projekt_2816_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 09:34

 

PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

podľa vyhlášky MIRRI č. 401/2023 Z. z.

image-2024-7-3_23-9-37-1.png

Povinná osoba

Mesto Spišská Nová Ves

Názov projektu

Realizácia opatrení kybernetickej a informačnej bezpečnosti Mesta Spišská Nová Ves

Zodpovedná osoba za projekt

Zuzana Valkoššáková, Ing.

Realizátor projektu

Mesto Spišská Nová Ves

Vlastník projektu

Ing. Pavol Bečarik

 

Schvaľovanie dokumentu

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Schválil

Ing. Pavol Bečarik

Mesto Spišská Nová Ves

Primátor mesta Spišská Nová Ves

31.5.2024

 

 

1.     História DOKUMENTU

Verzia

Dátum

Zmeny

Meno

Ver.6

31.5.2024

Schválenie finálnej verzie dokumentácie

Ing. Pavol Bečarik

 

2.     ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1       Použité skratky a pojmy

SKRATKA/POJEM

POPIS

BEZP

Bezpečnosť/Bezpečnostný

EDR

Endpoint Detection & Response

EPP

Endpoint protection

FW

Firewall

HW

Hardvér

IKT

Informačno-komunikačné technológie

IRA

Interný riadiaci akt

IS

Informačný systém

ISVS

Informačný systém verejnej správy

IT

Informačné technológie

KB

Kybernetická bezpečnosť

MKB

Manažér kybernetickej bezpečnosti

NGFW

Next Generation Firewall

RACI

responsible, accountable, consulted, and informed

R OIT

Riaditeľ odboru IT (vedúci zamestnanec na úseku IT)

SIEM

Security Information and Event Management

SOC

Security Operations Center

SPoF

Single Point of Failure

SW

Softvér

UTM

Unified Threat Management

VS

Verejná správa

2.2       Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:

FRxx

  • U – užívateľská požiadavka
  • R – označenie požiadavky
  • xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NRxx

  • N – nefukčná požiadavka (NFR)
  • R – označenie požiadavky
  • xx – číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované PM.

 

3.     DEFINOVANIE PROJEKTU

3.1       Manažérske zhrnutie

Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).

Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie samosprávy ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia samosprávy je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.

Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT mesta Spišská Nová Ves, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.

Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia mesta Spišská Nová Ves a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti samosprávnych subjektov. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:

  1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;
  2. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;
  3. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;
  4. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;
  5. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;
  6. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.

Mesto Spišská Nová Ves má dodávateľsky zavedené a implementované bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 3 zákona o kybernetickej bezpečnosti minimálne v rozsahu:

  1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
  2. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
  3. personálnej bezpečnosti,
  4. riadenia prístupov,
  5. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
  6. bezpečnosti pri prevádzke informačných systémov a sietí,
  7. hodnotenia zraniteľností a bezpečnostných aktualizácií,
  8. ochrany proti škodlivému kódu,
  9. sieťovej a komunikačnej bezpečnosti,
  10. akvizície, vývoja a údržby informačných sietí a informačných systémov,
  11. zaznamenávania udalostí a monitorovania,
  12. fyzickej bezpečnosti a bezpečnosti prostredia,
  13. riešenia kybernetických bezpečnostných incidentov,
  14. kryptografických opatrení,
  15. kontinuity prevádzky,
  16. auditu, riadenia súladu a kontrolných činností.

Bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 4 zákona o kybernetickej bezpečnosti zahŕňajú najmenej:

  1. detekciu kybernetických bezpečnostných incidentov,
  2. evidenciu kybernetických bezpečnostných incidentov,
  3. postupy riešenia a riešenie kybernetických bezpečnostných incidentov,
  4. určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,
  5. prepojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania

Jednotlivé subjekty verejnej správy a samosprávy ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Mesto napriek svojim výrazným odborným a finančným limitom je samo zodpovedné za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26

3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 50 tým, že sa implementuje do prostredia mesta Spišská Nová Ves riešenie  v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní.

3.2       Motivácia a rozsah projektu

Realizované aktivity z množiny oprávnených aktivít výzvy:

Mesto Spišská Nová Ves deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:

  1. vytvorenú stratégiu kybernetickej bezpečnosti,
  2. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,
  3. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
  4. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

Mesto Spišská Nová Ves má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti, ktorý však nepredstavuje ucelenú a systematicky aktualizovanú koncepciu. V zmysle samohodnotenia prevádzkovateľa základnej služby (mesta) vykonanej interným manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom obce, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.

Realizované podaktivity z množiny oprávnených podaktivít výzvy:

  1. Organizácia kybernetickej a informačnej bezpečnosti
    1. Vypracovanie alebo   aktualizácia   bezpečnostnej   dokumentácie   vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
    2. vypracovanie štatútu bezpečnostného výboru;
    3. vypracovanie bezpečnostného  projektu  informačného  systému  verejnej správy.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Aktualizácia bezpečnostnej dokumentácie vrátane spresnenia rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení:
  • Bezpečnostná stratégia kybernetickej bezpečnosti
  • Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti
  • Bezpečnostná politika kybernetickej bezpečnosti: Deklarácia a záväzok vedenia.
  1. Riadenie rizík
    1. Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
    2. Implementácia systému pre inventarizáciu aktív;
    3. Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
    4. Vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

Mesto má v rámci bezpečnostnej politiky čiastočne identifikované informačné aktíva a všetky podporné aktíva, ako aj ich evidenciu, ktoré podporujú niektorú z identifikovaných základných služieb. Rovnako boli identifikovaní relevantní dodávatelia, ktorí podporujú prevádzku základných služieb.

V súčasnom stave je tiež iba čiastočne vedená a známa klasifikácia aktív z hľadiska dôvernosti, integrity a dostupnosti. Z pohľadu udržateľnosti stavu je výrazným nedostatkom čiastočné zavedenie procesu na aktualizáciu evidencie aktív ako aj neúplná identifikácia vlastníkov jednotlivých aktív. Evidencia o konfiguračných nastaveniach identifikovaných aktív a služieb je vedená iba čiastočne. Rovnako aj proces pravidelného aktualizovania záznamov o evidencii konfigurácií aktív a služieb je vedený čiastočne. Kumulatívne dochádza k synergickému ovplyvňovaniu jednotlivých oblastí a ich dopadov, kedy neúplná a neaktualizovaná evidencia aktív stráca kvalitatívne aspekty a predstavuje vzrastajúce riziko z pohľadu kyberbezpečnosti.

