projekt_3031_Pristup_k_projektu_detailny
PRÍSTUP K PROJEKTU
Manažérsky výstup I-03
podľa vyhlášky MIRRI č. 401/2023 Z. z.
Povinná osoba | Slovenský pozemkový fond (SPF) |
Názov projektu | Zvýšenie kybernetickej bezpečnosti v prostredí Slovenského pozemkového fondu |
Zodpovedná osoba za projekt | Meno a priezvisko osoby, ktorá predkladá dokumenty (zamestnanec /Projektový manažér) |
Realizátor projektu | Slovenský pozemkový fond (SPF) |
Vlastník projektu | Slovenský pozemkový fond (SPF) |
Schvaľovanie dokumentu
Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis (alebo elektronický súhlas) |
Vypracoval |
|
|
|
|
|
1. História dokumentu
Verzia | Dátum | Zmeny | Meno |
1.0 | 20.05.2024 | Vypracovanie prvej verzie |
|
|
|
|
|
|
|
|
|
2. Účel dokumentu
V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
2.1 Použité skratky a pojmy
SKRATKA/POJEM | POPIS |
EDR | Endpoint Detection and Response |
GOVNET | Privátna sieť prevádzkované pre vládne inštitúcie organizáciou NASES |
HW | Hardvér |
IKT | Informačno-komunikačné technológie (organizácie) |
IS | Informačný systém |
METAIS | Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov |
MIRRI SR | Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky |
NBÚ | Národný bezpečnostný úrad |
OVM | Orgány verejnej moci |
PPA | Pôdohospodárska platobná agentúra |
SD | Service Desk |
SIEM | Security information and event management |
SLA | Service Level Agreement – dohoda/zmluva o parametroch poskytovania služby |
SOAR | Security orchestration, automation and response |
SPF | Slovenský pozemkový fond |
SW | Softvér |
XDR | Extended Detection and Response |
3. Popis navrhovaného riešenia
Projekt sa zameriava na oblasti, kde SPF identifikovalo najvyššiu mieru rizika a najvyššie dopady vyplývajúce z vykonaného auditu kybernetickej bezpečnosti v súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Pri výbere opatrení SPF vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.
Súčasťou projektu sú nasledovné opatrenia vyplývajúce zo zrealizovaného auditu kybernetickej bezpečnosti:
Oblasť opatrení | Výstup projektu |
Organizácia kybernetickej a informačnej bezpečnosti | § Aktualizovaná bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení § Vypracovaná Stratégia a súvisiace bezpečnostné politiky |
Riadenie rizík | § Identifikované informačné aktíva a implementovaný systém pre inventarizáciu aktív § Aktualizovaná metodika riadenia rizík nie je jednoznačná § Spracovaná analýza rizík |
Personálna bezpečnosť | § Vypracovaný plán rozvoja bezpečnostného vzdelávania |
Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami | § Vypracovaná analýzy rizík tretích strán a celého dodávateľského reťazca; § Vypracovaná analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou; § Vypracovaný interný riadiaceho aktu upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami. |
Bezpečnosť pri prevádzke informačných systémov a sietí | § Vypracovaný interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov; |
Hodnotenie zraniteľností a bezpečnostné aktualizácie | § Vypracovaný interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat. |
Sieťová a komunikačná bezpečnosť | § Vypracovaná kategorizácie sieti § Vypracovaná aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie; |
Zaznamenávanie udalostí a monitorovanie | § Implementovaný SIEM-SOAR § Implementovaný XDR |
Riešenie kybernetických bezpečnostných incidentov | § Vypracovaný interný riadiaci akt obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov; |
Kryptografické opatrenia | § Vypracovaný interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania, vrátane vypracovania a dokumentácie systému správy kryptografických kľúčov a certifikátov |
Kontinuita prevádzky | § Vypracovaný interný riadiaci akt obsahujúceho a upravujúci kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie. |
Audit a kontrolné činnosti | § Vypracovaný program posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov. |
4. Architektúra riešenia projektu
4.1 Biznis vrstva
Predmetom projektu nie sú biznis procesy ani biznis služby zabezpečované SPF. High level biznis architektúra je zobrazená na nasledujúcej schéme.
Schéma č. 1 Biznis architektúra
4.1.1 Prehľad koncových služieb – budúci stav:
Projektom nebudú zavedené nové koncové služby
Kód KS (z MetaIS) | Názov KS | Používateľ KS (G2C/G2B/G2G/G2A) | Životná situácia (+ kód z MetaIS) | Úroveň elektronizácie KS |
|
|
|
| Vyberte jednu z možností |
|
|
|
| Vyberte jednu z možností |
|
|
|
| Vyberte jednu z možností |
4.1.2 Jazyková podpora a lokalizácia
Slovenský jazyk
4.2 Aplikačná vrstva
Predmetom projektu nie je zmena aplikačnej architektúry. Aplikačnú architektúru SPF tvoria:
- Kanály / Prístupové body
- Webový portál
- Intranet
- Informačné systémy pre podporu koncových procesov
Do tejto skupiny zaraďujeme informačné systémy slúžiace pre podporu hlavných agendových / koncových procesov slovenského pozemkového fondu (prenájmy, ROEP, prevody, reštitúcie, ...):
- Geografický informačný systém
- Depozit
- Právne akty
- Informačné systémy pre podporu podporných procesov
Do tejto skupiny zaraďujeme informačné systémy slúžiace na podporu ekonomických, účtovníckych a HR procesov:
- Zverejňovanie objednávok a faktúr
- Účtovnícky program - ekonomický informačný systém
- Human
- Dochádzkový terminál
- Intranetový portál
- Externé / Podporné informačné systémy
Tieto systémy rozdeľujeme na externé / podporné informačné systémy integrované na informačné systémy Slovenského pozemkového fondu alebo informačné systémy, ktoré nie sú integrované, ale sú používané pri vykonávaní rôznych procesov Slovenského pozemkového fondu:
- Katasterportal, Štátna pokladnica, Pošta, ÚPVS, Obchodný vestník MSSR, Finstat, Centrálny register zmlúv, OverSi
Schéma č. 3 Aplikačná architektúra
4.2.1 Rozsah informačných systémov – AS IS
Projektom nebudú budované nové IS ani upravované existujúce IS
Kód ISVS (z MetaIS) | Názov ISVS | Modul ISVS (zaškrtnite ak ISVS je modulom) | Stav IS VS (AS IS) | Typ IS VS | Kód nadradeného ISVS (v prípade zaškrtnutého checkboxu pre modul ISVS) |
|
| ☐ | Vyberte jednu z možností | Vyberte jednu z možností |
|
|
| ☐ | Vyberte jednu z možností | Vyberte jednu z možností |
|
4.2.2 Rozsah informačných systémov – TO BE
Projektom nebudú budované nové IS ani upravované existujúce IS
Kód ISVS (z MetaIS) | Názov ISVS | Modul ISVS (zaškrtnite ak ISVS je modulom) | Stav IS VS | Typ IS VS | Kód nadradeného ISVS (v prípade zaškrtnutého checkboxu pre modul ISVS) |
|
| ☐ | Vyberte jednu z možností | Vyberte jednu z možností |
|
|
| ☐ | Vyberte jednu z možností | Vyberte jednu z možností |
|
4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS
Projektom nebudú využívané nadrezortné a spoločné ISVS
Kód IS | Názov ISVS | Spoločné moduly podľa zákona č. 305/2013 e-Governmente |
|
| Vyberte jednu z možností. |
|
| Vyberte jednu z možností. |
|
| Vyberte jednu z možností. |
4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE
Projektom nebudú využívané nadrezortné a spoločné ISVS
Kód IS | Názov ISVS | Spoločné moduly podľa zákona č. 305/2013 e-Governmente |
|
| Vyberte jednu z možností. |
|
| Vyberte jednu z možností. |
|
| Vyberte jednu z možností. |
4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
Projektom nebudú využívané nadrezortné a spoločné ISVS
Kód ISVS (z MetaIS) | Názov ISVS
| Kód integrovaného ISVS (z MetaIS) | Názov integrovaného ISVS |
|
|
|
|
|
|
|
|
|
|
|
|
4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE
Projektom nebudú budované aplikačné služby.
Kód AS (z MetaIS) | Názov AS | ISVS/modul ISVS (kód z MetaIS) | Aplikačná služba realizuje KS (kód KS z MetaIS) |
|
|
|
|
|
|
|
|
|
|
|
|
4.2.7 Aplikačné služby na integráciu – TO BE
Projektom nebudú budované aplikačné služby.
AS (Kód MetaIS) |
Názov AS | Realizuje ISVS (kód MetaIS) | Poskytujúca alebo Konzumujúca | Integrácia cez CAMP | Integrácia s IS tretích strán | SaaS | Integrácia na AS poskytovateľa (kód MetaIS) |
|
|
| Poskytovaná / Konzumujúca | Áno/Nie | Áno/Nie | Áno/Nie |
|
|
|
| Poskytovaná / Konzumujúca | Áno/Nie | Áno/Nie | Áno/Nie |
|
|
|
| Poskytovaná / Konzumujúca | Áno/Nie | Áno/Nie | Áno/Nie |
|
4.2.8 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE
Projektom nebudú poskytované údaje do IS CSRÚ
ID OE | Názov (poskytovaného) objektu evidencie | Kód ISVS poskytujúceho OE | Názov ISVS poskytujúceho OE |
|
|
|
|
|
|
|
|
|
|
|
|
4.2.9 Konzumovanie údajov z IS CSRU – TO BE
Projektom nebudú konzumované údaje z IS CSRÚ
ID OE |
Názov (konzumovaného) objektu evidencie | Kód a názov ISVS konzumujúceho OE z IS CSRÚ | Kód zdrojového ISVS v MetaIS |
|
|
|
|
|
|
|
|
|
|
|
|
4.3 Dátová vrstva
4.3.1 Údaje v správe organizácie
Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov
4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE
Projektom nebudú poskytované údaje do IS CSRÚ
ID OE | Objekt evidencie - názov | Objekt evidencie - popis | Referencovateľný identifikátor URI dátového prvku |
|
|
|
|
|
|
|
|
|
|
|
|
4.3.3 Referenčné údaje
4.3.3.1 Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné
Predmetom projektu nie je návrh na vyhlásenie a zmeny referenčných údajov
ID OE | Názov referenčného registra /objektu evidencie (uvádzať OE z tabuľky v kap. 4.3.2) | Názov referenčného údaja (atribúty) | Identifikácia subjektu, ku ktorému sa viaže referenčný údaj | Zdrojový register a registrátor zdrojového registra |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3.3.2 Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CSRU
Projektom nebudú poskytované údaje do IS CSRÚ ani konzumované údaje z IS CSRÚ
ID OE | Názov referenčného údaja /objektu evidencie (uvádzať OE z tabuľky v kap. 4.3.2) | Konzumovanie / poskytovanie | Osobitný právny predpis pre poskytovanie / konzumovanie údajov |
|
| Vyberte jednu z možností. |
|
|
| Vyberte jednu z možností. |
|
|
| Vyberte jednu z možností. |
|
4.3.4 Kvalita a čistenie údajov
4.3.4.1 Zhodnotenie objektov evidencie z pohľadu dátovej kvality
Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.
ID OE | Názov Objektu evidencie (uvádzať OE z tabuľky v kap. 4.3.2) | Významnosť kvality 1 (malá) až 5 (veľmi významná) | Citlivosť kvality 1 (malá) až 5 (veľmi významná) | Priorita – poradie dôležitosti (začnite číslovať od najdôležitejšieho) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3.4.2 Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality
Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.
Rola | Činnosti | Pozícia zodpovedná za danú činnosť (správca ISVS / dodávateľ) |
Dátový kurátor |
|
|
Data steward |
|
|
Databázový špecialista |
|
|
Dátový špecialista pre dátovú kvalitu |
|
|
*Iná rola (doplniť) |
|
|
4.3.5 Otvorené údaje
Predmetom projektu nie je sprístupnenie otvorených údajov.
Názov objektu evidencie / datasetu (uvádzať OE z tabuľky v kap. 4.3.2) |
Požadovaná interoperabilita (3★ - 5★) | Periodicita publikovania (týždenne, mesačne, polročne, ročne) |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3.6 Analytické údaje
Predmetom projektu nie je sprístupnenie analytických údajov.
ID | Názov objektu evidencie pre analytické účely | Zoznam atribútov objektu evidencie | Popis a špecifiká objektu evidencie |
|
|
|
|
|
|
|
|
|
|
|
|
4.3.7 Moje údaje
Predmetom projektu nie je sprístupnenie údajov prostredníctvom modulu procesnej integrácie a integrácie údajov.
ID | Názov registra / objektu evidencie (uvádzať OE z tabuľky v kap. 4.3.2) | Atribút objektu evidencie | Popis a špecifiká objektu evidencie |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
4.3.8 Prehľad jednotlivých kategórií údajov
Predmetom projektu nie je zavedenie opatrení a nástrojov v oblasti manažmentu údajov.
ID | Register / Objekt evidencie (uvádzať OE z tabuľky v kap. 4.3.2) | Referenčné údaje | Moje údaje | Otvorené údaje | Analytické údaje |
|
| ☐ | ☐ | ☐ | ☐ |
|
| ☐ | ☐ | ☐ | ☐ |
|
| ☐ | ☐ | ☐ | ☐ |
|
| ☐ | ☐ | ☐ | ☐ |
|
| ☐ | ☐ | ☐ | ☐ |
|
| ☐ | ☐ | ☐ | ☐ |
4.4 Technologická vrstva
4.4.1 Prehľad technologického stavu - AS IS
Predmetom projektu nie je zmena technologickej architektúry. Technologická architektúra SPF v súčasnosti zahŕňa:
- Celkový počet virtuálnych serverov vo virtuálnom prostredí - 72 virtuálnych servrov + 31 testovacích staníc pre dané servre
- Celkový počet sieťových aktívnych prvkov - 30 aktívnych sieťových - prvkov
- Celkový počet fyzických serverov (mimo virtuálneho prostredia) - 3 aktívne + 1 s Windows 10 na zálohovanie, a 3 vypnute
- Dostupná kapacita diskových polí - 80TB pre VM servre, 30TB pre VM vitual PC, 50TB NAS1, 50TB NAS2, 20TB zálohovací server GR1
- Celkový počet pracovných staníc - 506
- Celkový počet lokalít infraštruktúry - 21
Projekt nepredpokladá nákup HW vybavenia pre používateľov IS SPF. Schéma nižšie preukazuje spôsob riešenia technologickej architektúry v prostredí SPF, kedy časť aplikácií využíva infraštruktúrne služby vládneho cloudu a časť aplikácií infraštruktúru SPF. Zakreslené sú aj nové prvky, týkajúce sa bezpečnostnej architektúry v rámci infraštruktúrnych služieb SPF.
4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
Parameter | Jednotky | Predpokladaná hodnota | Poznámka |
Počet interných používateľov | Počet | 400 |
|
Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení | Počet | 350 |
|
Počet externých používateľov (internet) | Počet | 305 000 | Počet podaní v roku 2023 |
Počet externých používateľov používajúcich systém v špičkovom zaťažení | Počet | 1 500 | Odhad |
Počet transakcií (podaní, požiadaviek) za obdobie | Počet/obdobie | 305 000 | Počet podaní v roku 2023 |
Objem údajov na transakciu | Objem/transakcia | N/A |
|
Objem existujúcich kmeňových dát | Objem | N/A |
|
Ďalšie kapacitné a výkonové požiadavky ... |
| N/A |
|
4.4.3 Návrh riešenia technologickej architektúry
Projekt nepredpokladá nákup HW vybavenia pre používateľov IS SPF. Schéma nižšie preukazuje spôsob riešenia technologickej architektúry v prostredí SPF, kedy časť aplikácií využíva infraštruktúrne služby vládneho cloudu a časť aplikácií infraštruktúru SPF. Zakreslené sú aj nové prvky, týkajúce sa bezpečnostnej architektúry v rámci infraštruktúrnych služieb SPF.
Schéma č. 3 Technologická architektúra – budúci stav
4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu
Pre realizáciu projektu nie je potrebné využívanie infraštruktúrnych služieb vládneho cloudu
Kód infraštruktúrnej služby (z MetaIS) | Názov infraštruktúrnej služby | Kód využívajúceho ISVS (z MetaIS) | Názov integrovaného ISVS |
|
|
|
|
|
|
|
|
|
|
|
|
Prostredie |
Kód infraštruktúrnej služby (z MetaIS) | Názov infraštruktúrnej služby/ Služba z katalógu cloudových služieb pre zriadenie výpočtového uzla | Požadované kapacitné parametre služby | |||
Dátový priestor (GB) | Tier diskového priestoru | Počet vCPU | RAM (GB) | |||
Vývojové |
|
|
|
|
|
|
Testovacie |
|
|
|
|
|
|
Produkčné |
|
|
|
|
|
|
ďalšie... (uviesť názov) |
|
|
|
|
|
|
Prostredie | Ďalšie služby potrebné na prevádzku projektu z katalógu služieb vládneho cloudu (stručný popis / názov) | Kód služby (z MetaIS) | Parametre pre službu (doplňte stĺpec parametra, ak je dôležitý pre konkrétnu službu) |
|
|
|
|
|
|
|
|
|
|
|
|
4.5 Bezpečnostná architektúra
Navrhovaná bezpečnostná architektúra je v súlade s nasledovnými legislatívnymi normami:
- Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,
- Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov,
- Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
- Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy,
- Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov,
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
Predmetom projektu sú nasledovné prvky bezpečnostnej architektúry:
- Vypracovanie a aktualizácia dokumentácie na základe zistení auditu KB:
Oblasť opatrení | Výstup projektu |
Organizácia kybernetickej a informačnej bezpečnosti | § Aktualizovaná bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení § Vypracovaná Stratégia a súvisiace bezpečnostné politiky |
Riadenie rizík | § Identifikované informačné aktíva a implementovaný systém pre inventarizáciu aktív § Aktualizovaná metodika riadenia rizík nie je jednoznačná § Spracovaná analýza rizík |
Personálna bezpečnosť | § Vypracovaný plán rozvoja bezpečnostného vzdelávania |
Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami | § Vypracovaná analýzy rizík tretích strán a celého dodávateľského reťazca; § Vypracovaná analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou; § Vypracovaný interný riadiaceho aktu upravujúci zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami. |
Bezpečnosť pri prevádzke informačných systémov a sietí | § Vypracovaný interný riadiaci akt v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov; |
Hodnotenie zraniteľností a bezpečnostné aktualizácie | § Vypracovaný interný riadiaci akt upravujúci proces riadenia implementácie bezpečnostných aktualizácií a záplat. |
Sieťová a komunikačná bezpečnosť | § Vypracovaná kategorizácie sieti § Vypracovaná aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie; |
Riešenie kybernetických bezpečnostných incidentov | § Vypracovaný interný riadiaci akt obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov; |
Kryptografické opatrenia | § Vypracovaný interný riadiaci akt upravujúci používanie kryptografických prostriedkov a šifrovania, vrátane vypracovania a dokumentácie systému správy kryptografických kľúčov a certifikátov |
Kontinuita prevádzky | § Vypracovaný interný riadiaci akt obsahujúceho a upravujúci kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie. |
Audit a kontrolné činnosti | § Vypracovaný program posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov. |
- SIEM-SOAR. Správa bezpečnostných informácií a udalostí (SIEM) s nadväznou orchestráciou a automatizáciou riešení na vzniknuté incidenty (SOAR).Riešenie pre aktívny zber dát z monitorovaných zariadení a aplikácií v reálnom čase so schopnosťou ich analyzovania a identifikácie správania typického pre narušenie bezpečnosti s následnou automatizáciou bezpečnostných operácií a procesov reakcie na incidenty počas ich riešenia. Podrobný popis požiadaviek na SIEM-SOAR je uvedený v katalógu požiadaviek.
3) XDR –viacvrstvové integrované riešenie zabezpečenia koncových bodov, ktoré nepretržite monitoruje používateľské zariadenia. Riešenie umožní zhromažďovať údaje pomocou automatických reakcií založených na pravidlách. Platforma XDR zaznamenáva a vzdialene ukladá správanie koncových zariadení na úrovni systému. Potom ich analyzuje s cieľom odhaliť akúkoľvek podozrivú aktivitu a poskytnúť rôzne možnosti reakcie a obrany. Riešenie umožní detekciu nevyžiadanej aktivity na koncových staniciach, funkcionalitu monitoringu prevádzky na koncových zariadeniach, skenovanie koncových zariadení ako aj funkcionalitu centrálneho nastavovania bezpečnostných pravidiel a politík pre koncové zariadenia. Podrobný popis požiadaviek na XDR je uvedený v katalógu požiadaviek.
5. Závislosti na ostatné ISVS / projekty
Realizácia pripravovaného projektu nie je závislá na iných projektoch.
Stakeholder | Kód projektu /ISVS (z MetaIS) | Názov projektu /ISVS | Termín ukončenia projektu | Popis závislosti |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
6. Zdrojové kódy
Nerelevantné pre projekt
7. Prevádzka a údržba
7.1 Prevádzkové požiadavky
Podpora a údržba pre HW zariadenie a softvér musí zahŕňať upgrade a aktuálne opravné balíky (fixes, patch) a musí byť realizovaná onsite v režime 24x7 s reakčnou dobou pri kritických problémoch 2 hodiny (best effort).
7.2 Požadovaná dostupnosť IS:
Neaplikuje sa
8. Požiadavky na personál
Požiadavky na personál sú definované v projektovom zámere
9. Implementácia a preberanie výstupov projektu
Implementácia a preberanie výstupov projektu bude realizované v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy v zmysle ustanovení podľa § 5 a nasledovných ustanovení.
10.Prílohy
Nerelevantné