I-02 Projektový zámer (projektovy_zamer)

PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História DOKUMENTU

1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

Použité skratky a pojmy

Konvencie pre typy požiadaviek (príklady)

N/A - neaplikuje sa

1. DEFINOVANIE PROJEKTU

Manažérske zhrnutie

Projekt „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti na  Ministerstve dopravy SR“ (ďalej aj „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v rámci Ministerstva dopravy SR (ďalej aj „MD SR“) a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

Tab.č.1 Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/)

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov MD SR voči potenciálnym kybernetickým incidentom“.

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného na Ministerstvo dopravy SR v roku 2021. Projekt je vo vecnom súlade s aktivitou programu Slovensko.

Predmetom projektu je:

• Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,
• Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

Po implementácii projektu bude MD SR pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

MD SR v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

Hlavnými beneficientom projektu je MD SR, a zamestnanci / užívatelia informačných systémov MD SR. Nepriamym beneficientom sú občania SR a subjekty komunikujúce s MD SR, resp. využívajúce agendové systémy MD SR. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod MD SR a poskytovanie služieb občanom a podnikateľom. 

Projekt je v súlade s Národnou koncepciou informatizácie verejnej správy 2021 a vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

Rozpočet projektu v zmysle aktuálnej CBA : 2 875 837 €

Motivácia a rozsah projektu

Ministerstvo dopravy SR je ako prevádzkovateľ základnej služby (ďalej aj „PZS“) zapísané do registra prevádzkovateľov základnej služby. MD SR musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale MD SR si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu. 

Z dôvodu prudkého nárastu kybernetických hrozieb je nevyhnutné vybudovanie dostatočných kapacít a zvýšenia spôsobilosti v oblasti kybernetickej bezpečnosti takým spôsobom, aby bola zaistená integrita, dôvernosť a dostupnosť informácií všetkých občanov SR. Ministerstvo dopravy Slovenskej republiky (ďalej ako „MD SR"), v súlade s ustanoveniami § 4 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti, ako organizácia, ktorá je správcom nadrezortného informačného systému vo svojej pôsobnosti zabezpečuje kybernetickú bezpečnosť informačných systémov. V súlade s ustanoveniami § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti je Ministerstvo dopravy Slovenskej republiky povinné plniť predmetné opatrenia. Týmito aspektami sú najmä monitorovanie a analýza interného kybernetického prostredia, výmena informácií o kybernetických hrozbách, ako aj riešenie mimoriadnych situácií. Cieľom projektu je zaistenie kybernetickej ochrany v podmienkach rezortu v súlade s ustanoveniami zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti"). Takto vybudovanie systémovej infraštruktúry, ktoré bude spĺňať požiadavky na moderné vysoko dostupné systémy s využitím pokročilých metód odhaľovania kybernetických ohrození, zároveň bude poskytovať podporu pre zákonom stanovené služby v oblasti prevencie kybernetických bezpečnostných incidentov, ako aj pre reaktívne služby definované zákonom o kybernetickej bezpečnosti. Zákon definuje preventívne služby ako služby, ktoré sa zameriavajú na prevenciu kybernetických bezpečnostných incidentov a to najmä:

• vytváraním bezpečnostného povedomia,
• monitorovaním a evidenciou kybernetických bezpečnostných incidentov,
• pripojením na jednotný informačný systém kybernetickej bezpečnosti,
• poskytovaním informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti,
• prijímaním a zasielaním včasného varovania pred kybernetickými bezpečnostnými incidentmi prostredníctvom jednotného informačného systému kybernetickej bezpečnosti.

V zmysle ustanovení zákona sa reaktívne služby zameriavajú na riešenie kybernetických bezpečnostných incidentov a sú nimi najmä:

• výstrahy a varovania,
• detekcia kybernetických bezpečnostných incidentov,
• analýza kybernetických bezpečnostných incidentov,
• odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,
• asistencia pri riešení kybernetického bezpečnostného incidentu na mieste, pričom pod pojmom asistencia rozumie realizácia takých úkonov a činností počas riešenia kybernetických bezpečnostných hrozieb a incidentov, ktoré nevyžadujú priame zásahy do prostredia, kde boli hrozby alebo incidenty odhalené. Asistencia spočíva v konzultáciách na strane MD SR a dodávateľa tejto služby.
• reakcia na kybernetický bezpečnostný incident,
• podpora reakcií na kybernetické bezpečnostné incidenty,
• koordinácia reakcií na kybernetické bezpečnostné incidenty,
• návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.

Predmetom projektu tak je vybudovanie kapacít a zvýšenie spôsobilosti, vybudovanie infraštruktúry, posilnenie kybernetickej bezpečnosti, zlepšenie procesov komunikácie, zberu dát, analýz, predchádzania incidentom, zrýchlenia riešenia kybernetických bezpečnostných incidentov, zvýšenia personálnej a znalostnej spôsobilosti

MD SR v roku 2021 realizovalo „Audit kybernetickej bezpečnosti“. Cieľom auditu kybernetickej bezpečnosti bolo overiť a posúdiť zhodu prijatých bezpečnostných opatrení a plnenie povinností podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosti sietí a informačných systémov prevádzkovateľa základnej služby, s požiadavkami podľa zákona, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti. Auditom kybernetickej bezpečnosti boli identifikované nedostatky pri zabezpečovaní kybernetickej bezpečnosti prevádzkovateľom základnej služby, s cieľom prijať opatrenia na ich odstránenie, nápravu alebo predchádzanie.

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale MD SR si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu. 

Cieľom audítorských prác bolo vykonať overenie a posúdenie zhody prijatých bezpečnostných opatrení a plnenie povinností podľa Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „audit kybernetickej bezpečnosti“).

Predmetom auditu kybernetickej bezpečnosti bola nasledovná základná služba prevádzkovateľa základných služieb Ministerstvo dopravy a výstavby Slovenskej republiky:

• Informačný systém verejnej správy a príslušné informačné systémy a siete:
  • JISCD
  •  NSDI – ukončená prevádzka
  • Digitálny tachograf
  • Inforeg
  • CERETRAM
  • Fabasoft
  • SAP

Na základe zistení z vykonaného auditu je možné vyjadriť, že súčasná implementácia bezpečnostných opatrení je na 5% v súlade so zákonnými požiadavkami.  

Hlavné zistenia, ktoré sú predmetom riešenia v rámci predkladaného projektu:

• Technické zraniteľnosti
  • PZS nemá implementovaný nástroj na detegovanie zraniteľností,

• Riadenie bezpečnosti sietí
  • PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby,
  • PZS nemá zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami,
  • PZS nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo,

• Riadenie prístupov
  • PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly,
  • PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov,

• Riešenie kybernetických incidentov
  • PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov. Nie je definovaný pojem kybernetického bezpečnostného incidentu,
  • PZS nemá technické ani personálne možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch. PZS nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia,

• Monitoring bezpečnosti
  • PZS nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov.

Realizované činnosti v rámci projektu

V rámci projektu bude MD SR realizovať činnosti, ktoré sú nevyhnutné pre reakciu MD SR na výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2021.

Hlavnými službami, ktoré budú v rámci projektu realizované na úrovni MD SR budú

• Zvýšenie monitorovacích, detekčných a reakčných schopnosti pre MD SR,
• riadenie rizík KIB,
• personálna bezpečnosť,
• riadenie prístupov,
• bezpečnosť pri prevádzke informačných systémov a sietí, NDR
• ochrana proti škodlivému kódu, SIEM
• sieťová a komunikačná bezpečnosť, NDR
• zaznamenávanie udalostí a monitorovanie, SIEM + XDR (na pracovných staniciach)
• fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),
• riešenie kybernetických bezpečnostných incidentov, SIEM,

Monitorovacie, detekčné a reakčné schopnosti majú za cieľ aktívne odhaľovanie pripravovaných a prebiehajúcich bezpečnostných incidentov, ich riešenie, hlásenie vládnej jednotke CSIRTu a ďalšie spracovanie získaných informácii.

Projekt má za cieľ  vybudovanie schopností preventívnych činností informačnej a kybernetickej bezpečnosti, ktoré pomôžu znižovať kybernetické riziko v rámci riadení bezpečnostných rizík. V súčasnosti v rámci personálnych výziev je potrebné riešiť jeden z najpálčivejších problémov súčasnej informačnej a kybernetickej bezpečnosti vo svete i v SR – katastrofálny nedostatok odborne zdatných pracovníkov v IT oblasti. Projekt je koncipovaný tak aby v prostredí MD SR vytvoril automatizované systémy, ktoré zmiernia tlak na nedostatok kvalifikovaného personálu.

Služby projektu nie sú typickými službami systémov typu ISVS, sprístupňujúce služby verejnosti. Jedná sa prevažne o interné služby poskytované dovnútra rezortu MD SR, ktoré majú ale veľký dosah na služby poskytované rezortom dopravy širokej aj odbornej verejnosti.

Projekt  je primárne založený na oblastiach monitoringu kybernetických bezpečnostných incidentov a formách riešenia a odstraňovania kybernetických hrozieb:

• SIEM - Security Incident and Event Management
• Nákup HW a bezpečnostného SW pre potreby KIB
• Nástroje pre monitorovanie kritických webových aplikácii
• Nástroje pre analýzu sieťovej komunikácie (NDR)
• Nástroj pre prevenciu úniku dát a ochranu PC (XDR)

SIEM - Security Incident and Event Management

Audit identifikoval, že PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov, nemá technické možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch a rovnko nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia. Z uvedeného dôvodu je navrhnutá implementácia SIEM - Security Incident and Event Management.

SIEM (Security Incident and Event Management) je špecializované riešenie, ktoré umožňuje zhromažďovať, korelovať a analyzovať udalosti zo všetkých možných vrstiev IT infraštruktúry a mnohých zariadení,. Vďaka tomuto nástroju máme  centrálny prehľad o celej podnikovej infraštruktúre prostredníctvom monitorovania prebiehajúcich udalostí, zhromažďovania konkrétnych informácií zo všetkých prvkov infraštruktúry na všetkých úrovniach (operačný systém, aplikácie, databázy, sieťové prvky) a ich následného vyhodnocovania.

SIEM poskytuje rôzne funkcie akop sú:

• Zber logov a toku dát vrátane ich uloženia
• Detekciu potencionálnych hrozieb v reálnom čase
• Monitorovanie správania sa používateľov v sieti a analýzu podozrivých aktivít na sieti.
• Vyhodnocovanie vzorov správania sa  „analýza správania útočníkov“
• Monitorovanie integrity súborov
• Detekciu hrozieb pre koncové body a včasné rozpoznávanie útokov
• Monitoring sieťovej prevádzky vrátane zisťovania potencionálnych podozrivých aktivít
• Reportovací nástroj s prednastavenými reportami a možnosťou vlastných reportov o stave bezpečnosti IT prostredia.

Nástroje pre monitorovanie kritických webových aplikácii

Audit identifikoval, že PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov. Z uvedeného dôvodu sú navrhnuté na implementáciu Nástroje pre monitorovanie kritických webových aplikácii.

Útoky zamerané na webové aplikácie sú stále sofistikovanejšie. Ich cieľom sú najmä dáta z webových aplikácií a firemných databáz, prevzatie kontroly nad obsahom, vzhľadom web stránky (hacknutie stránky) alebo spôsobenie jej nedostupnosti (DDoS útok). Nástroje na monitorovanie webových aplikácií umožnújú Online sledovať kritické webové aplikácie a hlásiť podozrivé správanie sa alebo priamo útoky na tieto aplikácie.

Nástroje pre analýzu sieťovej komunikácie (NDR)

Nakoľko audit identifikoval, že PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby, nie je zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami a rovnako nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo je navrhnutý na implementáciu Nástroj pre analýzu sieťovej komunikácie.

Nasadenie platformy NDR umožňuje sledovať a analyzovať sieťovú prevádzku v reálnom čase. Týmto spôsobom je možné detegovať a rýchlo reagovať na nebezpečné aktivity, čím sa zvyšuje bezpečnosť informačných systémov a zaisťuje nepretržitý chod služieb.

Riziká a hrozby, ktorým organizácia čelí, sú dramatické a ďaleko prekračujú  náklady spojené s implementáciou platformy NDR. Zohľadnenie požiadaviek zákona o kybernetickej bezpečnosti  nevyhnutne prináša potrebu na zabezpečenie primeraných nástrojov a opatrení na ochranu pred kybernetickými hrozbami. Nasadenie platformy NDR je dôležitým krokom v posilovaní kybernetickej bezpečnosti a ochrane kritických informačných systémov.

Systém pre analýzu sieťovej prevádzky NDR poskytuje  nasledovné funkčné a bezpečnostné riešenia:

• Systém  monitoruje sieťovú aktivitu v reálnom čase a identifikuje potenciálne kybernetické hrozby, bezpečnostné riziká a neštandardné správanie a v reálnom čase vytvára upozornenia - alerty.
• Systém analyzuje siete na základe zrkadlenej sieťovej prevádzky, nie len na základe štatistických protokolov typu NetFlow a zároveň monitoruje koncové stanice alebo ďalšie zariadenia v sieti.
• Systém analyzuje obsah dátových paketov v reálnom čase a detekuje protokol alebo aplikáciu na základe obsahu prevádzky prostredníctvom DPI (Deep Packet Inspection).
• Systém je schopný analyzovať sieť aj na základe spracovania štatistických protokolov a vyhodnocovať stav siete.

Spracovanie a ukladanie sieťových tokov

• Systém ukladá sieťové toky tak aby bolo možné robiť analýzu sieťovej komunikácie na úrovni jednotlivých tokov, vrátane vyhľadania informácií o aplikačných transakciách a ich metadátach,  obsiahnutých v danom sieťovom toku.

Analýza aplikačných a systémových logov

• Systém je schopný zbierať a analyzovať aplikačné a systémové logy vo formáte syslog z dohľadovaných zariadení a identifikovať nebezpečné alebo potenciálne škodlivé aktivity.

V prípade kybernetického incidentu slúžia tieto nástroje na spätnú rekonštrukciu udalostí, ktoré k incidentu viedli. To zahŕňa analýzu zachytených paketov a komunikácie, čo môže pomôcť pri vyšetrovaní incidentov a pochopení, ako k nim došlo.

Nástroj pre prevenciu úniku dát a ochranu PC (XDR)

Audit konštatoval, že PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly a rovnako nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov. Z uvedeného dôvodu je navrhnutý na implementáciu Nástroj pre prevenciu úniku dát a ochranu PC.

Ochrana pred hrozbami zvonku

XDR je zameraný na ochranu pred pokročilými hrozbami, ako sú malware, ransomware, botnetové útoky a ďalšie. Umožňuje zvýšiť ochranu dát aj pred externými hrozbami, keďže systém dokáže identifikovať a sledovať pohyb citlivých informácií v sieti a upozorniť  v prípade podozrivej činnosti.

Súčasťou riešenia sú detailné analytické, diagnostické a detekčno-bezpečnostné funkcie nad všetkými existujúcimi koncovými zariadeniami z pohľadu vykonania detailného preverenia, analýzy a diagnostiky týchto zariadení na prípadnú prítomnosť infekcie malvérom a v prípade jeho identifikácie aj spoľahlivé a bezpečné odstránenie tak, aby následne mohla byť na tieto zariadenia nasadená rozšírená a najmä funkčná ochrana.

V rámci tejto aktivity sa požaduje rozšírenie licencií existujúceho AV riešenia  na všetky koncové stanice  a servery (cca 800 ks) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Riešenie poskytuje  prevenciu, detekciu a reakciu na bezpečnostné incidenty využívajúcu moderné XDR princípy, šifrovanie celých diskov, správu zraniteľností a patchov používaných aplikácií. Riešenie poskytne zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou. 

Nákup HW a bezpečnostného SW pre potreby KIB - kybernetickej a informačnej bezpečnosti

Navrhované riešenia a aplikácie pre oblasť kybernetickej bezpečnosti predstavujú značnú záťaž na výpočtový výkon na analýzu veľkého množstva dát v reálnom čase, kvalitný hardvér s dostatočným výkonom je nevyhnutný na to, aby tieto nástroje fungovali efektívne a neznižovali rýchlosť a stabilitu siete. Rovnako bezpečnostné systémy musia byť neustále dostupné, aby dokázali chrániť pred hrozbami. Spoľahlivý hardvér s možnosťou redundancie znižuje riziko výpadkov a zabezpečuje nepretržitú ochranu.

Schéma riešenej architektúry v rámci projektu.

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

Zainteresované strany/Stakeholderi

 Predmetom auditu kybernetickej bezpečnosti bola nasledovná základná služba prevádzkovateľa základných služieb Ministerstvo dopravy a výstavby Slovenskej republiky:

• Informačný systém verejnej správy a príslušné informačné systémy a siete:

• JISCD

• NSDI – ukončená prevádzka

• Digitalny tachograf

• Inforeg

• CERETRAM

• Fabasoft

Ciele projektu

Merateľné ukazovatele (KPI)

Špecifikácia potrieb koncového používateľa

Z hľadiska projektu je koncovým používateľom MD SR, podriadené organizácie a jeho jednotliví zamestnanci / užívatelia informačných systémov. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v roku 2021, resp. jeho hlavné zistenia:

Hlavné zistenia:

• Technické zraniteľnosti
  • PZS nemá implementovaný nástroj na detegovanie zraniteľností,

• Riadenie bezpečnosti sietí
  • PZS nemá zavedené kontrolné mechanizmy na sledovanie aktívnych spojení na hraniciach siete a systémoch základnej služby,
  • PZS nemá zavedený jednotný postup prideľovania sieťových prestupov medzi systémami základnej služby a externými sieťami,
  • PZS nemá dostatočne implementovanú segmentáciu sietí a neriadi prístup medzi jednotlivými segmentami jednotlivo,

• Riadenie prístupov
  • PZS nemá zdokumentované prístupy do informačných systémov a nemá možnosť kontroly,
  • PZS nevykonáva dohľad na aktivitami v informačných systémoch a nemá možnosť detekcie prípadných incidentov,

• Riešenie kybernetických incidentov
  • PZS nemá definovaný ani zavedený aktuálny proces riešenia kybernetických bezpečnostných incidentov. Nie je definovaný pojem kybernetického bezpečnostného incidentu,
  • PZS nemá technické ani personálne možnosti detekcie kybernetických bezpečnostných incidentov v sieťach a informačných systémoch. PZS nemá dostatočnú schopnosť vyhodnocovať a zaznamenávať kybernetické bezpečnostné incidenty a následne prijímať ochranné opatrenia,

• Monitoring bezpečnosti
  • PZS nemá zavedený nástroj na detekciu kybernetických bezpečnostných incidentov.

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu

Riziká a závislosti

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI uložený v Meta IS

Stanovenie alternatív v biznisovej vrstve architektúry

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

1. Ponechanie súčasného stavu

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

1. Čiastočná realizácia opatrení v rámci kybernetickej a informačnej  bezpečnosti

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti riadenia rizík a personálnej bezpečnosti a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. SIEM a pod.)

1. Plnohodnotná realizácia opatrení kybernetickej a informačnej bezpečnosti

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

Multikriteriálna analýza

Vyhodnotenie MCA

Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni MD SR, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

Stanovenie alternatív v technologickej vrstve architektúry

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

1. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupom projektu budú:

• projektové výstupy podľa vyhlášky 401/2023 o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy relevantné pre predmetný typ projektu,
• nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej a informačnej  bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (1))

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

1. NÁHĽAD ARCHITEKTÚRY

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

Obr.1 Biznis funkcie / podaktivity projektu)

Za účelom zvýšenia úrovne zavedených postupov a opatrení týkajúcich sa kybernetickej a informačnej bezpečnosti (KIB)  je potrebné konsolidovať existujúcu bezpečnostnú architektúru a vybudovať a implementovať nové bezpečnostné nástroje a procesy, a to najmä v nasledovných oblastiach:

• kybernetická ochrana a bezpečnostný monitoring a identifikácia bezpečnostných incidentov,
• riadenie bezpečnostných incidentov,

• ochrana proti externým hrozbám,
• ochrana dát, dátových prenosov a komunikácie,
• zvyšovanie bezpečnostného povedomia,
• implementácia bezpečnostných opatrení na zabezpečenie súladu so zákonom,

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií:

• Kybernetická ochrana a detekcia škodlivých aktivít a bezpečnostných incidentov: Bezpečnostný monitoring IS, platforiem, aplikácií a používateľských činností a aktivít. Monitoring sietí, monitoring činností a aktivít privilegovaných používateľov. Analýza založená na big-data a machine learning algoritmoch.
• Riadenie bezpečnostných incidentov: Identifikácia a hlásenie bezpečnostných incidentov, registrácia, kategorizácia a klasifikácia bezpečnostných incidentov. Akceptácia bezpečnostných incidentov a určenie riešiteľov. Analýza a vyšetrovanie bezpečnostných incidentov a zber dôkazov. Riešenie bezpečnostných incidentov a obnova prevádzky, uzatvorenie bezpečnostných incidentov, vyhodnotenie bezpečnostných incidentov, zavedenie do KB DB, spätná väzba a poučenie sa z bezpečnostného incidentu.
• Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).
• Ochrana dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení. Proces bezpečnej výmeny informácií, riadenie SW záplat (Patch management), manažment zraniteľností.
• Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware. Manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií.

Stručný náhľad budúcej IT architektúry (biznis, aplikačná, technologická) riešenia (high-level architektonický model je predmetom dokumentu I_03  PRÍSTUP-k-PROJEKTU).

Detailne spracované požiadavky (funkčné, nefunkčné, technické) sú vyplnené v dokumente  I-02 BC/CBA, karta Katalóg požiadaviek.

Potreba jednotlivých komponentov cieľovej architektúry vychádza z analýzy súčasného stavu bezpečnostnej a technickej architektúry prostredia MD SR, analýzy rizík a potreby naplnenia legislatívnych požiadaviek. Jednotlivé komponenty architektúry bližšie popisujeme v dokumente Prístup k projektu, kde uvádzame technickú špecifikáciu a požiadavky na jednotlivé komponenty, spoločne s motiváciou, zdôvodnením a účelom týchto komponentov.

Prehľad e-Government komponentov

1. 
   
   1. 
      
      1. Prehľad koncových služieb – budúci stav:

Projekt nebuduje koncové služby.

1. 
   
   1. 
      
      1. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Projekt nebuduje/nerozvíja ISVS

1. 
   
   1. 
      
      1. Prehľad budovaných aplikačných služieb – budúci stav:

Projekt nebuduje aplikačné služby.

1. 
   
   1. 
      
      1. Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

V rámci projektu nebude realizovaná integrácia.

1. 
   
   1. 
      
      1. Aplikačné služby na integráciu

Projekt nebuduje aplikačné služby.

1. 
   
   1. 
      
      1. Poskytovanie údajov z ISVS do IS CSRÚ

Projekt nebude poskytovať údaje do IS CSRÚ.

1. 
   
   1. 
      
      1. Konzumovanie údajov z IS CSRÚ

Projekt nebude konzumovať údaje z IS CSRÚ.

1. 
   
   1. 
      
      1. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

1. LEGISLATÍVA

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

V tejto kapitole sú vymenované legislatívne normy, ktoré sa týkajú informačných technológií verejnej správy a agendy Ministerstva. Pri príprave projektu sme zohladňovali požiadavky predmetnej legilslatívy.  Zoznam neobsahuje usmernenia a technické predpisy. Zoznam legislatívnych noriem v tomto dokumente iba orientačný.

Zákony a vyhlášky týkajúce sa eGovernmentu:

Zákon č. 272/2016 Z. z. o dôveryhodných službách pre elektronické transakcie na vnútornom trhu a o zmene a doplnení niektorých zákonov (zákon o dôveryhodných službách) v znení neskorších predpisov

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 357/2015 Z. z. o finančnej kontrole a audite a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Zákon č. 10/1996 Z. z. o kontrole v štátnej správe v znení neskorších predpisov

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe

Zákon č. 540/2001 Z. z. o štátnej štatistike

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám (zákon o slobode informácií)

Zákon č. 177/2018 Z. z. o niektorých opatreniach na znižovanie administratívnej záťaže využívaním informačných systémov verejnej správy a o zmene a doplnení niektorých zákonov (zákon proti byrokracii)

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti

Zákon č. 305/2013 Z. z. o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente),

Vyhláška ÚV SR č. 8/2014 Z. z., ktorou sa vykonávajú niektoré ustanovenia zákona o e-Governmente,

Zákon č. 351/2011 Z. z. o elektronických komunikáciách,

Zákon č. 45/2011 Z. z. o kritickej infraštruktúre,

Nariadenie Európskeho parlamentu a Rady (EÚ) č. 910/2014 o elektronickej identifikácii a dôveryhodných službách pre elektronické transakcie na vnútornom trhu

Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 545/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 85/2020 Z. z. o riadení projektov v znení neskorších predpisov 

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 546/2021 Z. z., ktorou sa mení a dopĺňa vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy v znení neskorších predpisov

Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 547/2021 Z. z. o elektronizácii agendy verejnej správy

Vyhláška Národného bezpečnostného úradu č.362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1. ROZPOČET A PRÍNOSY

Sumarizácia nákladov z OPSK a prínosov

1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

Projekt bude realizovaný metódou Waterfall

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

Objednávateľ projektu vypracuje funkčnú špecifikáciu - detailnú a technickú špecifikáciu - rámcovú.

1. PROJEKTOVÝ TÍM

V rámci projektu je zostavený Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (PM)

Zostavuje sa Projektový tím objednávateľa

• kľúčový používateľ,
• IT analytik,
• IT architekt,
• biznis vlastník,
• manažér kybernetickej a informačnej bezpečnosti,
• Projektový manažér,

TBD – bude definované po schválení projektu

PRACOVNÉ NÁPLNE

1. ODKAZY

N/A

1. PRÍLOHY

Príloha :

Zoznam rizík a závislostí.xls uvedený ako príloha v MetaIS

CBA – uvedená ako príloha v MetaIS

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente