍNOSY

Prínosy projektu sú vypočítané na základe zákona o KB, kde zákonodarca priamo v § 31 ods. 2, písm. c) ohodnotil porušenie niektorých povinností pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR.

Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie riadenia informačnej a kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál).

Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom.

5.1        Sumarizácia nákladov a prínosov

Náklady

Názov modulu

Názov modulu

Názov modulu

Všeobecný materiál

Nástroj na udržiavanie a správu aktív (asset management tool)

Nástroj na riadenie identít a prístupov

Nástroj na zálohovanie a uloženie záloh

IT - CAPEX

 32.887 EUR

 28.080 EUR

202.446 EUR

Aplikácie

 

 

 

SW

 

 

 

HW

 

 

 

IT - OPEX- prevádzka

50 EUR

 2400 EUR

 2000 EUR

Aplikácie

 

 

 

SW

 

 

 

HW

 

 

 

6.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

ID

FÁZA/AKTIVITA

ZAČIATOK

(odhad termínu)

KONIEC

(odhad termínu)

1.

Prípravná fáza a Iniciačná fáza

06/2024

10/2024

2.

Realizačná fáza

11/2024

04/2026

2a

Analýza a Dizajn

11/2024

04/2025

2b

Nákup technických prostriedkov, programových prostriedkov a služieb

01/2025

06/2025

2c

Implementácia a testovanie

05/2025

12/2025

2d

Nasadenie

11/2025

02/2026

3.

Dokončovacia fáza

01/2026

04/2026

4.

Podpora prevádzky (SLA)

04/2026

04/2030

,

 

 

7.     PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

Predseda RV

Biznis vlastník

Zástupca prevádzky

Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

Projektový manažér objednávateľa (PM)

ID

Meno a Priezvisko

Pozícia

Rola v projekte

1.

Erik Bašista

odborný zamestnanec

Projektový manažér

2.

Tomáš Tomčík

odborný zamestnanec IT

Systémový manažér

3.

Pavol Sokol

odborný zamestnanec IT

Manažér kybernetickej bezpečnosti

7.1        PRACOVNÉ NÁPLNE

Riadiaci výbor projektu budú tvoriť:

Členovia Riadiaceho výboru s hlasovacím právom:

  • predseda Riadiaceho výboru projektu
  • manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV,
  • zástupca prevádzky

Členovia Riadiaceho výboru bez hlasovacieho práva:

  • projektový manažér prijímateľa
  • projektový manažér dodávateľa
  • zástupca dodávateľa

Určenie zodpovednosti členov Riadiaceho výboru

Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:

  • celkovo zodpovedať za projekt,
  • kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,
  • zabezpečiť a udržať finančné a personálne krytie realizácie projektu,
  • zabezpečiť nákladovo prijateľný prístup v projekte,

Hlavným záujmom a zodpovednosťou biznis vlastníka je:

  • schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,
  • definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na
  • bezpečnosť,
  • definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,
  • schválenie akceptačných kritérií,
  • odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,
  • dostupnosť ľudských zdrojov alokovaných na realizáciu projektu

Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je:

  • návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov,
  • zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch,

.

8.     Legislatíva

V rámci platnej legislatívy nie je nutná zmeny legislatívy.

Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou, najmä s:

Zákonom č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,

Zákonom č.95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov,

Vyhláškou č.401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy,

Vyhláškou č.78/2020 Z. z. o štandardoch pre ITVS,

Vyhláškou č.179/2020 Z. z. o obsahu bezpečnostných opatrení ITVS,

Vyhláškou 362/2018 Z .z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení).

9.     PRÍLOHY

Príloha: Zoznam rizík a závislostí (Excel)

Príloha: Katalóg požiadaviek