Pre danú oblasť zo samohodnotenia tiež vyplýva, že poskytovateľ základnej služby identifikuje a vyhodnocuje riziká kybernetickej bezpečnosti, navrhuje a implementuje bezpečnostné opatrenia kybernetickej bezpečnosti, ktorými by znižoval neakceptovateľne veľké zvyškové riziká, avšak bez nadväzných procesov je výsledný efekt kybernetickej ochrany limitovaný.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Identifikácia všetkých aktív
  • Implementácia systému pre inventarizáciu aktív - Katalóg aktív
  • Riadenie rizík
  • Smernica pre riadenie bezpečnostných rizík
  • Metodika pre riadenie bezpečnostných rizík
  • Implementácia predmetných IRA
  1. Personálna bezpečnosť
    1. Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;
    2. vypracovanie alebo      aktualizácia      interného      riadiaceho      aktu      s bezpečnostnými zásadami pre koncových používateľov;
    3. Vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

V oblasti personálnej bezpečnosti sebahodnotenie konštatuje, že je čiastočne vykonávaná kontrola bezpečnostných politík zo strany vlastných zamestnancov a zamestnancov dodávateľov.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica Plán rozvoja bezpečnostného povedomia vrátane spôsobov hodnotenia účinnosti plánu, vrátane určenia pravidiel a postupov na riešenia prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík
  • Smernica pre používateľov
  • Riadenie personálnej bezpečnosti
  1. Riadenie prístupov
    1. Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;
    2. Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;
    3. Vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.

V oblasti riadenia prístupov sú definované rozsahy logických aj fyzických prístupových oprávnení vlastných zamestnancov a zamestnancov dodávateľom ku všetkým aktívam hodnoteného subjektu. Je vykonávaná pravidelná kontrola nad nastavenými rozsahmi prístupových oprávnení na aktivitách. Vzhľadom na súvislosť s ostatnými oblasťami samohodnotenia je potrebné vykonať celkovú aktualizáciu riadenia prístupov po zmapovaní informačných a podporných aktív.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica Riadenie prístupových práv;
  • Zapracovanie a implementácia postupov a procesov napr. prostredníctvom RACI matice v nadväznosti na implementované technické riešenie, pravidlá pre oddelenie právomocí
  1. Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
    1. Vypracovanie analýzy  rizík  tretích  strán  a celého  dodávateľského  reťazca, vrátane analýzy politických rizík;
    2. analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
    3. vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;
    4. vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho zásady   kybernetickej   a informačnej   bezpečnosti   vo   vzťahoch   s tretími stranami.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Metodika pre riadenie bezpečnostných rizík vo vzťahu k tretím stranám
  • Analýza a posúdenie súladu
  • Vypracovanie návrhov dodatkov zmlúv
  • Smernica riadenie tretích strán
  • Smernica požiadavky pre tretie strany
  1. Bezpečnosť pri prevádzke informačných systémov a sietí
    1. Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;
    2. Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;
    3. Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

Sebahodnotenie v oblasti riadenia bezpečnosti sietí konštatuje implementovanú bezpečnostnú sieťovú segmentáciu a aktívnu a priebežnú správu pravidiel na zariadeniach oddeľujúcich jednotlivé segmenty. Sieťová bezpečnosť je realizovaná v rámci existujúcich nasadených prvkov a technológií, ktoré je navrhnuté nahradiť prvkami novej generácie s využitím strojového učenia a umelej inteligencie na mapovanie prevádzky a automatizovanú ochranu pred známymi i neznámymi hrozbami v čo najkratšom čase.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica pre riadenie zmien
  • Smernica správa a prevádzka IS a služieb
  1. Hodnotenie zraniteľností a bezpečnostné aktualizácie
    1. Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;
    2. Vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

Z pohľadu schopnosti identifikovať známe zraniteľnosti aktív a vyhodnocovania potencionálneho prieniku zneužitím týchto zraniteľností absentuje systematické získavanie informácií o zraniteľnostiach od dodávateľov aktív a KB autorít. Rovnako iba čiastočne je realizované vyhodnocovanie dopadu známych zraniteľností na aktíva a vyhodnocovanie rizika spojeného s týmito zraniteľnosťami.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica riadenie a implementácia bezpečnostných záplat a bezpečnostných aktualizácií
  1. Ochrana proti škodlivému kódu
    1. Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
    2. Implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;
    3. Vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

V kontexte už uvedeného, poskytovateľ základnej služby vykazuje rezervy v orchestrácii oblasti ochrany proti škodlivému kódu. Proces zmenového konania je zavedený iba čiastočne. Naopak procesy incident manažmentu a zálohovania sú zavedené, no odporúčame zrevidovanie nastavených procesov a zosúladenie s implementovanou bezpečnostnou politikou ako celkom.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica pre ochranu proti škodlivému kódu a inštaláciu a hardening IS;
  • Vypracovanie a implementácia postupov a procesov v nadväznosti na technické riešenie
  1. Sieťová a komunikačná bezpečnosť
    1. Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;
    2. Vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov.
    3. vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;

V oblasti sieťovej a komunikačnej bezpečnosti je plánovaná implementácia novej generácie FW disponujúcej dynamickou segmentáciou siete, automatizáciou identifikácie hrozieb pomocou systémových agentov a REST API a zvýšenie počtu vrstiev ochrany. V sieťovej infraštruktúre sú zakomponované switche, z ktorých ¾ celkového počtu neposkytujú dostatočné možnosti manažovania siete.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica pre pravidlá sieťovej a komunikačnej bezpečnosti
  1. Akvizícia, vývoj a údržba informačných technológií verejnej správy
    1. Vypracovanie metodiky softvérového vývoja v podobe interného riadiaceho aktu, definujúce  bezpečnostné  požiadavky  na  všetky  fázy  životného  cyklu vývoja SW (SSDLC).

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Metodika Požiadavky pre bezpečný vývoj SSDLC
  1. Zaznamenávanie udalostí a monitorovanie
    1. Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;
    2. Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);
    3. Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;
    4. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov; implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania.
    5. vypracovanie interného    riadiaceho    aktu,    ktorý    obsahuje    a upravuje povinnosti definované platnou legislatívou;

V rámci sebahodnotenia oblasti KB boli konštatované rezervy v oblasti prevádzkového monitoringu, nakoľko mesto má iba čiastočný prehľad o aktívach a komponentoch, nad ktorými potrebuje mať implementovaný prevádzkový monitoring. Zároveň iba v čiastočnom rozsahu je vykonávaný monitoring parametrov aktív a komponentov prostredia tak, aby bol zaznamenávaný nepretržitý prehľad o stave prostredia.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica o bezpečnostnom monitoringu IS a sietí
  1. Riešenie kybernetických bezpečnostných incidentov
    1. Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;
    2. Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov;
    3. Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí; - vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;
    4. Vypracovanie interného   riadiaceho   aktu   obsahujúceho   a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;
    5. Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

V rámci hodnotenia oblasti bezpečnostného monitoringu samohodnotenie konštatuje absenciu implementovaného nástroja na výkon bezpečnostného monitoringu nad aktívami, ktoré sa podieľajú na základnej službe. Na druhú stranu mesto má stanovený proces, ktorým bude obec vedieť reagovať na kybernetický bezpečnostný incident. V dôsledku celkového mapovania aktív a revidovania bezpečnostnej politiky ho však bude potrebné zosúladiť a aktualizovať.

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Vypracovanie štandardov       a postupov       riešenia       kybernetických bezpečnostných      incidentov - Súčasť smernice a metodiky pre riešenie bezpečnostných incidentov;
  • Smernica pre riešenie bezpečnostných incidentov
  • Metodika pre riešenie bezpečnostných incidentov
  1. Kryptografické opatrenia
    1. Vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho používanie kryptografických prostriedkov a šifrovania;
    2. Definovanie pravidiel  využitia  kryptografických  prostriedkov  používajúcich dostatočne  odolné  kryptografické  mechanizmy  na  ochranu  údajov  pri  ich prenose alebo uložení v rámci sietí a informačných systémov;
    3. Vypracovanie a dokumentácia   systému   správy   kryptografických   kľúčov a certifikátov;

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Smernica Riadenie kryptografických opatrení
  • Metodika pre Riadenie kryptografických opatrení
  • Metodika pre správu kryptografických kľúčov a certifikátov
  1. Kontinuita prevádzky
    1. Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnosť. incidentu na základnú službu;
    2. vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie  a zapracovanie nedostatkov z výsledkov testovania;
    3. vypracovanie interného   riadiaceho   aktu   obsahujúceho   a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
    4. vypracovanie   postupov   zálohovania   na   obnovu   siete   a informačného systému   po   jeho   narušení   alebo   zlyhaní   v dôsledku   kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • Stratégia Riadenie kontinuity prevádzky
  • Analýza dopadov (BIA)"
  • BCP (plánov   kontinuity   prevádzky)
  • DRP (plánov   obnovy   prevádzky IS)
  • Testovanie BCP a DRP
  • Smernica Riadenie kontinuity prevádzky
  • Metodika Riadenie kontinuity prevádzky
  • Zálohovacie politiky
  1. Audit a kontrolné činnosti
    1. Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností   a penetračných testov;

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

  • vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy

Vychádzajúc z výsledkov samohodnotenia úrovne kybernetickej bezpečnosti u poskytovateľa základnej služby, mesta Spišská Nová Ves, má byť rešpektujúc jednotlivé podaktivity výzvy v budúcom stave implementované:

  1. Centralizovaná platforma NGFW alebo UTM firewall v konfigurácii aktívneho/záložného klastra vrátane inštalácie zariadení a príslušného softvérového riešenia a školení. Riešenie umožní dynamickú segmentáciu vnútornej siete, zabezpečenie ochrany perimetra pred pokročilými hrozbami. Minimálne požiadavky:
    • Aktívna/pohotovostná konfigurácia klastra
    • Redundantné napájanie
    • Dostatočný počet portov 10G/1G (externé pripojenie + interná segmentácia)
    • Podpora IPv4 a IPv6
    • podpora dynamického smerovania
    • Podpora VLAN
    • riadenie prevádzky až do úrovne L7
    • Kontrola prevádzky na úrovni aplikácií a URL - webový filter, aplikačný filter
    • Podpora SSL VPN a Site2Site
    • antivírusová/antiransomvérová/antimalvérová kontrola prevádzky s automatickou aktualizáciou podpisov
    • technológia sandboxing
    • Integrácia služby Active Directory
    • centralizovaná správa konfigurácie a zhromažďovanie protokolov
    • analytický nástroj na hodnotenie kybernetických incidentov
  2. Log manažment umožňujúci správa logov podľa požiadaviek vyhlášky k zákonu o kybernetickej bezpečnosti podľa § 20 ods. 3 písm. k) zákona zaznamenávanie udalostí a monitorovanie.
    • Požiadavky na výkon: Schopnosť spracovať 5000 EPS (udalostí za sekundu), Uchovávanie logov minimálne 12 mesiacov s dostatočnou rezervou pre plánovaný nárast objemu uchovávaných logov v priebehu nasledujúcich 5 rokov, Údaje sú uložené na vlastnom internom úložisku, nie v cloude
    • Požiadavky na komunikáciu: Schopnosť prijímať protokoly z viacerých zdrojov, Pravidelná aktualizácia vstupných filtrov, Prijímanie protokolov prostredníctvom protokolu SYSLOG cez UDP aj TCP, Schopnosť prijímať správy s veľkosťou aspoň 4 kB, Preposielanie protokolov prostredníctvom protokolu SYSLOG v nezmenenej podobe, Schopnosť preposielať štandardizované informácie v určitom spoločnom štruktúrovanom formáte
    • Požiadavky na používateľov: RBAC (prístupové práva na základe rolí používateľov, t. j. kombinácia jednotlivých systémov a atribútov protokolov voči používateľom a ich rolám), audit činnosti používateľov
    • Funkcie spracovania údajov: Vyhľadávanie a filtrovanie na základe normalizovaných atribútov, fulltextové vyhľadávanie, asynchrónne vyhľadávanie (nie je potrebné čakať na výsledok dlhšieho dotazu, možno ho „vyzdvihnúť“ dodatočne), zobrazené výsledky vyhľadávania rešpektujú rolu používateľa (nezobrazujú sa ani výňatky z neprístupných protokolov), Funkcia „Live tail“ (priebežné zobrazovanie prijatých protokolov), Možnosť anonymizovať vybrané atribúty, Možnosť definovať vlastné výstrahy spúšťané na základe výskytu a frekvencie definovaných podmienok, Možnosť definovať vlastný panel v grafickom používateľskom rozhraní
    • Dostupnosť dobre zdokumentovaného rozhrania API
  3. Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností on-premise nástroj od špecializovaného dodávateľa na identifikáciu a hodnotenie technických zraniteľností podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií. Ponúkané riešenie musí obsahovať tieto požiadavky:
    • automatický technický nástroj na skenovanie zraniteľností (Vulnerability scanner), ktorý minimálne upozorňuje na aktuálne hrozby prostredníctvom oznámenia, identifikuje a vyhodnocuje technické zraniteľnosti v prostredí zákazníka, navrhuje riešenia zraniteľností podľa ich technickej povahy, podporuje integráciu na ďalšie systémy zadávateľa, ktoré ďalej spracúvajú výstupy, zabezpečuje dôvernosť, integritu a dostupnosť spracovávaných informácií (údajov)
    • Celá správa komponentov riešenia a životného cyklu správy zraniteľností sa musí vykonávať prostredníctvom jednotnej webovej konzoly na správu nástroja.
    • Podpora skenovania zraniteľnosti aktív prostredníctvom technického účtu (overovacie skenovanie).
    • Návrh dimenzovania riešenia zameraný na 256 IP
  4. Posilnenie komunikačnej infraštruktúry podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť a podľa § 20 ods. 3 písm. o) zákona kontinuita prevádzky
    • Switch 48p – 11ks

48x 10/100/1000 Ethernet ports, 4x 10G SFP+ uplinks

Management CLI, WebGUI, SSH, Bluetooth

802.1X security standard, SPAN, stackable

Switch 48p PoE – 1ks

48x 10/100/1000 Ethernet PoE+ ports and 370W PoE budget, 4x 10G SFP+ uplnks

Management CLI, WebGUI, SSH, Bluetooth

802.1X security standard, SPAN, stackable

Switch 24p – 2ks    

24x 10/100/1000 Ethernet ports, 4x 10G SFP+ uplinks

Management CLI, WebGUI, SSH, Bluetooth

802.1X security standard, SPAN, stackable

Implementácia:      

Prvotná inštalácia a konfigurácia zariadení

Konfigurácia zabezpečenia podľa štandardu 802.1X proti neoprávnenému pripojeniu do siete bez autentifikácie

Montáž zariadení u zákazníka

Pripojenie zariadení do existujúcej infraštruktúry LAN

Výmena existujúcich zariadení za nové

Testovanie funkčnosti všetkých IKT systémov zákazníka po implementácii

Riešenie po implementačných požiadaviek súvisiacich s výmenou zariadení

Dokumentácia a nasadenie monitoringu zariadení

-     Zabezpečenie kybernetickej bezpečnosti podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť

Implementácia centrálnej brány firewall v konfigurácii aktívneho/záložného klastra

Segmentácia vnútornej siete

Zabezpečenie ochrany perimetra

Zabezpečenie ochrany pred pokročilými hrozbami

-     Minimálne požiadavky:

Aktívna/pohotovostná konfigurácia klastra

Redundantné napájanie

Dostatočný počet portov 10G/1G (externé pripojenie + interná segmentácia)

Podpora IPv4 a IPv6

Podpora dynamického smerovania

Podpora VLAN

Riadenie prevádzky až do úrovne L7

Kontrola prevádzky na úrovni aplikácií a URL - webový filter, aplikačný filter

Podpora SSL VPN a Site2Site

Antivírusová/antiransomvérová/antimalvérová kontrola prevádzky s automatickou aktualizáciou podpisov

Technológia sandboxing

Integrácia služby Active Directory

Centralizovaná správa konfigurácie a zhromažďovanie protokolov

Analytický nástroj na hodnotenie kybernetických incidentov

  1. Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností on-premise nástroj od špecializovaného dodávateľa na identifikáciu a hodnotenie technických zraniteľností podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií. Ponúkané riešenie musí obsahovať tieto požiadavky:
    • automatický technický nástroj na skenovanie zraniteľností (Vulnerability scanner), ktorý minimálne upozorňuje na aktuálne hrozby prostredníctvom oznámenia, identifikuje a vyhodnocuje technické zraniteľnosti v prostredí zákazníka, navrhuje riešenia zraniteľností podľa ich technickej povahy, podporuje integráciu na ďalšie systémy zadávateľa, ktoré ďalej spracúvajú výstupy, zabezpečuje dôvernosť, integritu a dostupnosť spracovávaných informácií (údajov)
    • Celá správa komponentov riešenia a životného cyklu správy zraniteľností sa musí vykonávať prostredníctvom jednotnej webovej konzoly na správu nástroja.
    • Podpora skenovania zraniteľnosti aktív prostredníctvom technického účtu (overovacie skenovanie).
    • Návrh dimenzovania riešenia zameraný na 256 IP
  2. Dodanie a implementácia HW a SW pre zálohovanie dát podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť a podľa § 20 ods. 3 písm. o) zákona kontinuita prevádzky. Ponúkané riešenie musí obsahovať tieto požiadavky:
    • Primárny zálohovací server na aktívne zálohy v počte 1ks

Modelová rada: Dell R550 alebo ekvivalent

Šasi: Max. 2U rackové prevedenie

Min. 8x 3.5" diskových pozícií SAS/SATA

Procesor: Min. 2x 8 Core, 12MB Cache, nominálna frekvencia min. 2.8GHz

Min. CPU Benchmark min. 19000 pre jedno CPU

Pamäť:    Min. 64GB RAM, 3200MTs

Radič: Podpora RAID 0, 1, 5, 6, 10, 50, 60

Disky: Min. 4x 16TB SAS, 12Gbps, Hot-Plug

UEFI BIOS Boot Mode: Áno

LOM:       Áno, dedikovaný LOM port, možnosť vzdialenej konzoly

Napájací zdroj:       Min. 2x 700W Titanium, Redundant, Hot-Plug

Napájací kábel: Áno, 2x

PCIe Riser: Áno, min.3x16 LP Slots, 1x8 LP Slots

Konektivita: Min. 2x 10GbE Base-T Adapter

Min. 2x 25GbE SFP28 Adapter

Kryt predného panela: Áno, uzamykateľný

Boot Storage: Áno, min. 2x 480GB M.2 v RAID 1

Lyžiny:     Áno, vysúvacie s ramenom na kabeláž

Technická podpora: Min. 7 rokov od výrobcu, 24/7, doba vyriešenia poruchy do NBD onsite

Montáž a inštalácia: Vendor Field Deployment by Certified Deployment Distributor

  • Sekundárny zálohovací server pre imúnnu zálohu v počte 1ks

Modelová rada: Dell T150 alebo ekvivalent

Šasi: Tower prevedenie

Min. 4x 3.5" diskových pozícií SAS/SATA

Procesor: Min. 1x 4 Core, 8MB Cache, nominálna frekvencia min. 3.4GHz

Min. CPU Benchmark min. 12000 pre jedno CPU

Pamäť:    Min. 32GB RAM, 3200MTs

Radič:      Podpora RAID 0, 1, 5, 6, 10, 50, 60

Disky:      Min. 4x 16TB SAS, 12Gbps

UEFI BIOS Boot Mode: Áno

LOM:       Áno, dedikovaný LOM port, možnosť vzdialenej konzoly

Napájací zdroj:       Min. 1x 400W

Napájací kábel: Áno

Konektivita: Min. 2x 1GbE Base-T Adapter

Boot Storage: Áno, min. 2x 480GB M.2 v RAID 1

Technická podpora: Min. 7 rokov od výrobcu, 24/7, doba vyriešenia poruchy do NBD onsite

Montáž a inštalácia: Vendor Field Deployment by Certified Deployment Distributor

  • Licenčné pokrytie a implementačné služby

Licencie: Min. 1x Windows Server 2022 Standard 16 CORE

Min. 1x Veeam Data Platform Foundation – Perpetual

Proaktívny monitoring a analytika zariadení v cloudovom prostredí od výrobcu

Implementácia: Prvotná inštalácia a konfigurácia zariadení

Montáž zariadení u zákazníka

Pripojenie zariadení do existujúcej infraštruktúry LAN

Výmena a migrácia existujúceho serverového prostredia na nové zariadenia

Testovanie funkčnosti všetkých IKT systémov zákazníka po implementácii

Riešenie po implementačných požiadaviek súvisiacich s výmenou zariadení

Dokumentácia a nasadenie monitoringu zariadení

  1. Dodanie a implementácia Dátového centra podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií. Ponúkané riešenie musí obsahovať tieto požiadavky:
    • Požadované technické parametre na diskové pole na uloženie produkčných serverov a ich dát v počte 1ks:

Modelová rada: Dell ME5024 alebo ekvivalent

Šasi: Max. 2U rackove prevedenie

Min. 24x 2.5" diskových pozícií

Kontrolér: Min. Dual 8-port 25GbE, iSCSI

Dátové káble: Min. 4x DAC SFP28 to SFP28, 25GbE, 3m

Disky:      Min. 16x 1.6TB SSD SAS Mixed Use, 24Gbps, Hot-Plug

Lyžiny: Áno, vysúvacie

Napájací zdroj:       Min. 2x 580W, Redundant, Hot-Plug

Kryt predného panela: Áno, uzamykateľný

Napájaci kábel: Áno, 2x

Technická podpora: Min. 7 rokov od výrobcu, 24/7, doba vyriešenia poruchy do 4 hodín onsite

Montáž a inštalácia: Vendor Field Deployment by Certified Deployment Distributor

  • Produkčný server pre zabezpečenie vysokej dostupnosti v počte 2ks

Modelová rada: Dell R760 alebo ekvivalent

Šasi: Max. 2U rackové prevedenie

Min. 8x 2.5" diskových pozícií SAS/SATA/NVME

Procesor: Min. 2x 16 Core, 37MB Cache, nominalna frekvencia min. 2.8GHz

Min. CPU Benchmark min. 41000 pre jedno CPU

Pamäť:    Min. 128GB RAM, 5600MTs

Radič: Hardvérový, podpora RAID 0, 1, 5, 6, 10, 50, 60

Disky: Min. 4x 960GB SSD vSAS Mixed Use, 12Gbps, Hot-Plug

UEFI BIOS Boot Mode: Áno

Napájací zdroj:       Min. 2x 1100W Titanium, Redundant, Hot-Plug

Napájací kábel: Áno, 2x

PCIe Riser: Áno, min. 2x16 FH Slots (Gen4), 2x16 LP Slots (Gen4), 2x16 FH Slots (Gen5)

Konektivita: Min. 4x 10GbE Base-T Adaptér

Min. 4x 25GbE SFP28 Adaptér

Kryt predného panela: Áno, uzamykateľný

Boot Storage: Áno, min. 2x 480GB M.2 v RAID 1

LOM: Áno, dedikovaný LOM port, možnosť vzdialenej konzoly

Lyžiny: Áno, vysúvacie s ramenom na kabeláž

Technická podpora: Min. 7 rokov od výrobcu, 24/7, doba vyriešenia poruchy do 4 hodín onsite

Montáž a inštalácia: Vendor Field Deployment by Certified Deployment Distributor

  • “Top of the Rack” prepínač pre zabezpečenie vysokej dostupnosti v počte 2ks

Modelová rada: Dell S5224F-ON alebo ekvivalent

Konektivita: Min. 24x 25GbE SFP28, 4x 100GbE QSFP28

Napájací zdroj:       Min. 2x, Redundant, Hot-Plug

Napájací kábel: Áno, 2x

Technická podpora: Min. 5 rokov od výrobcu, 24/7, doba vyriešenia poruchy do NBD onsite

Montáž a inštalácia: Vendor Field Deployment by Certified Deployment Distributor

  • Licenčné pokrytie a implementačné služby

Licencie: Min. 6x Windows Server 2022 Standard 16 CORE

Min. 185x Windows Server 2022 User CAL

Min. 5x Windows Server 2022 RDS User CAL

Min. 200x VMware vSphere Standard - 5-Year Prepaid Commit - Per Core

Proaktívny monitoring a analytika zariadení v cloudovom prostredí od výrobcu

Implementácia: Prvotná inštalácia a konfigurácia zariadení

Montáž zariadení u zákazníka

Pripojenie zariadení do existujúcej infraštruktúry LAN

Výmena a migrácia existujúceho serverového prostredia na nové zariadenia

Testovanie funkčnosti všetkých IKT systémov zákazníka po implementácii

Riešenie po implementačných požiadaviek súvisiacich s výmenou zariadení

Dokumentácia a nasadenie monitoringu zariadení

  1. Dodanie a implementácia Emailového servra a zabezpečenia emailovej komunikácie podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií. Ponúkané riešenie musí obsahovať tieto požiadavky:

Min. 1x Exchange Server Standard, License and Software Assurance, 3Y Aq Y1 AP

Min. 170x Exchange Standard CAL SLng LSA OLV NL 3Y Aq Y1 AP User CAL

Implementácia:      

Implementácia emailového servera na platforme Exchange Server

Migrácia existujúceho emailového servera, nastavení, pravidiel, zabezpečenia a všetkých emailových schránok na nový emailový server

Testovanie funkčnosti emailovej komunikácie zákazníka po implementácii

Riešenie po implementačných požiadaviek súvisiacich s výmenou servera Dokumentácia a nasadenie monitoringu servera

P.č.

Názov hodnotiaceho kritéria

Parametre v projekte

Zdroj

1.

Miera rizík ohrozujúcich úspešnú realizáciu projektu

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.

2.

Administratívne, odborné a prevádzkové kapacity žiadateľa

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky  riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

3.

Miera oprávnenosti výdavkov projektu.

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity. 

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

-           Organizácia kybernetickej a informačnej bezpečnosti

-           Riadenie rizík

-           Personálna bezpečnosť

-           Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

-           Personálna bezpečnosť

-           Riadenie prístupov

-           Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

-           Bezpečnosť pri prevádzke informačných systémov a sietí

-           Hodnotenie zraniteľností a bezpečnostné aktualizácie

-           Sieťová a komunikačná bezpečnosť

-           Akvizícia, vývoj a údržba informačných technológií verejnej správy

-           Zaznamenávanie udalostí a monitorovanie

-           Kryptografické opatrenia

-           Kontinuita prevádzky

-           Audit a kontrolné činnosti

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

4.

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.

§ 24 ods. 2 písm. a) – kategória: I.

§ 24 ods. 2 písm. b) a c) – kategória: II.

§ 24 ods. 2 písm. d) – kategória: III.

§24 ods. 2 písm. e) – kategória: I,

Dopad kybernetického bezpečnostného incidentu v závislosti

Kategória

Vysvetlenie

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

I.

Počet interných zamestnancov: 46

Počet klientov:

- Fyzické osoby (občania): 35 431 (k 31.12.2023, zdroj Štatistický úrad SR)

- Právnické osoby: 1950 (údaje za rok 2023)

Celkom dotknutých osôb: 37381

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona

Geografické rozšírenie kybernetického bezpečnostného incidentu.

II.

Mesto Spišská Nová Ves má 8 ISVS, ktoré sú technicky realizované pre účely základnej služby pomocou 5 IS. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní (sedem a pol hodiny), čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby v rozsahu 3750 hodín z pohľadu zamestnancov, nedostupnosť základnej služby pre obyvateľov mesta a právnické osoby v celkovom rozsahu 186905 hodín.

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

Stupeň narušenia fungovania základnej služby.

III.

Incident spôsobí úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie. V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

I.

V prípade nefunkčnosti budú zasiahnutí zamestnanci obce, občania a podnikateľské subjekty, či iné organizácie. Incident môže spôsobiť hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 250 000 eur, či narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti okresu.

3.3       Zainteresované strany/Stakeholderi

ID

AKTÉR / STAKEHOLDER

SUBJEKT

(názov / skratka)

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

Informačný systém

(MetaIS kód a názov ISVS)

1.

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

MIRRI

Orgán vedenia

Isvs_63 MetaIS

2.

Občan / podnikateľ

G2B/G2C

Konzument elektronických služieb

 

3.

Zamestnanec mesta

G2E

Spracovateľ elektronických služieb

 

4.

Mesto

Spišská Nová Ves

Orgán riadenia v roli prijímateľa

ISVS a infraštruktúra

3.4       Ciele projektu

ID

 

Názov cieľa

Názov strategického cieľa

Spôsob realizácie strategického cieľa

ID01

RSO 1.2, kat. MRR

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Komplexné zvýšenie úrovne kybernetickej bezpečnosti implementáciou aplikačného a technologického vybavenia.

 

3.5       Merateľné ukazovatele (KPI)

Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.

ID

 

ID/Názov cieľa

Názov
ukazovateľa (KPI)

Popis
ukazovateľa

Merná jednotka
 

AS IS
merateľné hodnoty
(aktuálne)

TO BE
Merateľné hodnoty
(cieľové hodnoty)

Spôsob ich merania

Pozn.

ID01

Výstup PO095 / PSKPSOI12

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a  modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

Počet verejných inštitúcií

0

1

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

...

ID02

Výsledok PR017 / PSKPRCR11

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

Ukazovateľ PR017 uvádza počet všetkých zamestnancov mesta Spišská Nová Ves, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu

používatelia / rok

0

50

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.

V prípade mesta Spišská Nová Ves ide o počet zamestnancov, ktorí využívajú IS mesta Spišská Nová Ves alebo akékoľvek elektronické zariadenia v správe mesta Spišská Nová Ves SR.

Čas plnenia merateľného ukazovateľa projektu:

v rámci udržateľnosti projektu

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

3.6       Špecifikácia potrieb koncového používateľa

Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového  používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu  bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia mesta Spišská Nová Ves budú priamo profitovať subjekty využívajúce elektronické služby samospráv, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.

.

3.7       Riziká a závislosti

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.

3.8       Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v meste Spišská Nová Ves pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.

image-2024-7-3_23-11-57-1.png

 

Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí obce, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti správy veci verejných v obci či poskytovania služieb občanom.

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

3.9       Multikriteriálna analýza

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

Spracovanie MCA

 

KRITÉRIUM

ZDÔVODNENIE KRIÉRIA

STAKEHOLDER

MIRRI

STAKEHOLDER

G2B/G2C

STAKEHOLDER

G2E

STAKEHOLDER

PZS

BIZNIS VRSTVA

 

Kritérium A (KO) Nasadenie firewall do celého prostredia infraštruktúry

Nasadenie nového firewallu tak, aby chránil celé prostredie, nie len jeho vybranú časť.

X

 

 

 

X

Kritérium B

Plošné zabezpečenie prostredia bez SPoF

Komplexné zlepšenie ochrany bez vytvorenia rizikovej oblasti s vysokou zraniteľnosťou.

X

 

 

 

X

Kritérium C

Zabezpečenie zvýšenia úrovne KB nad HW aj SW časťou infraštruktúry

Zvýšenie úrovne KB je potrebné realizovať holisticky bez preferencie jednotlivých prostredí.

X

 

 

 

X

Kritérium D

Kontinuálne poskytovanie elektronických služieb s vysokou dostupnosťou

Implementácia projektu bez narušenia poskytovania elektronických služieb.

 

X

X

 

X

Vyhodnotenie MCA

Zoznam kritérií

Alternatíva

1

Spôsob

dosiahnutia

Alternatíva 2

Spôsob

dosiahnutia

Alternatíva

3

Spôsob dosiahnutia

Kritérium A

Nie

N/A

Áno

Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie Firewallu na všetky aktíva.

Áno

V alternatíve 3 sa síce implementujú všetky navrhované nástroje, ale sú neefektívne rozložené v čase

Kritérium B

Nie

N/A

Áno

Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej časti aktív.

Nie

N/A

Kritérium C

Nie

N/A

Áno

Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW aj HW časti aktív.

Nie

N/A

Kritérium D

Nie

N/A

Áno

Systematické a plošné zvýšenie úrovne KB vytvorí základný predpoklad pre neohrozenie poskytovania elektronických služieb.

Čiastočne

Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.

 

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.

4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií:

Oblasť organizácia kybernetickej bezpečnosti:

  • Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  • Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),
  • Štatút bezpečnostného výboru, rokovací poriadok.

Oblasť aktíva:

  • Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
  • Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).

Oblasť incidenty:

  • Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),
  • Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).

Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí

  • Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).
  • Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,
  • Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR), 
  • Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),
  • Smernica pre riadenie zmien (Klasifikačný stupeň Interné).

Oblasť tretie strany:

  • Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),
  • Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),
  • Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.

Oblasť riadenie rizík:

  • Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  • Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  • Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).

Oblasť špecifické (riadenie súladu a audit):

  • Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
  • Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).

5.     NÁHĽAD ARCHITEKTÚRY

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:

Organizácia kybernetickej a informačnej bezpečnosti

  • Vypracovanie a aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení. Vytvorenie systému riadenia informačnej bezpečnosti vrátane metodiky riadenia aktív a rizík (vrátane nástroja na ich evidenciu) v súlade so zákonom 69/2018 Z. z. a vyhláškou 362/2018 Z. z. Spolupráca pri zavádzaní systému riadenia informačnej bezpečnosti do praxe. Táto činnosť bude zahŕňať:
    - Organizácia bezpečnosti
    - Riadenie bezpečnostných rizík 
    - Riadenie informačných aktív
    - Pravidlá správania a dobrej praxe
    - Riadenie dodávateľských vzťahov
    - Riadenie vývoja a údržby v oblasti informačno-komunikačných technológií
    - Riadenie a prevádzka informačno-komunikačných technológií
    - Riadenie súladu 
    - Riadenie kontinuity procesov a činností

Riadenie rizík

  • Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu.
  • Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

Kontinuita prevádzky

  • Vypracovanie stratégie a krízových  plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu. Vypracovanie plánov kontinuity   prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie  a zapracovanie nedostatkov z výsledkov testovania. Vypracovanie   interného   riadiaceho   aktu   obsahujúceho   a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie. Vypracovanie   postupov   zálohovania   na   obnovu   siete   a informačného systému   po   jeho   narušení   alebo   zlyhaní   v dôsledku   kybernetického bezpečnostného incidentu alebo inej krízovej situácie.

Sieťová a komunikačná bezpečnosť

  • Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov. 

Sieťová a komunikačná bezpečnosť - Firewall NGFW

Zabezpečenie kybernetickej bezpečnosti podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť
-mplementácia centrálnej brány firewall v konfigurácii aktívneho/záložného klastra
-Segmentácia vnútornej siete
-Zabezpečenie ochrany perimetra
-Zabezpečenie ochrany pred pokročilými hrozbami

Minimálne požiadavky:
 - Aktívna/pohotovostná konfigurácia klastra
 - Redundantné napájanie
 - Dostatočný počet portov 10G/1G (externé pripojenie + interná segmentácia)
 - Podpora IPv4 a IPv6
 - podpora dynamického smerovania
 - Podpora VLAN
 - riadenie prevádzky až do úrovne L7
 - Kontrola prevádzky na úrovni aplikácií a URL - webový filter, aplikačný filter
 - Podpora SSL VPN a Site2Site
 - antivírusová/antiransomvérová/antimalvérová kontrola prevádzky s automatickou aktualizáciou podpisov
 - technológia sandboxing
 - Integrácia služby Active Directory
 - centralizovaná správa konfigurácie a zhromažďovanie protokolov
 - analytický nástroj na hodnotenie kybernetických incidentov

Sieťová a komunikačná bezpečnosť - Komunikačná infraštruktúra 

Posilnenie komunikačnej infraštruktúry podľa § 20 ods. 3 písm. i) zákona sieťová a komunikačná bezpečnosť a podľa § 20 ods. 3 písm. o) zákona kontinuita prevádzky
LAN - ks prepínače
- výška 1U,  možnosť stackovania
- 4ks -  48x GBase-T portov napájenie PoE 802.3at, min. 4x SFP56 porty,  vrátane transceiverov, redundantné napájanie
- jumbo frames 9kB
- podpora IPv4 a IPv6, OSPF,
- inštalácia, konfigurácia, integrácia do existujúceho prostredia

Bezdrôtová sieť
- 10ks prístupových bodov AP WIFI6, dual radio 4x4:4 MIMO (2.4GHz, 5GHz, multirate port, vrátane montážnej sady)
- Centrálna administrácia v cloude
- inštalácia vrátane natiahnutie kabeláže, konfigurácie, prieskumu miesta bezdrôtovej siete

802.1x - Networks Access Control
- 1x virtuálne zariadenie
- riadenie prístupu do siete pre približne 200 zariadení
-inštalácia, konfigurácia a integrácia do existujúceho prostredia

Správa siete 
- centralizovaná správa sieťových zariadení v cloude
- teraz pre 14 zariadení, v budúcnosti možné rozšírenie
- podpora automatizácie sieťových úloh
- rozhranie REST API
- konfigurácia

Implementácie zálohovacích serverov

Implementácia zálohovacích serverov je zásadným krokom pre zabezpečenie nepretržitej dostupnosti a ochrany dát organizácie. Tento projekt pozostáva z inštalácie primárneho a sekundárneho zálohovacieho servera, licenčného pokrytia a implementačných služieb.

Zaznamenávanie udalostí a monitorovanie - Log manažment

  • Správa logov podľa požiadaviek vyhlášky k zákonu o kybernetickej bezpečnosti podľa § 20 ods. 3 písm. k) zákona zaznamenávanie udalostí a monitorovanie.

Implementácia centrálneho systému pre zber a ukladanie logov z jednotlivých informačných systémov. Vypracovanie   dokumentácie   spôsobu   monitorovania   a   fungovania   Log manažment     systému     a     centrálneho     nástroja     na     bezpečnostné monitorovanie     a zadefinovanie     spôsobu     evidencie     prevádzkových záznamov,      ich      vyhodnocovania,      spôsobu      hlásenia      podozrivej aktivity, zodpovednej osoby a ďalších povinností.
- Požiadavky na výkon: Schopnosť spracovať 5000 EPS (udalostí za sekundu), Uchovávanie logov minimálne 12 mesiacov s dostatočnou rezervou pre plánovaný nárast objemu uchovávaných logov v priebehu nasledujúcich 5 rokov, Údaje sú uložené na vlastnom internom úložisku, nie v cloude
- Požiadavky na komunikáciu: Schopnosť prijímať protokoly z viacerých zdrojov, Pravidelná aktualizácia vstupných filtrov, Prijímanie protokolov prostredníctvom protokolu SYSLOG cez UDP aj TCP, Schopnosť prijímať správy s veľkosťou aspoň 4 kB, Preposielanie protokolov prostredníctvom protokolu SYSLOG v nezmenenej podobe, Schopnosť preposielať štandardizované informácie v určitom spoločnom štruktúrovanom formáte
- Požiadavky na používateľov: RBAC (prístupové práva na základe rolí používateľov, t. j. kombinácia jednotlivých systémov a atribútov protokolov voči používateľom a ich rolám), audit činnosti používateľov
- Funkcie spracovania údajov: Vyhľadávanie a filtrovanie na základe normalizovaných atribútov, fulltextové vyhľadávanie, asynchrónne vyhľadávanie (nie je potrebné čakať na výsledok dlhšieho dotazu, možno ho „vyzdvihnúť“ dodatočne), zobrazené výsledky vyhľadávania rešpektujú rolu používateľa (nezobrazujú sa ani výňatky z neprístupných protokolov), Funkcia „Live tail“ (priebežné zobrazovanie prijatých protokolov), Možnosť anonymizovať vybrané atribúty, Možnosť definovať vlastné výstrahy spúšťané na základe výskytu a frekvencie definovaných podmienok, Možnosť definovať vlastný panel v grafickom používateľskom rozhraní
- Dostupnosť dobre zdokumentovaného rozhrania API 

Automatizovaný nástroj na identifikáciu a hodnotenie zraniteľností

Predmetom je on-premise nástroj od špecializovaného dodávateľa na identifikáciu a hodnotenie technických zraniteľností podľa § 20 ods. 3 písm. g) zákona hodnotenie zraniteľností a bezpečnostných aktualizácií.
Ponúkané riešenie musí obsahovať tieto požiadavky:
- automatický technický nástroj na skenovanie zraniteľností, ktorý minimálne upozorňuje na aktuálne hrozby prostredníctvom oznámenia, identifikuje a vyhodnocuje technické zraniteľnosti v prostredí zákazníka, navrhuje riešenia zraniteľností podľa ich technickej povahy, podporuje integráciu na ďalšie systémy zadávateľa, ktoré ďalej spracúvajú výstupy, zabezpečuje dôvernosť, integritu a dostupnosť spracovávaných informácií (údajov)
- Celá správa komponentov riešenia a životného cyklu správy zraniteľností sa musí vykonávať prostredníctvom jednotnej webovej konzoly na správu nástroja.
- Podpora skenovania zraniteľnosti aktív prostredníctvom technického účtu (overovacie skenovanie).
- Návrh dimenzovania riešenia zameraný na 256 IP

Emailový server a zabezpečenia emailovej komunikácie

Implementácia emailového servera na platforme Exchange Server. V rámci implementácie musí byť realizovaná aj migrácia existujúceho emailového servera, nastavení, pravidiel, zabezpečenia a všetkých emailových schránok na nový emailový server. Následne po implementácii nasleduje testovanie funkčnosti emailovej komunikácie zákazníka.

Náhľad aplikačnej to be vrstvy architektúry

image-2024-7-3_23-12-48-1.png

Náhľad technologickej to be vrstvy architektúry

image-2024-7-3_23-13-1-1.png

Aplikačné prostredie z pohľadu informačných systémov verejnej správy mesta Spišská Nová Ves pozostáva z nasledovných komponentov:

Kód ISVS (z MetaIS)

Názov ISVS

Modul ISVS

(zaškrtnite ak ISVS je modulom)

Stav IS VS

Typ IS VS

Kód nadradeného ISVS

(v prípade zaškrtnutého checkboxu pre modul ISVS)

isvs_14453

Registratúra

Prevádzkovaný a plánujem rozvoj

  Agendový

 

isvs_14452

MsP Kamery

Prevádzkovaný a plánujem rozvoj

  Agendový

 

isvs_14451

Účtovníctvo

Prevádzkovaný a neplánujem rozvoj

  Agendový

 

isvs_14450

Digitálne sídlo Spišská Nová Ves

  Prevádzkovaný a neplánujem rozvoj

  Agendový

 

isvs_11846

Web mesta Spišská Nová Ves

Prevádzkovaný a plánujem rozvoj

  Agendový

 

isvs_14449

Služby DCOM

Prevádzkovaný a plánujem rozvoj

  Agendový

 

isvs_14448

Korwin

Prevádzkovaný a plánujem rozvoj

  Agendový

 

isvs_11848

IS GIS

Prevádzkovaný a plánujem rozvoj

  Agendový

 

 

5.1       Prehľad e-Government komponentov

5.1.1        Prehľad koncových služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

5.1.2        Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.3        Prehľad budovaných aplikačných služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.4        Prehľad integrácii ISVS na spoločné ISVS[1] a ISVS iných OVM alebo IS tretích strán

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.

5.1.5        Aplikačné služby na integráciu

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

5.1.6        Poskytovanie údajov z ISVS do IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

5.1.7        Konzumovanie údajov z IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

5.1.8        Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

6.     LEGISLATÍVA

Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.

Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob  kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

7.     ROZPOČET A PRÍNOSY

Názov položky

Počet

Skupina nákladov

Cena celkom s DPH

I. Zavedenie ISMS

1 komplet

518 – Ostatné služby

24 480,00 EUR

II. Dodanie a Implementácia Log Management systému

1 komplet

518 – Ostatné služby

23 400,00 EUR

III. Dodanie Automatizovaného nástroja na identifikáciu a hodnotenie zraniteľností

1 komplet

013 – Softvér

40 782,00 EUR

III. Implementácia Automatizovaného nástroja na identifikáciu a hodnotenie zraniteľností

1 komplet

518 – Ostatné služby

4 680,00 EUR

IV. Dodanie Dátového centra HW

1 komplet

022 – HW

119 880,00 EUR

IV. Dodanie Dátového centra SW

1 komplet

013 – Softvér

29 251,20 EUR

IV. Implementácia Dátového centra

1 komplet

518 – Ostatné služby

8 400,00 EUR

V. Dodanie HW zálohovanie dát

1 komplet

022 – HW

22 800,00 EUR

V. Dodanie SW zálohovanie dát

1 komplet

013 – Softvér

4 812,00 EUR

V. Implementácia HW a SW pre zálohovanie dát

1 komplet

518 – Ostatné služby

3600,00 EUR

VI. Dodanie Kontroly a zabezpečenia sieťového prístupu

1 komplet

022 – HW

70 728,00 EUR

VI. Implementácia Kontroly a zabezpečenia sieťového prístupu

1 komplet

518 – Ostatné služby

4 200,00 EUR

VII. Dodanie Emailového servra a zabezpečenia emailovej komunikácie

1 komplet

013 – Softvér

36 100,80 EUR

VII. Implementácia Emailového servra a zabezpečenia emailovej komunikácie

1 komplet

518 – Ostatné služby

5 040,00 EUR

Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach

7%

907 - Paušálna sadzba

27 870,78 EUR

Celková suma

 

 

426 024,78 EUR

7.1       Sumarizácia nákladov a prínosov

Náklady

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Všeobecný materiál

 

IT - CAPEX

 

Služby

73 800,00

SW

110 946,00

HW

213 408,00

IT - OPEX- prevádzka

 

Aplikácie

 

SW

9 880,00

HW

12 420,00

Prínosy

 

Finančné prínosy

 

Administratívne poplatky

 

Ostatné daňové a nedaňové príjmy

 

Ekonomické prínosy

 

Občania (€)

 

Úradníci (€)

 

Úradníci (FTE)

 

Kvalitatívne prínosy

 

 

 

8.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.

ID

FÁZA/AKTIVITA

ZAČIATOK

(odhad termínu)

KONIEC

(odhad termínu)

POZNÁMKA

1.

Prípravná fáza a Iniciačná fáza

01/2024

12/2024

 

2.

Realizačná fáza

01/2025

12/2025

 

2a

Analýza a Dizajn

01/2025

03/2025

 

2b

Nákup technických prostriedkov, programových prostriedkov a služieb

01/2025

12/2025

Je potrebné obstarať dodávateľa IS riešenia/ licencie[2]/ konzultačné služby

2c

Implementácia a testovanie

04/2025

09/2025

Tvorba dokumentácie výstupov

2d

Nasadenie a PIP

10/2025

12/2025

PIP - 2 mesiace po nasadení

4.

Podpora prevádzky (SLA)

01/2026

12/2028

 

Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

9.     PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

  • Predseda RV
  • Biznis vlastník
  • Zástupca prevádzky
  • Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
  • Projektový manažér objednávateľa (PM)

ID

Meno a Priezvisko

Pozícia

Oddelenie

Rola v projekte

1.

TBD

Primátor

Primátor mesta

Predseda RV

2.

 TBD

TBD

TBD

Biznis vlastník

3.

TBD

TBD

TBD

Zástupca prevádzky

4.

TBD

TBD

TBD

Zástupca dodávateľa

Zostavuje sa Projektový tím objednávateľa

  • kľúčový používateľ,
  • biznis vlastník
  • manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)

ID

Meno a Priezvisko

Pozícia

Oddelenie

Rola v projekte

1.

TBD

Referent

Oddelenie kultúry a Regionálne turistické a informačné centrum

Kľúčový používateľ

4.

Ing. Štefan Pohly

Manažér kybernetickej bezpečnosti

Oddelenie informatiky

MKB

5.

Zuzana Valkoššáková, Ing.

Projektový manažér

TBD

Projektový manažér

9.1        PRACOVNÉ NÁPLNE

Kľúčový používateľ

  • Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.
  • Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.
  • Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.
  • plní pokyny PM a dohody zo stretnutí projektového tímu.

 

Manažér kybernetickej bezpečnosti

  • Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).
  • Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.
  • Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.
  • Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.
  • Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
  • Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

Projektový manažér

  • Zodpovedá za riadenie projektu počas celého životného cyklu projektu.
  • Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.
  • Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
  • Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.
  • Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
  • Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je  hlavnou kontaktnou osobou pre zákazníka.

10.  ODKAZY

Bez odkazov

11.  PRÍLOHY

Príloha 1: Zoznam rizík a závislostí

Koniec dokumentu

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente

[2] EUPL licencie: https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf