I-01 Projektový zámer – detailný (projektovy_zamer)

PROJEKTOVÝ ZÁMER
Vzor pre manažérsky výstup I-02

PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História DOKUMENTU

1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

1. 
   
   1. Použité skratky a pojmy

.

1. DEFINOVANIE PROJEKTU

1. 
   
   1. Manažérske zhrnutie

Tento projekt je vypracovaný v súlade s:

• Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
• Výzvou č. PSK-MIRRI-616-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“.

Úrad vlády Slovenskej republiky (ďalej „úrad vlády“) plní v zmysle kompetenčného zákona úlohy spojené s odborným, organizačným a technickým zabezpečovaním činnosti vlády Slovenskej republiky (ďalej „vláda“). Rovnaké úlohy plní úrad vlády aj pre predsedu vlády ako jeho výkonný orgán. Úrad vlády je tiež sídlom dvoch splnomocnencov vlády Slovenskej republiky: splnomocnenca vlády SR pre národnostné menšiny a splnomocnenca vlády SR pre mládež a šport. Okrem iného zabezpečuje tiež činnosť Kancelárie Bezpečnostnej rady Slovenskej republiky a činnosť sekretariátu poradných orgánov vlády, ktoré pôsobia pri úrade vlády.

Úrad vlády Slovenskej republiky je ústredným orgánom štátnej správy pre štátnozamestnanecké vzťahy a právne vzťahy pri výkone práce vo verejnom záujme, kontrolu plnenia úloh súvisiacich s výkonom štátnej správy a pre kontrolu vybavovania petícií a sťažností, koordináciu v oblasti prevencie korupcie a koordináciu uskutočňovania inklúzie marginalizovaných rómskych komunít. Kontroluje plnenie úloh z programového vyhlásenia vlády a z uznesení vlády, koordinuje prípravu zásadných opatrení na zabezpečenie hospodárskej a sociálnej politiky Slovenskej republiky, zabezpečuje a koordinuje ochranu finančných záujmov Európskej únie. Úlohy v oblasti podpory inklúzie marginalizovaných rómskych komunít vykonáva samostatná organizačná zložka Úradu vlády Slovenskej republiky, ktorá plní aj úlohy národného kontaktného bodu. Ak je Úrad vlády poverený plniť úlohy sprostredkovateľského orgánu, tieto úlohy vykonáva táto organizačná zložka, ktorej vedúci zamestnanec je štatutárnym orgánom poskytovateľa príspevkov z fondov Európskej únie.

 Úrad vlády Slovenskej republiky je ústredným orgánom štátnej správy aj pre koordináciu a riadenie Plánu obnovy a odolnosti Slovenskej republiky a mechanizmu na podporu obnovy a odolnosti, koordináciu a riadenie Sociálno-klimatického fondu a vnútroštátnu implementáciu Agendy 2030. Prispieva k dlhodobej stabilite investičného prostredia prostredníctvom vypracovania Národného investičného plánu pozostávajúceho z investičných projektov strategického významu, ktoré sú kľúčové pre dlhodobý hospodársky a sociálny rozvoj Slovenska, ako aj finančného plánu pokrývajúceho identifikované investičné potreby a opierajúceho sa o rôzne finančné zdroje, a pravidelnú aktualizáciu tohto dokumentu. Úrad vlády plní úlohy strategickej a metodickej koordinácie v oblasti výskumu, vývoja a inovácií, vykonáva posudzovanie strategických iniciatív Európskej únie smerujúcich k budovaniu odolnosti Slovenska, ktorých vykonávanie vyžaduje zapojenie najmenej dvoch ústredných orgánov štátnej správy, usmerňuje a koordinuje plnenie úloh z nich vyplývajúcich, riadi a koordinuje opatrenia na tvorbu a uskutočňovanie talentovej politiky, koordinuje a riadi aktivity súvisiace s obnovou Ukrajiny a jej integráciou do Európskej únie vrátane vytvárania a prepájania príslušných finančných nástrojov na európskej a národnej úrovni. Spravuje elektronickú platformu pre verejné obstarávanie a zabezpečuje centralizované činnosti vo verejnom obstarávaní.

