PROJEKTOVÝ ZÁMER
Vzor pre manažérsky výstup I-02
podľa vyhlášky MIRRI č. 401/2023 Z. z.

1.História DOKUMENTU

2.ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií o projekte, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer bude v zmysle vyššie uvedenej vyhlášky a v zmysle výzvy: Zvýšenie úrovne kybernetickej a informačnej bezpečnosti, číslo výzvy: PSK-MIRRI-616-2024-DV-EFRR (ďalej len „výzva“), na základe ktorej má Ministerstvo školstva, výskumu, vývoja a mládeže Slovenskej republiky (ďalej len „MŠVVaM SR“) záujem podať žiadosť o nenávratný finančný príspevok (ďalej len ŽoNFP), obsahovať: manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov a tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznam rizík a závislostí (ako príloha projektového zámeru).

Manažérske produkty – vrátane projektového zámeru – sú s ohľadom na povahu dokumentov (verejne dostupné dokumenty) formulované tak, aby nešpecifikovali detailne konkrétne riziká a dopady a nezverejňovali podrobne dokumentáciu najväčších rizík IT systémov. Uvádzajú iba oblasti identifikovaných rizík a dopadov.

2.1Použité skratky a pojmy

2.2Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

FPXX_MOD_XX

• F             – funkčná požiadavka
• XX           – číslo požiadavky
• MOD       – označenie modulu
• XX           – číslo modulu

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

Nxx

• N             – nefukčná požiadavka (NFR)
• xx           – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

Txx

• T             – technická požiadavka
• xx           – číslo požiadavky

3.DEFINOVANIE PROJEKTU

3.1Manažérske zhrnutie

MŠVVaM SR má ku dňu spracovania projektového zámeru realizovaný audit kybernetickej bezpečnosti, ktorý bol vypracovaný (na základe overení) v decembri 2023. Z auditu kybernetickej bezpečnosti vyplynuli nasledovné skutočnosti:

Celková úroveň riadenia kybernetickej bezpečnosti MŠVVaM SR v zmysle požiadaviek zákona o kybernetickej bezpečnosti, vyhlášky 362/2018 Z.z. a implementovaných opatrení KIB na MŠVVaM SR je na 54% v súlade so zákonnými požiadavkami. MŠVVaM SR ako PZS vykonáva procesy na základe dokumentácie, v zmysle požiadaviek vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oprávnených oblastiach v zmysle výzvy:

• Riadenie prístupov
• Bezpečnosť pri prevádzke informačných systémov a sietí
• Ochrana proti škodlivému kódu
• Sieťová a komunikačná bezpečnosť
• Zaznamenávanie udalostí a monitorovanie
• Riešenie kybernetických bezpečnostných incidentov
• Zabezpečenie kontinuity prevádzky
• Audity a kontrolné činnosti

V uvedených oblastiach je potrebné realizovať nasledovné opatrenia KIB na zvýšenie súladu opatrení KIB s príslušnou legislatívou:

• Zavedenie správy privilegovaných účtov
• Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
• Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami
• Zabezpečenie ochrany serverov pred kybernetickými hrozbami
• Zlepšenie sieťovej a komunikačnej bezpečnosti
• Rozšírenie logovacieho systému o korelácie a automatizáciu
• Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky
• Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti
• Audity kybernetickej bezpečnosti
  •  audit v roku 2025 (pravidelný)
  •  audit pri ukončení projektu (mimoriadny)

Hlavným problémom, ktorému MŠVVaM SR ako PZS čelí, je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý maximálny možný súlad v oblasti príslušných predpisov KIB, a súčasne, aby boli administratívne a technologické náležitosti KIB realizované tak, aby chránili IT systémy, ktoré zabezpečujú prevádzku základných služieb pred kybernetickými útokmi, plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu, boli pripravené na ďalší rozvoj IT technológií PZS,  bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.

Hlavným cieľom projektu je Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe.

Naplnením hlavného cieľa dôjde k zvýšeniu úrovne kybernetickej a informačnej bezpečnosť MŠVVaM SR podľa legislatívnych požiadaviek Zákona o kybernetickej bezpečnosti, podľa ktorého je prevádzkovateľom základných služieb a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej aj ako „zákon o ITVS“) a v zmysle vykonávacích predpisov k týmto zákonom, resp. ďalších príslušných legislatívnych rámcov. Hlavný cieľ bude realizovaný prostredníctvom nasledovných partikulárnych cieľov projektu:

•      Zavedenie správy privilegovaných účtov
• Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
• Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami
• Zabezpečenie ochrany serverov pred kybernetickými hrozbami
• Zlepšenie sieťovej a komunikačnej bezpečnosti
• Rozšírenie logovacieho systému o korelácie a automatizáciu
• Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky
• Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti
• Audity kybernetickej bezpečnosti

Cieľová skupina – správcovia IT systémov MŠVVaM SR, zamestnanci, verejnosť, podnikateľské subjekty poskytujúce IT služby MŠVVaM SR, a OVM, ktoré spolupracujú s MŠVVaM SR.

Realizáciou aktivít projektu dosiahne MŠVVaM SR naplnenie hlavného cieľa: Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe.

Projekt je v súlade s intervenčnou stratégiou Programu Slovensko 2021-2027 v nasledovných oblastiach:

1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.2

3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele:

PO095 / PSKPSOI12 – cieľová hodnota 1

PR017 / PSKPRCR11 – cieľová hodnota 700

Miesto realizácie:

Slovenská republika.

Predpokladaný rozpočet projektu (oprávnených výdavkov) je: 2 842 699,25 EUR

Sumarizácia hlavných parametrov hodnotenia predkladaného      projektu:

• implementácia nástrojov pre zavedenie zálohovania na obnovu siete a informačného systému vrátane pravidelného testovania obnovy záloh (predpoklad získania 8 bodov)
• implementácia nástrojov pre manažment konfigurácií počítačových sietí a IT aktív, zoznam ich vlastníkov/správcov, vzájomných väzieb, súvisiacej dokumentácie a zoznam a opis prostredí, v ktorom sú aktíva umiestnené a prevádzkované (tzv. CMDB), ktorý sa viaže na inventarizáciu IT aktív (predpoklad získania 9 bodov)
• implementácia nástrojov na manažment zraniteľností kybernetickej bezpečnosti a riadenie záplat a aktualizácií za účelom zabezpečiť konzistentné nasadzovanie potrebných softvérových opráv a aktualizácií (predpoklad získania 10 bodov)
• implementácia nástrojov pre zavedenie viac-faktorovej autentifikácie (predpoklad získania 7 bodov)
• implementácia nástrojov pre zavedenia manažmentu mobilných zariadení (predpoklad získania 5 bodov)
• implementácia nástrojov, ktorých cieľom je zvýšiť schopnosť detekcie škodlivých aktivít a bezpečnostných incidentov, resp. ochrana koncových bodov, dát, dátových prenosov a sieťovej komunikácie, alebo ktorých cieľom je zvýšenie ochrany pred kybernetickými útokmi z externého prostredia (predpoklad získania 11 bodov)
• Miera rizík ohrozujúcich úspešnú realizáciu projektu (menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu – predpoklad získania 20 bodov)
• Administratívne, odborné a prevádzkové kapacity žiadateľa (Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia – predpoklad získania 10 bodov)
• Miera oprávnenosti výdavkov projektu (výška neoprávnených výdavkov medzi 0 % a 7 % (vrátane) – predpoklad získania 20 bodov).

3.2Motivácia a rozsah projektu

MŠVVaM SR je právnickou osobou (IČO: 00164381) zapísanou v registri organizácií vedenom Štatistickým úradom Slovenskej republiky v zmysle § 3 ods. 1 písmena a) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, t.j. ide o subjekt vo verejnej správe, konkrétne ústrednej správe. Zároveň je MŠVVaM SR zaradené v registri prevádzkovateľov základných služieb podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o kybernetickej bezpečnosti“) v sektore verejná správa (viď: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/), t.j. je poskytovateľom základnej služby (ďalej len PZS). MŠVVaM SR poskytuje nasledovné základné služby:

• Centrálna elektronická prihláška na vysoké školy
• RIS - Rezortný́ informačný́ systém
• Centrálny register zamestnancov VŠ
• Centrálny register študentov vysokých škôl
• Portál Ministerstva školstva, vedy, výskumu a športu SR

Pripravuje sa zavedenie dvoch ďalších základných služieb:

• Portál elektronických služieb regionálneho a vysokého školstva (ESVRŠ)
• Účtovný systém „Sofia“,

ktoré budú chránené opatreniami zavedenými v rámci tohto projektu.

Z uvedeného vyplýva o.i. skutočnosť, že MŠVVaM SR má povinnosť realizovať a financovať opatrenia kybernetickej a informačnej bezpečnosti (ďalej len KIB) definované najmä v zákonoch o kybernetickej bezpečnosti a v zákone 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“) a ďalších súvisiacich predpisoch.

3.2.1 Hlavný popis problému

MŠVVaM SR má ku dňu spracovania projektového zámeru realizovaný audit kybernetickej bezpečnosti, ktorý bol vypracovaný (na základe overení) v decembri 2023. Z auditu kybernetickej bezpečnosti vyplynuli nasledovné skutočnosti:

Celková úroveň riadenia kybernetickej bezpečnosti MŠVVaM SR v zmysle požiadaviek zákona o kybernetickej bezpečnosti, vyhlášky 362/2018 Z.z. a implementovaných opatrení KIB na MŠVVaM SR je na 54% v súlade so zákonnými požiadavkami. MŠVVaM SR ako PZS vykonáva procesy na základe dokumentácie, v zmysle požiadaviek vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oprávnených oblastiach v zmysle výzvy:

• Riadenie prístupov
• Bezpečnosť pri prevádzke informačných systémov a sietí
• Ochrana proti škodlivému kódu
• Sieťová a komunikačná bezpečnosť
• Zaznamenávanie udalostí a monitorovanie
• Riešenie kybernetických bezpečnostných incidentov
• Zabezpečenie kontinuity prevádzky
• Audity a kontrolné činnosti

V uvedených oblastiach je potrebné realizovať nasledovné opatrenia KIB na zvýšenie súladu opatrení KIB s príslušnou legislatívou:

• Zavedenie správy privilegovaných účtov
• Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
• Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami
• Zabezpečenie ochrany serverov pred kybernetickými hrozbami
• Zlepšenie sieťovej a komunikačnej bezpečnosti
• Rozšírenie logovacieho systému o korelácie a automatizáciu
• Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky
• Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti
• Audity kybernetickej bezpečnosti
  •  audit v roku 2025 (pravidelný)
  •  audit pri ukončení projektu (mimoriadny)

Ako vyplýva z vyššie uvedeného, hlavným problémom, ktorému MŠVVaM SR ako PZS čelí, je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý maximálny možný súlad v oblasti príslušných predpisov KIB, a súčasne, aby boli administratívne a technologické náležitosti KIB realizované tak, aby:

• chránili IT systémy, ktoré zabezpečujú prevádzku základných služieb pred kybernetickými útokmi
• plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu
• boli pripravené na ďalší rozvoj IT technológií PZS
• a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.

3.2.2 Biznis procesy

Predmetom realizácie projektu bude zavedenie alebo aktualizácia a IT podpora nasledovných biznis procesov:

• Riadenie prístupov
• Riadenie prevádzky informačných systémov a sietí
• Ochrana proti škodlivému kódu
• Riadenie sieťovej a komunikačnej bezpečnosti
• Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti
• Zabezpečovanie kontinuity prevádzky
• Vykonávanie auditu a kontrolných činností
• Zabezpečovanie prevádzky opatrení KIB

Realizáciou projektu nesmú byť narušené existujúce procesy KIB, ktoré projektom nebudú dotknuté.

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ITVS a podporou vyššie uvedených biznis procesov sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané MŠVVaM SR ako PZS, a ktoré sú realizované prostredníctvom informačných systémov MŠVVaM SR za účelom poskytovania základných služieb.

3.2.3 Oblasti zamerania projektu

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti, zákona o ITVS a vyhlášky 326/2018 Z. z.. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy (viď prístup k projektu), ktoré sú určené na poskytovanie základnej služby (resp. základných služieb) MŠVVaM SR, nakoľko výsledky projektu budú ochraňovať všetky tieto IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

3.2.4 Rozsah projektu

Realizácia projektu sa dotkne nasledovných ISVS prevádzkovaných na úrovni MŠVVaM SR:

1. isvs_376 Centrálna elektronická prihláška na vysoké školy
2. isvs_6092 RIS - Rezortný informačný systém
3. isvs_6712 Centrálny register zamestnancov VŠ
4. isvs_374 Centrálny register študentov vysokých škôl
5. isvs_6301 Portál Ministerstva školstva, vedy, výskumu a športu SR (WEB)

Uvedené ISVS sú technologicky prevádzkované prostredníctvom 17 samostatných softvérových technológií (informačných systémov).      

Realizácia projektu sa dotkne nasledovných subjektov:

• MŠVVaM SR ako PZS
• Interní zamestnanci MŠVVaM SR
• Občania, podnikatelia a iné subjekty využívajúce základné služby MŠVVaM SR
• IS externých subjektov, ktoré sú poskytované ako služba pre MŠVVaM SR
• IS externých subjektov, ktoré využívajú služby ISVS MŠVVaM SR, ktoré sú predmetom ochrany opatreniami KIB realizovanými v rámci projektu

3.2.5 Motivácia a obmedzenia pre dosiahnutie cieľov projektu

Hlavnou motiváciou je realizácia opatrení KIB definovaných v zákone o kybernetickej bezpečnosti a v zákone o ITVS. Vďaka realizácii týchto opatrení budú IS MŠVVaM SR (a to primárne tie, ktoré zabezpečujú prevádzku základných služieb) chránené v maximálnej možnej miere pred kybernetickým incidentom, ktorý by mohol mať na IS MŠVVaM SR nasledovný dopad:

Okrem eliminácie dopadov uvedených v tabuľke vyššie sú motiváciou realizácie projektu činnosti nadväzujúce na odstraňovanie najvyššej miery nesúladu podľa auditu kybernetickej bezpečnosti (viď kapitola 3.2.1):

• implementácia nástrojov pre zavedenie zálohovania na obnovu siete a informačného systému vrátane pravidelného testovania obnovy záloh
• implementácia nástrojov pre manažment konfigurácií počítačových sietí a IT aktív, zoznam ich vlastníkov/správcov, vzájomných väzieb, súvisiacej dokumentácie a zoznam a opis prostredí, v ktorom sú aktíva umiestnené a prevádzkované (tzv. CMDB), ktorý sa viaže na inventarizáciu IT aktív
• implementácia nástrojov na manažment zraniteľností kybernetickej bezpečnosti a riadenie záplat a aktualizácií za účelom zabezpečiť konzistentné nasadzovanie potrebných softvérových opráv a aktualizácií
• implementácia nástrojov pre zavedenie viac-faktorovej autentifikácie
• implementácia nástrojov pre zavedenia manažmentu mobilných zariadení
• implementácia nástrojov, ktorých cieľom je zvýšiť schopnosť detekcie škodlivých aktivít a bezpečnostných incidentov, resp. ochrana koncových bodov, dát, dátových prenosov a sieťovej komunikácie, alebo ktorých cieľom je zvýšenie ochrany pred kybernetickými útokmi z externého prostredia

Projekt je formulovaný tak, aby po jeho realizácii nastal čo najväčší súlad zabezpečenia kybernetickej a informačnej bezpečnosti so zákonom o kybernetickej bezpečnosti, s vyhláškou 362/2018 Z. z. a so zákonom o ITVS.

Obmedzenia projektu:

Z hľadiska technického, personálneho, odborného, ale ani legislatívneho neevidujeme žiadne obmedzenia, ktoré by mohli ovplyvniť úspešnú realizáciu projektu.

3.3Zainteresované strany/Stakeholderi

3.4Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“) a súčasne sú definované tak, aby boli v súlade s očakávanými výsledkami definovanými v Partnerskej dohode Slovenskej republiky na roky 2021 – 2027 (ďalej len „Partnerská dohoda“) pre špecifický cieľ RSO 1.2. Definície cieľov rovnako vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 až 2025.

Partnerská dohoda definuje špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a konkrétne opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie, oblasť - Kybernetická a informačná bezpečnosť, pričom hlavným cieľom podpory je aj zabezpečenie kybernetickej bezpečnosti v súlade so Stratégiou digitálnej transformácie Slovenska. Stratégia digitálnej transformácie v oblasti kybernetickej bezpečnosti odkazuje na Národnú stratégiu kybernetickej bezpečnosti vydanú Národným bezpečnostným úradom (ďalej len „NBÚ“)

Národná koncepcia informatizácie verejnej správy určuje v rámci prioritnej osi 4 Kybernetická a informačná bezpečnosť strategickú prioritu Kybernetická a informačná bezpečnosť. Splnenie tejto strategickej priority má byť dosiahnuté nasledujúcimi dvoma cieľmi:

Cieľ 4.1 Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

Cieľ 4.2 Posilniť ľudské kapacity a vzdelávanie v oblasti kybernetickej a informačnej bezpečnosti patriace pod prioritnú os 4 Kybernetická a informačná bezpečnosť.

Z vyššie uvedených cieľov je pre projekt dôležitý cieľ 4.1 a v súlade s ním je aj nižšie citovaný strategický cieľ.

Národná stratégia kybernetickej bezpečnosti na roky 2021 až 2025, ktorá vychádza z Partnerskej dohody definuje vo vzťahu k verejnej správe nasledovný strategický cieľ:

4.1 Dôveryhodný štát pripravený na hrozby.

V definícii tohto strategického cieľa uvádza, cit:

„Kybernetická bezpečnosť je zodpovednosťou každého obyvateľa Slovenskej republiky, no bezpečnosť nemôže fungovať bez existencie mechanizmov na národnej úrovni, ktoré určujú politiku kybernetickej bezpečnosti, systém jej riadenia, ale aj procesy na detekciu a riešenie kybernetických bezpečnostných incidentov, budovanie odborných kapacít a šírenie situačného a bezpečnostného povedomia. Zároveň štát musí pri budovaní dôveryhodnosti vykonávať vyššie uvedené aktivity v súlade s Ústavou Slovenskej republiky a ostatnými zákonmi a vstupovať do základných ľudských práv a slobôd len v nevyhnutnej miere.“

Cieľový stav uvedeného strategického cieľa je v Národnej stratégii kybernetickej bezpečnosti na roky 2021 až 2025 stanovený nasledovne, cit.:

„Vybudovanie dostatočného odborného personálneho základu pre systém riadenia informačnej a kybernetickej bezpečnosti nielen na národnej, ale aj sektorovej úrovni. Spolupráca štátu s občanom na úrovni poskytovania dostatočných informácií a odporúčaní a realizácia krokov, ktoré občan reálne pocíti ako zvýšenie vlastnej bezpečnosti a bezpečnosti národného kybernetického priestoru. Vytvorenie a používanie certifikačných schém na široké portfólio typov výrobkov, procesov a služieb. Kvalitnejšie technické, organizačné a personálne zabezpečenie, založené na využívaní moderných prístupov ku kybernetickej bezpečnosti pri detekcii a riešení kybernetických bezpečnostných incidentov. Vybudovanie spôsobilostí na detekciu a riešenie kybernetických bezpečnostných incidentov na všetkých úrovniach. Efektívna spolupráca zainteresovaných subjektov na všetkých úrovniach riešenia informačnej a kybernetickej bezpečnosti. Dobre nastavený proces technickej, ale aj politickej atribúcie kybernetických bezpečnostných incidentov. Systematické a kontinuálne riadenie rizík kybernetickej bezpečnosti v jednotlivých sektoroch. Zlepšenie detekcie a zisťovania kybernetických bezpečnostných incidentov na sektorovej úrovni, zlepšenie a zjednodušenie nahlasovania kybernetických bezpečnostných incidentov nielen zo strany povinných subjektov, ale aj v rovine dobrovoľných hlásení. Podpora spôsobilostí subjektov v oblasti riadenia kontinuity činností.“

Hlavný ciel projektu je na základe vyššie uvedeného textu definovaný nasledovne: Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe.

Vďaka naplneniu hlavného cieľa projektu dôjde k zvýšeniu úrovne kybernetickej a informačnej bezpečnosť MŠVVaM SR podľa legislatívnych požiadaviek Zákona o kybernetickej bezpečnosti, podľa ktorého je prevádzkovateľom základných služieb a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej aj ako „zákon o ITVS“) a v zmysle vykonávacích predpisov k týmto zákonom, resp. ďalších príslušných legislatívnych rámcov. Hlavný cieľ bude realizovaný prostredníctvom nasledovných partikulárnych cieľov projektu, pričom      všetky ciele projektu sú definované v súlade s vyššie uvedenými strategickými dokumentmi:

3.5Merateľné ukazovatele (KPI)

3.6Špecifikácia potrieb koncového používateľa

Z pohľadu MŠVVaM SR je koncovým používateľom IT oddelenie a sekundárne zamestnanci MŠVVaM SR, občania a podnikateľské subjekty, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky IS mesta a tým sa de facto znefunkční poskytovanie ZS MŠVVaM SR.

