projekt_2903_Pristup_k_projektu_detailny

PROJEKTOVÝ PRÍSTUP
OPIS NAVRHOVANÉHO RIEŠENIA
V rámci predloženého projektu sú navrhované nasledovné riešenia:
Čiastková aktivita a) Organizácia KB,
Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
1.
Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
2.
Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.
3.
Bude aktualizovaný stav bezpečnostného výboru organizácie.
4.
Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
Čiastková činnosť b) Softvér na automatizované riadenie rizík KB,
Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:
5.
Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).
6.
Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.
7.
Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
8.
Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
•
Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
- Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).
- Sú automatizovane pomocou nástroja riadené riziká skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.
PROJEKTOVÝ PRÍSTUP
- Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).
- Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).
- Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80
Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:
- Evidenciu aktív, rizík i hrozieb,
- Automatické hodnotenie a kalkulácia rizík a hrozieb,
- Zvládanie opatrení navrhnutá softvérovo,
- Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,
- Automatické generovanie podkladov pre audit,
- Integrácia s ostatnými systémami pre automatické zakladanie aktív,
- Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,
- Generovanie dokumentov ZHR, POA a PZR pre audit,
- Notifikácia opatrení,
Čiastková činnosť c) Personálna bezpečnosť,
Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
1.
Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
2.
Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
3.
Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
4.
Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky
5.
Budú zavedené postupy na ukončenie pracovného pomeru
6.
Budú zavedené postupy pre prípady porušenia bezpečnostných politík
7.
Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
8.
Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.
9.
Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS,
Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:
10.
Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
PROJEKTOVÝ PRÍSTUP
11.
Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
12.
Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
•
Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:
LogManagement s neobmedzeným zberom logov vrátane HW • Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru, • Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému, • Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované (rozdeľované) do príslušných políčok podľa ich typu, • Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu, • Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom, • Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov, • Konsolidácia logov na centrálnom mieste, • Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania, • Grafické znázornenie udalostí (grafy udalostí), • Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape, • Automatické doplňovanie reverzných DNS záznamov k IP adresám, • V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte, • Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení, • HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov, • HW vrátane virtualizačného riešenia,
Zdôvodnenie nevyhnutnosti výdavku:
Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2. Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz. Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a
PROJEKTOVÝ PRÍSTUP
napojením na systém riadenia rizík. Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.
Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu. Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave. Z pohľadu kompletného zberu logov bude vyhodnocované: -prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov-vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti-manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami-neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení
PROJEKTOVÝ PRÍSTUP
-začatie a ukončenie činností technických aktív-kritické a chybové hlásenia technických aktív-prístup a neúspešný pokus o prístup k záznamom udalostí-manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí-zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí-ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
Čiastková činnosť o) Audítorská a kontrolná činnosť,
Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:
1.
Bude vypracovaný program hodnotenia bezpečnosti pre definované informačnétechnológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.
2.
Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade sozákonom o kybernetickej bezpečnosti a smernicou NIS2.
3.
Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy vnevyhnutnom rozsahu.
4.
Automatizované nástroje budú implementované a používané na technickú podporuriadenia bezpečnosti a audítorských činností.
5.
Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických aaplikačných aktív automatizovaným a technickým spôsobom.
6.
Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základeskutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.
7.
Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technickédiferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.
8.
Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajúnapojenie existujúcich informácií o aktívach a používateľoch na technické zdroje –najmä MS Active Directory, API prístup do systému Log Management a importyvýstupov zraniteľnosti.
Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.
Architektúra riešenia projektu na úrovni biznis vrstvy
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Architektúra riešenia projektu na úrovni aplikačnej vrstvy
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
PROJEKTOVÝ PRÍSTUP
Architektúra riešenia projektu na úrovni dátovej vrstvy
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Architektúra riešenia projektu na úrovni technologickej vrstvy
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Infraštruktúra navrhovaného riešenia
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Bezpečnostná architektúra
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Špecifikácia údajov spracovaných v projekte, čistenie údajov
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Závislosti na ostatné IS/Projekty
Áno
Zdrojové kódy
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Prevádzka a údržba výstupov projektu
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Požiadavky na personál
V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre žiadateľa nerelevantný
Implementácia a preberanie výstupov projektu
Áno
PROJEKTOVÝ PRÍSTUP
ZÁVISLOSTI NA OSTATNÝCH IS
ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov.
PROJEKTOVÝ PRÍSTUP
PROJEKTOVÝ PRÍSTUP
PROJEKTOVÝ PRÍSTUP
IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV
Projekt bude realizovaný metódou Waterfall:
Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
PROJEKTOVÝ PRÍSTUP
Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.
Tieto fázy sú nasledovné:
1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.
2. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.
3. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.
4. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.
5. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.
6. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.
Výhody Waterfall modelu: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.
PROJEKTOVÝ PRÍSTUP
Kvantitatívne prínosy projektu:
•
Zníženie nákladov spojených so sanáciou KBU/KBI
•
Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
Kvalitatívne prínosy projektu:
•
Zníženie rizika KBI,
•
Zvýšenie súladu s platnou legislatívou,
•
Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
•
Zvýšenie detekcie KBI,
•
Zvýšte spokojnosť a dôveru používateľov,