projekt_2858_Pristup_k_projektu_detailny

1

= {{id name="projekt_2858_Pristup_k_projektu_detailny-OPISNAVRHOVANÉHORIEŠENIA"/}}OPIS NAVRHOVANÉHO RIEŠENIA =

2

3

V rámci predloženého projektu sú navrhované nasledovné riešenia:

**~ **

**Čiastková aktivita a) Organizácia KB, **

8

9

Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

10

11

1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.

12

1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.

13

1. Bude aktualizovaný stav bezpečnostného výboru organizácie.

14

1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.

\\

**Čiastková činnosť b) Softvér na automatizované riadenie rizík KB, **

19

20

Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

21

22

1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).

23

1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

24

1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).

25

1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.

26

27

* Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.

28

* Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).

29

* **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.

30

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).

31

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).

32

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80

\\

__Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__

37

38

* Evidenciu aktív, rizík i hrozieb,

39

* Automatické hodnotenie a kalkulácia rizík a hrozieb,

40

* Zvládanie opatrení navrhnutá softvérovo,

41

* Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,

42

* Automatické generovanie podkladov pre audit,

43

* Integrácia s ostatnými systémami pre automatické zakladanie aktív,

44

* Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,

45

* Generovanie dokumentov ZHR, POA a PZR pre audit,

46

* Notifikácia opatrení,

\\

**Čiastková činnosť c) Personálna bezpečnosť, **

51

52

Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:

53

54

1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia

55

1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania

56

1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia

57

1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky

58

1. Budú zavedené postupy na ukončenie pracovného pomeru

59

1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík

60

1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov

61

1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.

62

1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.

\\

**Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS, ** Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:

67

68

1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.

69

1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.

70

1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.

71

72

* Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.

**~ **

**Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:**

77

78

**LogManagement s neobmedzeným zberom logov vrátane HW**

79

80

* Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru,

81

* Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,

82

* Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované (rozdeľované) do príslušných políčok podľa ich typu,

83

84

* Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,

85

* Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,

86

* Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,

87

* Konsolidácia logov na centrálnom mieste,

88

* Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,

89

* Grafické znázornenie udalostí (grafy udalostí),

90

* Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,

91

* Automatické doplňovanie reverzných DNS záznamov k IP adresám,

92

* V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,

93

* Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,

94

* HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,

95

* HW vrátane virtualizačného riešenia,

\\

**__Zdôvodnenie nevyhnutnosti výdavku:__**

100

101

Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2.

\\

__Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz.__

106

107

__Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a__ __napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.

\\

\\

**__Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva__ __(ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak__ __sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže__ __spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným__ __systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. __**

\\

Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.

\\

Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.

\\

__Z pohľadu kompletného zberu logov bude vyhodnocované:__

126

127

* //prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov//

128

* //vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti//

129

* //manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami//

130

* //neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení//

131

* //začatie a ukončenie činností technických aktív//

132

* //kritické a chybové hlásenia technických aktív//

133

* //prístup a neúspešný pokus o prístup k záznamom udalostí//

134

* //manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí//

135

* //zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí//

136

* //ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.//

\\

\\

**Čiastková činnosť o) Audítorská a kontrolná činnosť, **

143

144

Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:

145

146

1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.

147

1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2.

148

1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu.

149

1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností.

150

1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom.

151

1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.

152

1. Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.

153

1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.

\\

Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

\\

(% class="" %)|(((

Architektúra riešenia projektu na úrovni biznis vrstvy

163

)))|(((

164

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

165

166

**žiadateľa nerelevantný**

167

)))

168

(% class="" %)|(((

169

Architektúra riešenia projektu na úrovni aplikačnej vrstvy

170

)))|(((

171

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

172

173

**žiadateľa nerelevantný**

174

)))

175

(% class="" %)|(((

176

Architektúra riešenia projektu na úrovni dátovej vrstvy

177

)))|(((

178

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

179

180

**žiadateľa nerelevantný**

181

)))

182

(% class="" %)|(((

183

Architektúra riešenia projektu na úrovni technologickej vrstvy

184

)))|(((

185

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

186

187

**žiadateľa nerelevantný**

188

)))

189

(% class="" %)|(((

190

Infraštruktúra navrhovaného riešenia

191

)))|(((

192

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

193

194

**žiadateľa nerelevantný**

195

)))

196

(% class="" %)|(((

197

Bezpečnostná architektúra

198

)))|(((

199

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

200

201

**žiadateľa nerelevantný**

202

)))

203

(% class="" %)|(((

204

Špecifikácia údajov spracovaných v projekte, čistenie údajov

205

)))|(((

206

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

207

208

**žiadateľa nerelevantný**

209

)))

210

(% class="" %)|(((

211

Závislosti na ostatné IS/Projekty

)))|(((

**Áno**

)))

(% class="" %)|(((

Zdrojové kódy

)))|(((

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

219

220

**žiadateľa nerelevantný**

221

)))

222

(% class="" %)|(((

223

Prevádzka a údržba výstupov projektu

224

)))|(((

225

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

226

227

**žiadateľa nerelevantný**

228

)))

229

(% class="" %)|(((

230

Požiadavky na personál

231

)))|(((

232

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

233

234

**žiadateľa nerelevantný**

235

)))

236

(% class="" %)|(((

237

Implementácia a preberanie výstupov projektu

)))|(((

**Áno**

)))

\\

\\

= {{id name="projekt_2858_Pristup_k_projektu_detailny-ZÁVISLOSTINAOSTATNÝCHIS"/}}ZÁVISLOSTI NA OSTATNÝCH IS =

**// //**

ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov.

\\

[[image:attach:image-2024-8-9_8-21-4-1.png||height="400"]]

255

256

[[image:attach:image-2024-8-9_8-21-26-1.png||height="400"]]

257

258

[[image:attach:image-2024-8-9_8-21-36-1.png||height="400"]]

259

260

[[image:attach:image-2024-8-9_8-21-49-1.png||height="400"]]

\\

= {{id name="projekt_2858_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV =

**~ **

Projekt bude realizovaný metódou Waterfall:

269

270

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

[[image:attach:image-2024-8-9_8-22-23-1.png||height="400"]]

\\

Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.

279

280

Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.

281

282

Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.

283

284

__Tieto fázy sú nasledovné:__

285

286

1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.

287

1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.

288

1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.

289

1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.

290

1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.

291

1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.

292

293

**Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.

**~ **

**Kvantitatívne prínosy projektu: **

298

299

* Zníženie nákladov spojených so sanáciou KBU/KBI

300

* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

301