Z výsledkov auditu kybernetickej bezpečnosti vyplynuli definície potrieb a požiadaviek na realizáciu opatrení KIB, v ktorých MŠVVaM SR ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z. z. Ide o :

• Potrebu zlepšenia riadenia prístupov – realizáciu opatrenia pre správu privilegovaných účtov
• Potrebu zvýšenia bezpečnosti pri prevádzke informačných systémov a sietí – zavedením aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
• Zvýšenie ochrany proti škodlivému kódu – zavedením ochrany užívateľských zariadení pred kybernetickými hrozbami
• Zvýšenie ochrany proti škodlivému kódu – zavedením ochrany serverov pred kybernetickými hrozbami
• Potrebu zvýšenia sieťovej a komunikačnej bezpečnosti – zlepšením sieťovej a komunikačnej bezpečnosti
• Zvýšenie úrovne zaznamenávania udalostí a monitorovania, ako aj riešenia kybernetických bezpečnostných incidentov – rozšírením nástroja na zaznamenávanie udalostí a monitorovanie
• Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti
• Realizáciu auditov a kontrolných činností – vykonaním auditu v roku 2025 (pravidelný audit KIB) a mimoriadneho auditu po ukončení implementácie opatrení KIB.

Podrobne boli špecifikované požiadavky na realizáciu v rámci prieskumov trhu na realizáciu opatrení nasledovne:

Zákazka č. 1: Zvýšenie úrovne kybernetickej a informačnej bezpečnosti Ministerstva školstva, výskumu, vývoja a mládeže Slovenskej republiky

Realizáciou predmetu zákazky budú realizované nasledovné oprávnené oblasti v zmysle výzvy Zvýšenie úrovne kybernetickej a informačnej bezpečnosti, číslo výzvy: PSK-MIRRI-616-2024-DV-EFRR (ďalej len „výzva“) 

• Riadenie prístupov
• Bezpečnosť pri prevádzke informačných systémov a sietí
• Ochrana proti škodlivému kódu
• Sieťová a komunikačná bezpečnosť
• Zaznamenávanie udalostí a monitorovanie
• Riešenie kybernetických bezpečnostných incidentov
• Kontinuita prevádzky

Realizáciou tejto zákazky žiadateľ sleduje splnenie nasledovných cieľov, ktoré zároveň reprezentujú predmet obstarania: 

1. Zavedenie správy privilegovaných účtov 
2. Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie 
3. Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami 
4. Zabezpečenie ochrany serverov pred kybernetickými hrozbami 
5. Zlepšenie sieťovej a komunikačnej bezpečnosti
6. Rozšírenie logovacieho systému o korelácie a automatizáciu
7. Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky
8. Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti

Podrobný opis predmetu zákazky je uvedený ako samostatná príloha tohto projektového zámeru, v nasledovnom popise uvádzame sumarizáciu predmetu zákazky.

1. Zavedenie správy privilegovaných účtov

Cieľom žiadateľa je obstaranie a nasadenie systému pre správu a administráciu privilegovaných účtov (ďalej len "PIM/PAM"), ktorý zabezpečí jednotnú správu prístupov k privilegovaným účtom a monitorovanie operácií vykonávaných pod týmito účtami s prepojením na konkrétneho administrátora, ktorý účet aktuálne používa, vrátane dvojfaktorovej autentifikácie a zabezpečenie detailného oboznámenia sa so správou dodaného systému pre IT pracovníkov žiadateľa.

Predmetom dodávky bude Nástroj na správu privilegovaných účtov.

V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Implementácia technického riešenia v rámci technickej špecifikácie:
• Testovanie a overovanie funkčnosti riešenia:
• Nasadenie

1. Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie

Požaduje sa dodanie a inštalácia Aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie do virtuálneho servera spravovaného verejným obstarávateľom. 

V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Implementácia technického riešenia v rámci technickej špecifikácie
• Testovanie a overovanie funkčnosti riešenia:
• Nasadenie

1. Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami

Na koncových staniciach užívateľov je implementovaná základná ochrana proti škodlivému kódu na platforme ESET PROTECT, vo verzii ADVANCED.

Žiadateľ plánuje v tomto projekte zvýšiť súčasnú ochranu užívateľských zariadení proti škodlivému kódu implementáciou nasledovných nástrojov:

• platformy na proaktívnu detekciu hrozieb, efektívnu identifikáciu neobvyklého správania v sieti a včasnú nápravu s cieľom predchádzať únikom dát a narušeniu firemnej prevádzky
• nástroj umožňujúci XDR, poskytujúci riadenie rizík a prehľad o hrozbách a systéme, ktorý umožňuje vykonávať rýchlu a hĺbkovú analýzu príčin vzniku incidentov a okamžite na ne reagovať.

Uvedené funkcionality vylepšenej ochrany pred škodlivým kódom budú dosiahnuté prechodom na licencie  ESET PROTECT Enterprise

V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia
• Implementácia a testovanie
• Nasadenie

1. Zabezpečenie ochrany serverov pred kybernetickými hrozbami

Žiadateľ požaduje, aby uchádzač rozšíril súčasné riešenie o Enterprise Detection and Response (EDR) funkcionalitu.

V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Implementácia a testovanie
• Nasadenie

1. Zlepšenie sieťovej a komunikačnej bezpečnosti

Obnova perimetra firewallov – predmetom obnovy perimetra firewallow bude dodávka dvoch zariadení, ktoré budú pracovať v HA zapojení. V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia zariadení
• Implementácia a testovanie
• Nasadenie

Obnova OOB firewallov – predmetom obnovy OOB bude dodávka 2 OOB. V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia zariadení

Nástroj na riadenie politík zabezpečenia sietí – predmetom dodávky bude softvérový nástroj na riadenie politík zabezpečenia sietí. V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia zariadení
• Implementácia a testovanie
• Nasadenie

Obnova WAF zariadení – predmetom dodávky bude obnova existujúcich WAF zariadení podľa požiadaviek zadávateľa (2 ks F5 BIG-IP i2800 alebo ekvivalentné zariadenie). V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia zariadení
• Implementácia a testovanie
• Nasadenie

Nasadenie webových proxy – predmetom dodávky bude softvérový nástroj na realizáciu webových proxy. V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Inštalácia zariadení
• Implementácia a testovanie
• Nasadenie

1. Rozšírenie logovacieho systému o korelácie a automatizáciu

Žiadateľ disponuje licenciou Splunk Enterprise s výkonom 100GB/deň, platnou do 8.7.2026. Požaduje sa dodať licenčné rozšírenie existujúceho softvérového vybavenia minimálne o nasledovné komponenty (alebo ich ekvivalenty plne kompatibilné s existujúcimi licenciami): Splunk Enterprise (1 ks), Splunk Enterprise Security (1 ks), Splunk SOAR (2 ks). V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia pre moduly SIEM a SOAR
• Implementácia a testovanie:
• Nasadenie

1. Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky

Žiadateľ požaduje dodávku nasledovných licencií, pričom definované požiadavky sú stanovené ako minimálne: 

V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia infraštruktúry v záložnej lokalite a obnovy záloh na ňu
• Implementácia a testovanie
• Nasadenie

1. Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti

Žiadateľ požaduje dodať infraštruktúru pre prevádzku bezpečnostných nástrojov a uchovávaných dát v nich, ktorá sa skladá z troch virtualizačných serverov. Tieto servre budú fyzicky oddelené od ostatnej infraštruktúry avšak budú zdieľať sieťovú, zálohovaciu a monitorovaciu infraštruktúru. V rámci dodávky budú realizované nasledovné činnosti:

• Vypracovanie Detailného návrhu riešenia
• Implementácia a testovanie
• Nasadenie

Zákazka č. 2: Audit kybernetickej bezpečnosti

Predmetom zákazky je poskytnúť žiadateľovi cenovú ponuku pre vykonanie auditu kybernetickej bezpečnosti v prostredí Ministerstva školstva, vedy, výskumu a športu Slovenskej republiky, ktorý musí byť realizovaný podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov v súlade s vyhláškou NBÚ č. 493/2022 Z. z. o audite kybernetickej bezpečnosti, vyhláškou NBÚ č. 492/2022 o znalostných štandardoch a s vyhláškou NBÚ č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení prevádzkovateľa základnej služby vo verzií účinnosti od 1. septembra 2023 (vyhláška č. 264/2023 Z. z.).

Požiadavky na predmet zákazky:

3.7Riziká a závislosti

Zoznam rizík a závislostí je detailne rozpracovaný v prílohe tohto dokumentu č. 1: Zoznam rizík a závislostí. Tento zoznam bude počas celej realizácie projektu aktualizovaný.

3.8Stanovenie alternatív v biznisovej vrstve architektúry

Posudzovanie alternatív riešenia vychádza z viacerých možností. V prípade MŠVVaM SR, ktoré má zabezpečenú strednú úroveň kybernetickej bezpečnosti prichádzajú do úvahy nasledovné alternatívy:

0. Ponechanie existujúceho stavu – ide o nultý stav, v ktorom na základe auditu KIB boli identifikované nesúlady s legislatívnymi požiadavkami a možné ohrozenie ISVS a teda aj základných služieb MŠVVaM SR kybernetickým útokom.

1. Realizácia projektu KIB s riešením vybraných opatrení (t.j. nie všetkých nevyhnutných), ktoré identifikoval audit KIB ako tie, v ktorých je kritický nesúlad so zákonom o kybernetickej bezpečnosti a vyhláškou č. 362/2018 Z. z.– t.j. došlo by k zvýšeniu súladu s legislatívou, ale informačné systémy mesta by boli naďalej kriticky ohrozené.

2. Realizácia všetkých potrebných opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu IS MŠVVaM SR pred čo najväčším objemom hrozieb, pričom niektoré opatrenia KIB budú realizované formou služby.

3. Realizácia opatrení na dosiahnutie zvýšenia súladu KIB s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ISVS – pôjde o také zvýšenie súladu s požiadavkami príslušnej legislatívy v oblasti KIB, ktorá zabezpečí ochranu IS MŠVVaM SR pred najväčšími hrozbami, pričom by šlo o in house riešenie s prevádzkou na úrovni MŠVVaM SR.

3.9Multikriteriálna analýza

Multikriteriálna analýza je v tomto prípade redukovaná na dva parametre:

1. Potrebu zosúladenia úrovne kybernetickej bezpečnosti s požiadavkami zákona o kybernetickej bezpečnosti a zákona o ITVS. Táto požiadavka sa dotýka všetkých stakeholderov a predstavuje KO kritérium. Ak nemá dôjsť k zásadnému zvýšeniu kybernetickej a informačnej bezpečnosti, t.j. ak má zostať ponechaný stav alebo iba dôjde k čiastočnému zlepšeniu, nebude možné považovať realizovaný projekt za úspešný.
2. Udržateľnosť riešenia.

Z vyššie uvedených možných alternatív(viď kapitola 3.7) vyplýva, že s ohľadom na potreby a finančné možnosti MŠVVaM SR je najvýhodnejšia a dlhodobo udržateľná alternatíva 3.

3.10Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, rovnako ako služby, ktoré sú s nimi spojené musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi - tými sú v tomto prípade oddelenie informatiky, ktoré vychádza z požiadaviek zákona o kybernetickej bezpečnosti, zákona o ITVS, vyhlášky 362/2018 Z. z. a ďalších predpisov.

 Aplikačná vrstva predpokladá dve alternatívy:

I.        realizácia všetkých opatrení na úrovni MŠVVaM SR v zmysle definovaných požiadaviek, pričom všetky technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie- táto architektúra zodpovedá alternatíve 3 popísanej v multikriteriálnej analýze

 II.      realizácia všetkých opatrení na úrovni MŠVVaM SR v zmysle definovaných požiadaviek, pričom niektoré technológie na realizáciu opatrení KIB budú vytvorené ako IN-HOUSE riešenie a niektoré ako služba - táto architektúra zodpovedá alternatíve 2 popísanej v multikriteriálnej analýze.

S ohľadom na reálne potreby a požiadavky MŠVVaM SR, zohľadňujúc materiálne a personálne kapacity bude aplikačne zvolená alternatíva I.

3.11Stanovenie alternatív v technologickej vrstve architektúry

Z hľadiska použitých technológií nie sú definované alternatívy. Požiadavky na technológie sú definované všeobecne tak, aby ľubovoľnú SW a HW technológia, ktorá splní definované požiadavky bolo možné použiť na realizáciu projektu.

4.POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)

Výsledkom projektu budú:

• Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov. V prípade, že predmetom realizácie bude dielo (oceniteľné práva a/alebo zdrojový kód), získa MŠVVaM SR právo vykonávať autorské práva k tomuto dielu, vrátane výhradnej a územne neobmedzenej licencie. Tieto podmienky sa nevzťahujú na tzv. krabicový softvér, ktorý je predávaný ako produkt či už realizátora alebo tretej strany.
• Z hľadiska plnenia cieľov projektu bude výsledkom projektu naplnenie hlavného cieľa Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe     , čo bude naplnené realizáciu nasledovných partikulárnych cieľov:
  • Zavedenie správy privilegovaných účtov
  • Zavedenie aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
  • Zabezpečenie ochrany užívateľských zariadení pred kybernetickými hrozbami
  • Zabezpečenie ochrany serverov pred kybernetickými hrozbami
  • Zlepšenie sieťovej a komunikačnej bezpečnosti
  • Rozšírenie logovacieho systému o korelácie a automatizáciu
  • Implementácia podporných systémov pre zabezpečenie kontinuity prevádzky
  • Zavedenie infraštruktúry pre prevádzku kybernetickej bezpečnosti a informačnej bezpečnosti
  • Audity kybernetickej bezpečnosti

• Technologicky a administratívne pôjde o realizáciu nasledovných cieľov:
  • Dodanie softvérového vybavenia na správu privilegovaných účtov
  • Realizácia implementačných prác pri zavedení správy privilegovaných účtov
  • Dodanie Aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
  • Realizácia implementačných prác pri zavedení Aplikácie na správu a aktualizáciu bezpečnostnej dokumentácie
  • Prechod na licencie ESET PROTECT Enterprise
  • Realizácia implementačných prác na zabezpečenie ochrany užívateľských zariadení pred kybernetickými útokmi
  • Dodanie nástroja na ochranu serverov pred kybernetickými hrozbami
  • Realizácia implementačných prác na zabezpečenie ochrany serverov pred kybernetickými hrozbami
  • Dodávka Firewallov
  • Dodávka OOB firewallov
  • Dodávka nástroja na riadenie politík zabezpečenia sietí
  • Dodávka Web Application Firewall
  • Dodávka webových proxy
  • Realizácia implementačných prác spojených s vyššie uvedenými dodávkami za účelom zlepšenia sieťovej a komunikačnej bezpečnosti
  • Rozšírenie licencií nástroja na zaznamenávanie udalostí a monitorovanie vybavenia na logovanie v rozsahu:
    • Splunk Enterprise
    • Splunk Enterprise Security
    • Splunk SOAR
  • Realizácia implementačných prác za účelom rozšírenia logovacieho systému o korelácie a automatizáciu
  • Dodávka softvérového vybavenia pre implementáciu podporných systémov pre zabezpečenie kontinuity prevádzky
  • Realizácia implementačných prác pri zavedení podporných systémov pre zabezpečenie kontinuity prevádzky
  • Dodávka serverov pre bezpečnostné opatrenia
  • Implementácia serverov pre bezpečnostné opatrenia
  • Realizácia pravidelného auditu kybernetickej bezpečnosti
  • Realizácia mimoriadneho auditu kybernetickej bezpečnosti

5.NÁHĽAD ARCHITEKTÚRY

Architektúra celého riešenia je rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené, rozšírené alebo upravené (a budú realizovať opatrenia KIB).

Primárne opatrenia kybernetickej bezpečnosti chránia IS MŠVVaM SR, ktoré sú určené na prevádzkovanie základných služieb MŠVVaM SR.

Obrázok: Celková architektúra riešenia

Nasledovný obrázok popisuje aplikačnú úroveň opatrení kybernetickej a informačnej bezpečnosti, ktoré budú zlepšené resp. nanovo zavedené v rámci projektu:

Obrázok: Opatrenia kybernetickej a informačnej bezpečnosti realizované v rámci projektu – aplikačná úroveň

Podrobné informácie o zmenách resp. o jednotlivých opatreniach kybernetickej bezpečnosti na aplikačnej úrovni sú uvedené v dokumente Prístup k projektu v kapitole 4.2 Aplikačná architektúra.

V rámci projektu dôjde aj k dodávke nových technologických zariadení určených na prevádzku opatrení KIB, ako je znázornené na nasledovnom obrázku:

Obrázok: Technologická architektúra

Podrobné informácie o zmenách resp. o jednotlivých opatreniach kybernetickej bezpečnosti na technologickej úrovni sú uvedené v dokumente Prístup k projektu v kapitole 4.4.3 Návrh technologickej architektúry.

6.LEGISLATÍVA

V rámci platnej legislatívy nebude potrebné meniť žiadnu legislatívu. Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou a to najmä:

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov 

Vyhláška č.78/2020 Z.z. o štandardoch pre ITVS

Vyhláška č.401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

Vyhláška 179/2020 Z.z. o obsahu bezpečnostných opatrení ITVS

Vyhláška 362/2018 Z.z.  o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení) 

7.ROZPOČET A PRÍNOSY

V uvedenom projekte vychádzame pri stanovení rozpočtu z prieskumu trhu a pravidiel stanovených výzvou. S ohľadom na rozpočet projektu (projekt nad 1 000 000,00,- EUR) bola spracovaná Analýza nákladov a prínosov (CBA), ktorá je prílohou tohto projektového zámeru. Z titulu automatických výpočtov a zaokrúhľovania nie sú výsledky CBA identické s finálnym rozpočtom projektu, nakoľko ten bol stanovený na základe prieskumu trhu. Rozdiely vznikajú najmä zo zaokrúhľovania počtu človekodní (súbor CBA počíta na hodiny a desatinné miesta, ponuky sú predkladané na počet človekodní po matematickom zaokrúhlení), detto pri zaokrúhľovaní v prípade prác na projekte. Z týchto rozdielnych hodnôt potom vychádza aj odlišná výška paušálnych výdavkov. V zásade však konštatujeme, že nejde o zásadné hodnoty, ktoré by mali vplyv na posúdenie návratnosti projektu.

V prípade projektov kybernetickej bezpečnosti je priame vyčíslenie návratnosti pomerne komplikované. Z pohľadu návratnosti je potrebné venovať sa hodnoteniu možných škôd, ktoré by potenciálne vznikli v prípade, že nebude adekvátne riešená KIB na úrovni poskytovateľa základnej služby. Nakoľko tieto škody nie je možné kvantifikovať v plnom rozsahu objektívnymi parametrami, pri hodnotení finančných prínosov sme vychádzali iba z kvantifikovateľných prínosov, t.j. z monetizovateľných odhadov škôd, ktoré by spôsobil jeden závažný incident KIB.

V prípade realizácie projektu berieme do úvahy nasledovné potenciálne škody, ktoré budú odstránené realizáciou projektu t.j. kvalitatívnym zvýšením ochrany proti incidentom KIB:

Finančné riziko – vyhodnotenie straty interných finančných prostriedkov. V prípade, že nebudú adekvátne implementované opatrenia KIB bolo hodnotenie možného výpadku základnej služby definované na 10 pracovných dní.

V prípade 722 TPP zamestnancov MŠVVaM SR ide o 54150,00 hodín. Priemerná mesačná mzda v roku 2023 vo verejnej správe bola 1796 EUR, t.j. priemerná cena za jednu hodinu práce bola 11,63 EUR. Celková strata v prípade výpadku základnej služby na úrovni straty miezd TPP zamestnancov MŠVVaM SR by predstavovala 629764,50 EUR v prípade jedného výpadku na základe kybernetického útoku.

V prípade 216 zamestnancov na dohodu MŠVVaM SR ide o 4320,00 hodín. Priemerná mesačná mzda v roku 2023 vo verejnej správe bola 1796 EUR, t.j. priemerná cena za jednu hodinu práce bola 11,63 EUR (viď údaje Štatistického úradu Slovenskej republiky za rok 2023). Celková strata v prípade výpadku základnej služby na úrovni straty miezd zamestnancov na dohodu MŠVVaM SR by predstavovala 50241,60 EUR v prípade jedného výpadku na základe kybernetického útoku.

Celková potenciálna vyčísliteľná strata interných finančných prostriedkov v prípade jedného KIB incidentu by teda bola: 680 006,10 EUR

Finančné riziko – vyhodnotenie straty externých finančných prostriedkov. V prípade, že nebudú adekvátne implementované opatrenia KIB bolo hodnotenie možného výpadku základnej služby definované na 10 pracovných dní. V prípade externých používateľov ZS pôjde o celkový výpadok 154805,00 používateľských hodín. Priemerná mesačná mzda v roku 2023 v národnom hospodárstve bola 1430 EUR, t.j. priemerná cena za jednu hodinu práce bola 8,25 EUR (viď údaje Štatistického úradu Slovenskej republiky za rok 2023).

        Celková potenciálna vyčísliteľná strata externých finančných prostriedkov v prípade jedného KIB incidentu by teda bola 1 277 141,25 EUR.

Vyššie uvedené finančné riziká je možné jednoznačne monetizovať a boli teda prenesené do časti prínosov v rámci posudzovania v rámci CBA/TCO v položke Kvalitatívne prínosy. Celková hodnota bola rozdelená pre jednotlivé moduly rovným dielom, nakoľko nie je možné jednoznačne posúdiť, ktorý z modulov CBA bude mať konkrétny prínos k znižovaniu vyššie uvedených finančných rizík.

Obecne kvalitatívne prínosy predstavujú zabezpečenie ochrany základných služieb MŠVVaM SR proti incidentom KIB a tým zabezpečenie chodu základných služieb MŽVVaM SR.

Možné finančné riziko – dôsledky kybernetického útoku. Ide o možné sankcie vyplývajúce priamo z legislatívnych rámcov, prípadných súdnych sporov (v prípade napríklad úniku osobných údajov), ako aj nákladov spojených so sanáciou prípadného kybernetického incidentu. Tieto finančné prostriedky nie je možné momentálne vyčísliť, reálne však môže niekoľko násobne prekročiť straty interných finančných prostriedkov MŠVVaM SR. Toto finančné riziko nebolo prenesené do CBA, nakoľko ho nie je možné jednoznačne vyčísliť.

Reputačné riziko – vzhľadom na postavenie a oblasť spoločenskej dôležitosti a zákonných povinností MŠVVaM SR, je toto riziko potenciálne vysoké – teda v prípade neplnenia legislatívnych požiadaviek v zmysle zákona o kybernetickej bezpečnosti a zákona o ITVS, reálneho výpadku prevádzky základnej služby, úniku citlivých dát v kombinácii aj s prípadnou medializáciou a pod.

7.1Sumarizácia nákladov a prínosov

* v zmysle CBA je hodnota počítaná od zavedenia projektu do prevádzky tj. od tretieho roku projektu po desiaty rok projektu.

Celkový rozpočet projektu (podľa CBA, overený prieskumom trhu) je: 2 842 699,25 EUR

Pri posudzovaní návratnosti vychádzame pri udržateľnosti z štandardov dokumentu CBA/TCO, ktorý definuje náklady na udržateľnosť aplikácií, hardvéru a softvéru. Ide o konzervatívny odhad (t.j. predpokladané maximálne možné hodnoty). CBA posudzuje návratnosť projektu v horizonte 10 rokov, náklady na udržateľnosť budú po ukončení realizačnej fázy t.j. od 4. roka trvania projektu.

Poznámka: Hodinová sadzba pre jednotlivé pracovné pozície určené v rámci CBA:

Pri prieskume trhu boli definované pomocou CBA prácnosti jednotlivých modulov projektu (projekt sám nedáva vzniku novému informačnému systému, iba vytvára jednotlivé opatrenia KIB, ktoré ako celok chránia ISVS, ktoré sú uvedené v tomto projektovom zámere. Je definované miesto realizácie projektu).

Pre jednotlivé prácnosti neboli definované rozsahy jednotlivých externých pozícií, ale prácnosť položky ako celku. Na základe prieskumu trhu (oslovenie troch spoločností) bola aritmetickým priemerom stanovená hodnota ceny jedného človekodňa zo všetkých predložených ponúk, ktorá predstavuje priemernú cenu sadzby za človekodeň použitú v projektu, ktorá predstavuje sumu 583 EUR bez DPH. S ohľadom na preferované postupy stanovenia predpokladanej ceny projektu formou prieskumu trhu (t.j. nie využitie revidovaných sadzieb z CBA, ale reálnej ceny človekodní od rôznych dodávateľov) boli v CBA použité výsledky z prieskumu trhu. Tie – hoci sú v niektorých prípadoch vyššie ako štandardne revidované sadzby – reflektujú stav ceny za človekodni lepšie, ako hodnoty uvedené ako referenčné v CBA.

Uvedené sadzby získané z prieskumu trhu je potrebné považovať za referenčné v čase a predpokladáme ich zníženie po schválení projektu pri realizácii procesu verejného obstarávania zákazky.

Celková cena projektu uvedená vyššie v tabuľke vychádza z výpočtu z CBA. Hodnoty IT-CAPEX boli overené prieskumom trhu.

Interpretácia výsledkov:

Ekonomická a finančná efektívnosť projektu je v analýze prínosov nákladov hodnotená kvantitatívne pomocou nasledujúcich ukazovateľov (prahové hodnoty v zmysle platných dokumentov v prípade financovania zo zdrojov EÚ sú uvedené):

Pomer prínosov a nákladov (BCR): viac ako 3,21

Ekonomická vnútorná výnosová miera vyjadrená v % (EIRR): viac ako 57,2 %

Ekonomická čistá súčasná hodnota vyjadrená v eurách (ENPV): viac ako 8 917 547,00

8.HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Projekt bude realizovaný metódou Waterfall s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej v rámci prípravy projektu.

Tento prístup bol zvolený nakoľko opatrenia KIB je potrebné realizovať vo vzájomných súvislostiach, avšak v správnom postupe. Niektoré môžu byť realizované paralelne, dokonca rôznymi tímami, avšak na základe vopred stanovenej stratégie a plánu celého projektu. Agilný prístup na realizáciu nami plánovaného projektu nie je vhodný i s ohľadom na potrebu realizácie projektu za plnej prevádzky základnej služby MŠVVaM SR.

Definovanie inkrementov projektu

Celý projekt – napriek rozsahu projektu – bude mať iba jediný inkrement.

Vyhláška č. 401/2023 Z. z. Vyhláška Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy uvádza, cit.:

„§ 2 ods 1 písm. e sa rozumie inkrementom časť plnenia v projekte, ktorú je možné realizovať viacerými iteráciami v závislosti od charakteru projektu“

§ 5 ods. 5 sa každý doručený inkrement projektu nasadzuje na produkčnom prostredí informačnej technológie a po jeho doručení je možné začať s dokončovacou fázou projektu alebo pokračovať ďalším inkrementom“

Samotný Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v

§ 15 ods. 4 písm. d) uvádza, že je potrebné „zabezpečiť, aby veľký projekt alebo projekt, ktorý nepozostáva len z dodania jedného funkčného celku, bol z hľadiska dodania rozdelený na čiastkové plnenia, pričom

1. každé čiastkové plnenie musí mať vlastný prínos bez ohľadu na celkové plnenie,

2. po každom čiastkovom plnení musí byť možné projekt ukončiť, ak stratil svoje pôvodné opodstatnenie,

3. cena jedného čiastkového plnenia nesmie presiahnuť sumu ustanovenú všeobecne záväzným právnym predpisom, ktorý vydá ministerstvo investícií, a

4. lehota dodania každého čiastkového plnenia nesmie presiahnuť lehotu ustanovenú všeobecne záväzným právnym predpisom, ktorý vydá ministerstvo investícií“

S ohľadom na charakter projektu ide o dodanie jediného funkčného celku – súboru opatrení kybernetickej a informačnej bezpečnosti, ktoré sú vzájomne na sebe závislé, prepojené, musia byť realizované súbežne v čase. Z dôvodu realizácie jediného funkčného celku – viď § 15 ods. 4 písm. d zákona o ITVS bude projekt realizovaný formou jediného inkrementu.

Pri definovaní jediného inkrementu pritom vychádzame aj z odôvodnenia obstarania zákazky na realizáciu opatrení kybernetickej bezpečnosti (okrem auditu kybernetickej bezpečnosti), ktorá uvádza:

Všetky opatrenia kybernetickej bezpečnosti musia byť dodané ako jeden celok, ktorý bude chrániť základné služby resp. informačné systémy verejného obstarávateľa, ktorými sú základné systémy zabezpečené pred incidentmi kybernetickej a informačnej bezpečnosti (KIB).

Zákazka bude realizovaná ako jeden celok s viacerými položkami z nasledovných dôvodov:

1.      Dodávka softvérovej a hardvérovej infraštruktúry pre potreby prevádzky opatrení KIB

2.      Potreba kompatibility dodanej infraštruktúry určenej na prevádzku KIB so softvérovými komponentami opatrení KIB

3.      Potreba kompatibility dodanej infraštruktúry určenej na prevádzku KIB s hardvérovými komponentami opatrení KIB.

Dodávka softvérovej a hardvérovej infraštruktúry pre potreby prevádzky opatrení KIB

Súčasťou dodávky opatrení KIB bude aj dodávka samostatnej softvérovej a hardvérovej infraštruktúry, na ktorej budú inštalované softvérové komponenty opatrení KIB. Súčasnosti nie sú existujúce softvérové komponenty opatrení KIB inštalované na samostatnej infraštruktúre. Sú inštalované na softvérovej a hardvérovej infraštruktúre, na ktorej sú zároveň prevádzkované ostatné ISVS. To je z hľadiska bezpečnosti zásadne nevhodné riešenie. Každý uchádzač bude musieť vo svojej ponuke predložiť ponuku na dodávku softvérovej a hardvérovej infraštruktúry, určenej výhradne pre potreby prevádzky opatrení KIB.

Potreba kompatibility dodanej infraštruktúry určenej na prevádzku KIB so softvérovými komponentami opatrení KIB

Uchádzač musí zabezpečiť, aby ním ponúkaná infraštruktúra na prevádzku opatrení KIB umožnila bezproblémovú inštaláciu a plný výkon všetkých softvérových komponentov opatrení KIB. Tomu zodpovedá nie len výkon hardvéru a dodávka operačného systému, ale aj adekvátna kompatibilita ovládačov, nastavenie infraštruktúry, jej prípadná virtualizácia (ako to vyžadujú dodávané softvérové komponenty opatrení KIB). V prípade, že by infraštruktúru na prevádzku opatrení KIB a samotné softvérové komponenty opatrení KIB dodávali dvaja odlišní uchádzači, túto kompatibilitu by nebolo možné garantovať resp. existuje riziko, že by ju nebolo možné ani dosiahnuť.

Potreba kompatibility dodanej infraštruktúry určenej na prevádzku KIB s hardvérovými komponentami opatrení KIB

Súčasťou dodávky opatrení KIB budú aj hardvérové zariadenia (napríklad firewall) s vlastnými ovládačmi resp. vlastným integrovaným softvérom. Potenciálny uchádzač musí zabezpečiť plnú kompatibilitu takýchto opatrení KIB so softvérovými komponentami opatrení KIB a zároveň plnú kompatibilitu s infraštruktúrou určenou na prevádzku opatrení KIB. V prípade, že by dodávateľom hardvérových opatrení KIB bol iný dodávateľ existuje predpoklad, že by došlo k problémom pri zabezpečení kompatibility všetkých týchto komponentov resp. ich výkon by nezodpovedal potenciálu, ktorým disponujú.

 S ohľadom na požadované garancie kompatibility jednotlivých súčastí zákazky a komplexnosti opatrení KIB v rámci zabezpečenia proti KIB incidentom verejný obstarávateľ nerozdelil zákazku na časti a požaduje kompletné dodanie predmetu zákazky ako celku.

9.PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV – PhDr. Mgr. Ľubomír Nebeský, PhD., GR kancelárie GTSÚ
• Biznis vlastník – Ing. Martin Horňák, riaditeľ odboru správy informačných systémov
• Zástupca prevádzky – Bc. Štefan Jenčuš, poverený riaditeľ odboru podporných IT služieb
• Projektový manažér objednávateľa (PM) – JUDr. Ing. Jana Barjaková, riaditeľka organizačného odboru generálneho tajomníka služobného úradu

Zostavuje sa Projektový tím objednávateľa:

• Kľúčový používateľ - PhDr. Mgr. Ľubomír Nebeský, PhD., GR kancelárie GTSÚ
• IT architekt  – Ing. Jana Kováčová
• IT analytik –  Mgr. Andrej Bradáč
• Biznis vlastník – Ing. Martin Horňák, riaditeľ odboru správy informačných systémov
• Manažér kvality – Ing. Martin Húska
• Manažér kybernetickej a informačnej bezpečnosti – Mgr. Miroslav Odor, MKIB
• Projektový manažér (pre účely realizácie)  – JUDr. Ing. Jana Barjaková, riaditeľka organizačného odboru generálneho tajomníka služobného úradu (s využitím ext. služieb hradených z paušálnych výdavkov)

Uvedený projektový tím je garanciou úspešnej realizácie projektu po zabezpečení jeho financovania na základe ŽoNFP v rámci výzvy. Všetci členovia projektového tímu budú pred začiatkom projektu zamestnancami MŠVVaM SR. Niektorí sú zamestnancami v súčasnosti, ďalší sa zaviazali nastúpiť do pracovného pomeru k termínu začatia prvej hlavnej aktivity projektu.

9.1 PRACOVNÉ NÁPLNE

10.PRÍLOHY

Príloha : Zoznam rizík a závislostí (Excel):

Príloha: Analýza nákladov a      prínosov

Príloha: Opis predmetu zákazky Zvýšenie úrovne kybernetickej a informačnej bezpečnosti Ministerstva školstva, výskumu, vývoja a mládeže Slovenskej republiky

Koniec dokumentu