ÚV SR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti          č. 69/2018 Z. z. v sektore Verejná správa (https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/). Základná prevádzkovaná služba: webové sídlo a informačné sídlo Úradu vlády SR. ÚV SR je správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

Projekt „Posilnenie kybernetickej a informačnej bezpečnosti ÚV SR“ (ďalej len „Projekt“) bol vytvorený s cieľom posilniť kapacity v oblasti informačnej a kybernetickej bezpečnosti na Úrade vlády Slovenskej republiky (ďalej len „ÚV SR“ alebo „Úrad“). Jeho cieľom je tiež zabezpečiť súlad s legislatívou, konkrétne so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení ďalších zákonov (ďalej len „Zákon o KB“), a zaistiť poskytovanie služieb definovaných týmto zákonom, vrátane monitorovania a riešenia bezpečnostných incidentov týkajúcich sa dôležitých informačných systémov rezortu ÚV SR a sektorov bankovníctva a finančných trhov.

Podľa zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy, je Úrad vlády centrálnym orgánom štátnej správy pre rôzne oblasti vrátane financií, daní, poplatkov, colníctva, finančnej kontroly, vnútorného a vládneho auditu. S touto zodpovednosťou je spojená prevádzka relevantných informačných systémov. ÚV SR je zároveň prevádzkovateľom základnej služby podľa Zákona o KB a patrí do sektora Verejnej správy, podsektora Informačné systémy verejnej správy. Úrad má povinnosť implementovať bezpečnostné opatrenia podľa legislatívy a príslušných predpisov.

Hlavným zámerom projektu je zvýšiť úroveň kybernetickej a informačnej bezpečnosti na Úrade vlády v súlade s legislatívnymi požiadavkami Zákona o KB a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe (ďalej „Zákon o ITVS“), vrátane vykonávacích predpisov a ďalších relevantných legislatívnych rámcov.

Tento projekt nadväzuje na predchádzajúce investičné aktivity ÚV SR, ktorých cieľom bola modernizácia infraštruktúry s dôrazom na vyššiu úroveň bezpečnosti, zavádzanie bezpečnostných opatrení a implementáciu proaktívneho monitorovania kybernetických bezpečnostných incidentov (KBI). V rámci predkladaného projektu sa plánuje pokračovať v posilňovaní kybernetickej bezpečnosti prostredníctvom rozšírenia bezpečnostných technológií a ochrany informačných systémov Úradu, vrátane zabezpečenia prístupovej infraštruktúry pre organizácie patriace do pôsobnosti ÚV SR.

Projektové aktivity sú rozdelené na logické moduly:

1. Bezpečnostný dohľad a riadenie incidentov, zahŕňajúce analytické práce a rozšírenie monitoringu prostredníctvom systému SIEM.
2. Hodnotenie zraniteľností a bezpečnostné aktualizácie, zamerané na zavedenie nástroja na detekovanie zraniteľností programových a technických prostriedkov.
3. Zvyšovanie bezpečnosti pri prevádzke informačných systémov a sietí prostredníctvom implementácia nástrojov na riadenie bezpečnosti, evidenciu a schvaľovanie zmien.
4. Nasadenie nástroja na ochranu pred kybernetickými hrozbami pomocou sandboxing mechanizmu.
5. Implementácia Network Access Control (NAC) pre autentifikáciu zariadení v sieti.
6. Sieťová a komunikačná bezpečnosť: Monitorovanie sieťovej prevádzky, detekcia anomálií pomocou strojového učenia, implementácia 2FA (dvojfaktorovej autentifikácie), bezpečné tlačenie dokumentov.
7. Riešenie kybernetických bezpečnostných incidentov rozšírením antivírusovej a EDR ochrany, detailná analýza koncových zariadení.
8. Implementácia nástroja na manažovanie záloh a bezpečné uloženie záloh mimo primárnej lokality.
9. Zvyšovanie kompetencií zamestnancov cez rozvoj bezpečnostného povedomia a pravidelné testovanie (interné phishingové kampane).

Aktivity projektu budú realizované kombináciou interných kapacít odboru informačnej a kybernetickej bezpečnosti v spolupráci s externými dodávateľmi. Bude tiež zabezpečený nákup hardvéru a softvéru, ktorý bude využívaný v rámci integrácie a konfigurácie bez potreby vlastného vývoja.

Projekt reaguje na narastajúce riziká kybernetických útokov. Podľa Správy o kybernetickej bezpečnosti v SR z roku 2023 (NBÚ) počet kybernetických útokov kontinuálne rastie. Medzi najčastejšie hrozby patria útoky prostredníctvom sociálneho inžinierstva, DDoS útoky, malvér a pokusy o zneužitie zraniteľností systémov.

Hoci ÚV SR už má zavedené procesy riadenia kybernetickej bezpečnosti a spracovanú bezpečnostnú dokumentáciu, nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi na splnenie všetkých zákonných požiadaviek. Výstupy projektu budú zároveň v súlade s cieľmi Bezpečnostnej stratégie kybernetickej bezpečnosti a internými riadiacimi smernicami ÚV SR. Projekt reflektuje aj výsledky auditu kybernetickej bezpečnosti a analýzy rizík, ktoré definovali prioritné opatrenia a aktivity.

Projektový zámer je v súlade so strategickými cieľmi Národnej koncepcie informatizácie verejnej správy (NKIVS 2021), ktorých dosiahnutie podporuje prostredníctvom administratívnych, procesných a technologických opatrení na minimalizáciu kybernetických bezpečnostných incidentov.

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na ÚV v období od 17.10.2023 do 10.11.2023 audit kybernetickej bezpečnosti. Dňa 8.12.2023 bola ÚV odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 ÚV SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre ÚV SR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy:

Kvantitatívne prínosy v rámci navrhovaného projektu sú:

• Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku.
• Zabránenie riziku narušenia údajov implementáciou technických opatrení.

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie miery rizika vzniku kybernetického incidentu.
• Zvýšenie miery súladu s platnou legislatívou.
• Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
• Zvýšenie detekcie kybernetických bezpečnostných incidentov.
• Zvýšená spokojnosť a dôvera používateľov.

Časový harmonogram projektu je nastavený na 24 mesiacov a finálnym termínom dokončenia do 30.04.2027. Začiatok projektu je naplánovaný od 05/2025 a má byť ukončený najneskôr do 04/2027. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 24 mesiacov od začiatku trvania projektu.

Rámcový rozpočet projektu je stanovený na sumu  3 008 244,07 EUR s DPH.

Projekt bude financovaný z Programu Slovensko:

• špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,
• opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,
• oblasť B. Kybernetická a informačná bezpečnosť.

Projekt je v súlade s nasledovným typom akcie PSK: - Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.

s definovanou hlavnou aktivitou: - Zvýšenie úrovne informačnej a kybernetickej bezpečnosti prostredníctvom nákupu hardvéru a bezpečnostného softvéru.

1. 
   
   1. Motivácia a rozsah projektu

ÚV SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti patrí prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

• organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
• riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
• personálnej bezpečnosti,
• riadenia prístupov,
• riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
• bezpečnosti pri prevádzke informačných systémov a sietí,
• hodnotenia zraniteľností a bezpečnostných aktualizácií,
• ochrany proti škodlivému kódu,
• sieťovej a komunikačnej bezpečnosti,
• akvizície, vývoja a údržby informačných sietí a informačných systémov,
• zaznamenávania udalostí a monitorovania,
• fyzickej bezpečnosti a bezpečnosti prostredia,
• riešenia kybernetických bezpečnostných incidentov,
• kryptografických opatrení,
• kontinuity prevádzky,
• auditu, riadenia súladu a kontrolných činností.

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. ÚV SR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

V súlade s § 29 ZoKB prebiehal na ÚV SR v období od 17.10.2023 do 10.11.2023 audit kybernetickej bezpečnosti. Dňa 8.12.2023 bola ÚV SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB ÚV SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde ÚV SR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.

Dotknutý IS VS:

• Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.

Dotknuté úseky, agendy VS a životné situácie:

• Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na ÚV SR.

Dotknuté prioritné osy v zmysle NKIVS:

• Prioritná os 4 – Kybernetická a informačná bezpečnosť

Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:

Prioritná os 4: Kybernetická a informačná bezpečnosť

• Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:

• PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: 1
• PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 400

Ukazovateľ PR017 uvádza počet všetkých zamestnancov ÚV SR, ktorí budú primárnou skupinou nových/vylepšených produktov                 a procesov realizovaných v rámci projektu.

Identifikované problémy súčasného stavu

Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

Celková úroveň riadenia kybernetickej a informačnej bezpečnosti Úradu vlády Slovenskej republiky v zmysle požiadaviek zákona o kybernetickej bezpečnosti a  zavedených opatrení v zmysle vyhlášky 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) sú považované na základe auditu za ČIASTOČNE SPLNENÉ. Úrad vlády ako poskytovateľ základnej služby vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z..  Touto vyhláškou Národného bezpečnostného úradu sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Stratégia kybernetickej bezpečnosti obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z.. Zavedený proces klasifikácie informácií je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oblastiach:

• Nastaviť proces aktualizácie bezpečnostnej politiky tak, aby zahŕňal aj zapracovanie skúseností získaných z riešenia konkrétnych zaznamenaných incidentov. 
• Najmenej raz ročne vykonať testovanie procesu nahlasovania kybernetických bezpečnostných incidentov – interne aj nahlasovanie úradu za účelom overenia správnosti a vykonateľnosti definovaných postupov a o tomto testovaní viesť záznam/evidenciu. 
• Zvážiť pravidelnú revíziu procesu nahlasovania incidentov.
• Implementovať nástroj na detegovanie zraniteľností všetkých komponentov základnej služby (vulnerability scanner).
• Implementovať nástroj na zaznamenávanie a vyhodnocovanie informácií o sieťových paketoch na hranici siete (network flow monitoring). 
• Nasadiť viacfaktorovú autentizáciu pomocou certifikátov pre všetkých používateľov koncových staníc.
• Zavedenie nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí.
• Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien.
• Implementácia nástroja na ochranu pred kybernetickými hrozbami prostredníctvom mechanizmu „sandboxing“.
• Implementácia nástroja na monitorovanie sieťovej prevádzky prostredníctvom dedikovaných sondovacích zariadení s cieľom identifikovať anomálie a potencionálne škodlivú činnosť na základe výstupov algoritmov strojového učenia (NDR).
• Zavedenie SW nástroja na bezpečné tlačenie dokumentov na ľubovoľnej sieťovej tlačiarni, po autentifikácii kartou alebo PIN kódom.
• Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM) ako aj zber a ukladanie logov z jednotlivých informačných systémov.
• Implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania.
• Implementácia opatrení riadenia prístupov zariadení v sieti.
• Riešenie kybernetických bezpečnostných incidentov.
• Nasadenie nástroja na zálohovanie a uloženie záloh.

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oblastí kybernetickej a informačnej bezpečnosti:

• Personálna bezpečnosť
• Hodnotenie zraniteľností a bezpečnostné aktualizácie
• Bezpečnosť pri prevádzke informačných systémov a sietí
• Ochrana proti škodlivému kódu
• Sieťová a komunikačná bezpečnosť
• Zaznamenávanie udalostí a monitorovanie
• Riadenie prístupov zariadení v sieti
• Riešenie kybernetických bezpečnostných incidentov (Rozšírenie existujúcej AV ochrany)
• Nasadenie nástroja na zálohovanie a uloženie záloh

Hlavným problémom, ktorému Úrad vlády Slovenskej republiky ako PZS čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne, aby boli technologické náležitosti KIB realizované tak, aby:

• chránili IT systémy, ktoré zabezpečujú prevádzku základnej služby pred kybernetickými útokmi
• plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,
• boli pripravené na ďalší rozvoj IT technológií PZS a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.

Obrázok 1. Motivačná architekúra

Hlavné ciele:

Hlavným cieľom projektu je zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti zavedením nových bezpečnostných opatrení:

• Zvýšenie prijatých bezpečnostných opatrení v oblasti personálnej bezpečnosti.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti hodnotenia zraniteľností a bezpečnostných aktualizácií.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti bezpečnosti pri prevádzke informačných systémov a sietí.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti ochrane proti škodlivému kódu.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti sieťovej a komunikačnej bezpečnosti.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti zaznamenávaní udalostí a monitorovaní.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti riadenia prístupov zariadení v sieti.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti riešenia kybernetických bezpečnostných incidentov.
• Zvýšenie prijatých bezpečnostných opatrení v oblasti zálohovania.

Aplikované princípy informatizácie VS (v zmysle NKIVS):

Princíp P6: Bezpečnosť

• Optimálna úroveň bezpečnosti
• Včasné riešenie bezpečnosti
• Dostupnosť – odolnosť voči výpadkom

1. 
   
   1. Zainteresované strany/Stakeholderi

1. 
   
   1. Ciele projektu

Hlavným cieľom projektu je zabezpečenie kybernetickej bezpečnosti Úradu vlády Slovenskej republiky, vrátane včasnej a efektívnej reakcie na kybernetické útoky. Zároveň by sa malo dosiahnuť kvalitnejšie a transparentnejšie riadenie celého životného cyklu identifikovaných kybernetických incidentov a zjednotenie postupov a technologickej úrovne kybernetickej odolnosti informačných systémov. Všeobecnými cieľmi preto sú:

• Kvalitnejšie a rýchlejšie riadenie, monitorovanie a reagovanie na kybernetické hrozby.
• Zvýšenie efektívnosti ochrany informačných systémov v oblasti správy štátnych hmotných rezerv
• Zvýšenie odolnosti informačných systémov voči kybernetickým útokom.
• Automatizovaný reporting o vzniku kybernetického bezpečnostného incident.

1. 
   
   1. Merateľné ukazovatele (KPI)

1. 
   
   1. Špecifikácia potrieb koncového používateľa

Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celého ÚV SR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

1. 
   
   1. Riziká a závislosti

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTÍ. Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.

1. 
   
   1. Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a celú životnú situáciu rieši komplexne.

Alternatíva 1 - Ponechanie súčasného stavu

Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z.

Alternatíva 2 – Plošná implementácia opatrení

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve. Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady na zefektívnenie poskytovaných. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Alternatíva uvažuje s implementáciou opatrení na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Alternatíva 3 – Postupná implementácia opatrení

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

1. 
   
   1. Multikriteriálna analýza

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej).

Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 2 ako jediná, ktorá spĺňa všetky požiadavky.

1. 
   
   1. Stanovenie alternatív v aplikačnej vrstve architektúry

Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 2. Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry.

1. 
   
   1. Stanovenie alternatív v technologickej vrstve architektúry

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy. Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

1. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Výstupom bude aj dodanie používateľskej príručky, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (Havarijný plán) a bezpečnostný projekt. Na dodržanie štandardov sa použije M-04 Audit kvality zameraný na výstupy z iniciačnej, realizačnej a dokončovacej fázy projektu.

Realizácia projektu bude v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. pozostávať z uvedených etáp:

• Analýza a dizajn,
• Nákup technických prostriedkov, programových prostriedkov a služieb
• Implementácia a testovanie,
• Nasadenie.

ÚV SR bude pri implementácii postupovať v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre a požadované výstupy budú dodávane primerane vzhľadom na charakter projektu.

Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:

• Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.
• Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre ÚV SR.
• Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre ÚV SR.
• Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.

1. NÁHĽAD ARCHITEKTÚRY

Projekt zameraný na zvýšenie kybernetickej bezpečnosti Úradu vlády Slovenskej republiky má za cieľ riešiť komplexné oblasti ochrany infraštruktúry, dát a personálnych kapacít pred kybernetickými hrozbami.

Prvým kľúčovým bodom je zlepšenie personálnej bezpečnosti prostredníctvom rozvoja bezpečnostného povedomia medzi zamestnancami. Bude implementovaný systematický program simulácie phishingových útokov pre približne 850 zamestnancov, ktorý umožní realistické testovanie ich pripravenosti a schopnosti rozpoznať hrozby. Tento nástroj bude generovať detailné reporty o správaní sa zamestnancov pri phishingových pokusoch a pomôže identifikovať slabé miesta, ktoré budú následne adresované prostredníctvom ďalších školení a vzdelávacích aktivít.

Druhou časťou projektu je rozšírenie ochrany koncových bodov a serverov s využitím filozofie Zero Trust. Zero Trust politika prístupu bude uplatňovaná na cca 850 zariadení a 70 serverov, čo zabezpečí, že prístup k systémom bude umožnený len na základe overenej identity a stavu zariadenia. Tento prístup bude integrovaný s ochranou internetového prístupu a cloudových aplikácií, ktoré minimalizujú šírenie škodlivého softvéru. Navyše, nasadenie moderných bezpečnostných protokolov a ochrana proti úniku dát prostredníctvom DLP politík posilní ochranu infraštruktúry.

Ďalším významným krokom je nasadenie Network Access Control (NAC) a Identity Management (IDM) riešení, ktoré umožnia bezpečné riadenie prístupu k sieti a systémom. Každé zariadenie a používateľ prejde autentifikáciou pred získaním prístupu do siete, čím sa zabezpečí, že neoprávnené osoby nebudú mať prístup k citlivým informáciám. IDM systém bude zároveň zabezpečovať automatizované prideľovanie a odoberanie oprávnení na základe aktuálneho stavu používateľov, čím sa zvýši kontrola nad identitami a prístupovými právami v celej organizácii.

Projekt sa zameriava aj na zlepšenie forenzných schopností organizácie a schopnosť analyzovať zraniteľnosti infraštruktúry. Bude implementovaný systém na zber dôkazov z koncových bodov a serverov, ktorý bude sledovať potenciálne hrozby a zhromažďovať digitálne dôkazy pre detailnú analýzu kybernetických incidentov. Tento forenzný nástroj umožní rýchlu triáž incidentov a podrobné vyhodnotenie útokov pomocou nástrojov ako YARA a osquery, čím sa zvýši schopnosť organizácie rýchlo reagovať a predchádzať ďalším incidentom.

Projekt ďalej zahrnuje nasadenie sandbox technológie na analýzu malvéru, ktorá umožní spúšťať potenciálne škodlivé súbory v izolovanom prostredí, čo poskytne možnosť bezpečne analyzovať ich správanie. Tento krok je nevyhnutný pre identifikáciu nových a neznámych druhov malvéru, čo prispeje k ochrane infraštruktúry pred neočakávanými hrozbami.

Na zvýšenie bezpečnosti sieťovej komunikácie bude implementovaná technológia Network Detection and Response (NDR). NDR bude monitorovať vnútornú sieť organizácie, analyzovať správanie a detekovať anomálie, ktoré môžu naznačovať potenciálne kybernetické útoky. Táto technológia zaručí zvýšenú detekciu a rýchlu reakciu na hrozby.

Napokon, projekt obsahuje nasadenie zálohovacieho riešenia s ochranou proti ransomvéru. Riešenie bude zahrňovať automatizovanú kontrolu záloh na prítomnosť škodlivého kódu a zabezpečí, že ak dôjde k incidentu, systém bude schopný rýchlo obnoviť dáta bez väčších prestojov. Táto technológia poskytne spoľahlivú ochranu pred stratou dát a minimalizuje vplyv potenciálnych kybernetických útokov na prevádzku verejného obstarávateľa.

Obrázok 2. Znázornenie technológií implementovaných Projektom KIB ÚV SR

Projekt teda poskytne komplexnú ochranu na viacerých úrovniach a výrazne zvýši schopnosti verejného obstarávateľa odolávať moderným kybernetickým hrozbám, chrániť citlivé údaje a efektívne riadiť prístupy a oprávnenia v rámci celej organizácie. Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:

Personálna bezpečnosť

• Zvyšovanie kompetencií zamestnancov prostredníctvom rozvoja bezpečnostného povedomia a pravidelného testovanie použitím interných phisingových kampaní.

Hodnotenie zraniteľností a bezpečnostné aktualizácie

• Zavedenie nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí (cca. 512 IP).

Bezpečnosť pri prevádzke informačných systémov a sietí

• Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien. (850 používateľov)

Ochrana proti škodlivému kódu

• Implementácia nástroja na ochranu pred kybernetickými hrozbami prostredníctvom mechanizmu „sandboxing“, 2 zariadenie, kde každé musí spracovať aspoň 1300 unikátnych súborov za hodinu.

Sieťová a komunikačná bezpečnosť

• Implementácia nástroja na monitorovanie sieťovej prevádzky prostredníctvom dedikovaných sondovacích zariadení s cieľom identifikovať anomálie a potencionálne škodlivú činnosť na základe výstupov algoritmov strojového učenia (NDR), pričom by malo byť schopné aspoň spracovať 100000 flows za sekundu.

• Implementácia nástroja SW/HW riešenia 2FA (napr. formou mobilnej aplikácie) na kontrolu vzdialeného prístupu na strane používateľov pri prístupe k IS. (cca. 850 používateľov).

Zaznamenávanie udalostí a monitorovanie

• Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM) ako aj zber a ukladanie logov z jednotlivých informačných systémov; on premise, zber minimálne zo 100 zariadení. SIEM bude monitorovať a korelovať všetky typy logovaných udalostí, vrátane rôznych OS (Windows, Unix) a zariadení (IDS/IPS, FW a pod.).

• Implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania (70 zariadení).

Riadenie prístupov zariadení v sieti

• Implementácia Network Acces Control (NAC) v súlade so štandardom IEEE 802.1x pre cca 850 zariadení, vrátane technologického vybavenia pre autentifikáciu zariadení v sietí.

Riešenie kybernetických bezpečnostných incidentov (Rozšírenie existujúcej AV ochrany)

• Rozšírenie licencií existujúceho AV/EDR riešenia na koncových staniciach (cca 850 zariadení) a serveroch (cca 70 serverov)

• Threat inteligence, Zerotrust ochranu (komplexné riadenie prístupu na internet) a zbieranie digitálnych dôkazov z koncových bodov (forenzná analýza). Súčasťou riešenia bude aj detailné preverenie, analýza a diagnostika všetkých koncových zariadení z pohľadu prípadnej aktuálnej infekcie malvérom a jeho odstránenia. (cca. 850 zariadení).

Nasadenie nástroja na zálohovanie a uloženie záloh

• Nasadenie nástroja pre manažovanie a automatické spúšťanie záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej, celková použiteľná kapacita min 70TB,

Náhľad aplikačnej to be vrstvy architektúry

Obrázok 3. Schéma aplikačnej architektúry projektu

Náhľad topológie siete

Obrázok 4. Schéma topológie siete

1. 
   
   1. Prehľad e-Government komponentov
      1. Prehľad koncových služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

1. 
   
   1. 
      
      1. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby:

1. 
   
   1. 
      
      1. Prehľad budovaných aplikačných služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

1. 
   
   1. 
      
      1. Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.

1. 
   
   1. 
      
      1. Aplikačné služby na integráciu

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

1. 
   
   1. 
      
      1. Poskytovanie údajov z ISVS do IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

1. 
   
   1. 
      
      1. Konzumovanie údajov z IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

1. 
   
   1. 
      
      1. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

1. 
   
   1. Prehľad e-Government komponentov

Kapitola je spracovaná v dokumente I-03 Prístup k projektu.

1. LEGISLATÍVA

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

Zákon č. 218/2013 Z.z. o núdzových zásobách ropy a ropných výrobkov a o riešení stavu ropnej núdze a o zmene a doplnení niektorých zákonov

Zákon č. 372/2012 Z. z. o štátnych hmotných rezervách a o doplnení zákona č. 25/2007 Z. z. o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

Smernica č. 1/2021 Postup pri tvorbe, hospodárení a použití mobilizačných rezerv

Smernica č. 4/2021 Postup pri tvorbe, hospodárení a použití pohotovostných zásob

Smernica č. 17/2021 Skladová evidencia štátnych hmotných rezerv

Smernica č. 8/2022 – Financovanie bežných výdavkov ochraňovateľov spojených s ochraňovaním mobilizačných rezerv a pohotovostných zásob hradených zo štátneho rozpočtu

Smernica č. 15/2019 Stanovenie spôsobu merania a výpočtu množstva skladovaných hmotných rezerv, noriem strát pri skladovaní a manipulácii s materiálmi zásob hmotných rezerv

1. ROZPOČET A PRÍNOSY

NÁKLADY

Sumarizácia nákladov:

Sumarizácia nákladov a prínosov riešenia za obdobie 10 rokov:

Interpretácia výsledkov:

Ekonomická a finančná efektívnosť projektu je v analýze prínosov a nákladov hodnotená kvantitatívne pomocou nasledujúcich ukazovateľov:

• Pomer prínosov a nákladov (BCR): 2,41
• Kumulovaná diskont. návratnosť ENPV: t5 (v 3 roku)

Rozpočet projektu: 2 999 370,15 EUR

Celkové náklady na zabezpečenie riešenia boli vypočítané prostredníctvom UCP analýzy. Vypočítané náklady projektu a výšku rozpočtu môžeme rozdeliť nasledovne:

Hlavné aktivity

Vývoj aplikácií:

                   Externé služby:        518 805,60 EUR s DPH

                   SW a Licencie:           929 220,00 EUR s DPH

                   HW:                        1 355 124,07 EUR s DPH

Podporné aktivity

907 - Paušálna sadzba na nepriame výdavky podľa článku 54 písm. a) NSU:   196 220,48 EUR

V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).

KVANTITATÍVNE PRÍNOSY:

1.) Zníženie % výpadku služieb Úradu vlády a s tým súvisiaceho „prestoja“ zamestnancov úradu

% zníženia výpadkov infraštruktúry z dôvodu doplnenia kľúčových HW komponentov infraštruktúry. Prínos sme vypočítali ako rozdiel medzi nedostupnosťou infraštruktúry v AS-IS a TO-BE stave.

2.) Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku

Riziko dopadu veľmi závažného incidentu p je v súčasnosti 10%. Aj keď z praxe vyplýva, že periodicita takéhoto incidentu je 1 krát za 10r. Nasadením riešenia dôjde k zníženiu pravdepodobnosti dopadu závažného incidentu o polovicu. Zároveň zmenou bezpečnostnej architektúry zavedením technologických opatrení dôjde k zníženiu doby obnovy z 14 (10 prac.) dní na 2 dni.

3.) Zabránené riziku narušenia údajov implementáciou EDR

Prínos je vypočítaný ako rozdiel medzi sumárom pravdepodobných priemerných nákladov v prípade narušenia údajov medzi prostredím bez implementovaného riešenia EDR a prostredím s implementovaným EDR. Priemerné náklady pre AS_IS sú vypočítané ako úspora na priemerných nákladoch pri úspešnom porušení údajov. Implementácia riešenia EDR počíta so snažením rozsahu dopadu o 97%.

KVALITATÍVNE PRÍNOSY:

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti Úradu vlády Slovenskej republiky prináša viaceré významné kvalitatívne prínosy v oblasti kybernetickej bezpečnosti a ochrany kritických informačných systémov:

Zvýšená kybernetická ochrana - Projekt prispieva k posilneniu ochrany pred kybernetickými hrozbami a útokmi. Zvýšená schopnosť detekcie a prevencie hrozieb pomáha minimalizovať riziko kybernetických incidentov a znefunkčnenia kritických systémov. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že organizácia bude vystavená menej rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Súčasné kybernetické hrozby neustále evolvujú a stávajú sa čoraz zložitejšími a nebezpečnejšími. Útoky sa objavujú na nových frontoch a využívajú nové techniky na obehnanie existujúcich obranných mechanizmov. Tieto hrozby predstavujú závažné riziká pre organizáciu, ktoré môžu mať vážne dôsledky na jej činnosť a povesť. V rámci projektu investujeme do nových technológií, nástrojov a stratégií, ktoré organizácii umožnia identifikovať a eliminovať tieto hrozby na najvyššej úrovni. Vytvoríme širší a komplexnejší prístup k kybernetickej bezpečnosti, ktorý zabezpečí, že organizácia bude dobre pripravená na kybernetické hrozby všetkých druhov. Rozšírením kybernetickej bezpečnosti na najvyššiu úroveň budeme mať možnosť brániť sa najnáročnejším útokom a minimalizovať ich škodlivé účinky. Tým zabezpečíme ochranu aktív a dôvernosti organizácie, čo je kritické pre našich klientov, zamestnancov a partnerov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť a prosperitu organizácie.

Rýchlejšia reakcia na hrozby - Implementácia technologických riešení a automatizácia procesov umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budeme implementovať najmodernejšie technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k okamžitejšom nasadení potrebných opatrení na minimalizáciu potenciálnych škôd. To znamená, že vďaka implementácii projektu budeme schopní zareagovať na hrozby rýchlejšie a účinnejšie. Výsledkom je nielen zníženie rizika pre organizáciu, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť. Zvýšená rýchlosť a efektivita reakcie na kybernetické hrozby prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesť. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany organizácie pred hrozbami v dnešnom digitálnom svete.

Hĺbková analýza hrozieb – Projektom sa zvýši schopnosť odhaľovať sofistikované hrozby a budúce kybernetické útoky. Hĺbková analýza je kritická v identifikácii a porozumení novým a komplexným hrozbám, ktoré sa vyvíjajú v kybernetickom prostredí. Prostredníctvom projektu investujeme do školenia našich expertov a do moderných nástrojov na analýzu a identifikovanie hrozieb, čo umožní získať hlbší pohľad do štruktúry hrozieb a ich metód. Okrem toho, sledovanie správania útočníkov je ďalším významným prvkom hĺbkovej analýzy. S týmito nástrojmi sme schopní sledovať, ako sa útočníci pohybujú v našej sieti a aké kroky podnikajú na dosiahnutie svojich cieľov. Toto je kľúčové pri rozpoznaní sofistikovaných útokov, ktoré môžu byť skryté a ťažko detekovateľné tradičnými metódami. Zlepšená schopnosť hĺbkovej analýzy hrozieb prinesie organizácii výhody v podobe predchádzania novým, ešte neznámym útokom a rýchlejšiemu vytváraniu ochranných opatrení. Týmto spôsobom projekt prispieva k dlhodobejšiemu zabezpečeniu organizácie pred kybernetickými hrozbami a znižuje pravdepodobnosť závažných incidentov.

Spolupráca a komunikácia - Zlepšená spolupráca a komunikácia medzi rôznymi tímami v organizácii pomáha včasnému zdieľaniu informácií o hrozbách a koordinácii reakcií na kybernetické incidenty. Zlepšená spolupráca znamená, že tímy zamerané na bezpečnosť, IT, a všetky ďalšie príslušné oddelenia budú mať jednoduchší prístup k informáciám o kybernetických hrozbách. To umožní včasné a rýchle zdieľanie informácií o identifikovaných rizikách a aktuálnych situáciách. Týmto spôsobom môžeme predchádzať izolovaným silám a skrátiť čas, ktorý by inak bol stratený na vyhľadávanie dôležitých informácií. V prípade kybernetických incidentov, kedy každá sekunda záleží, umožňuje tento projekt okamžitú komunikáciu a koordináciu reakcií. Rôzne tímy sú schopné okamžite reagovať na situácie, spolupracovať na náprave incidentu a obnoviť normálnu prevádzku bez neprimeraného omeškania. Spolupráca a komunikácia sú kľúčom k efektívnemu kybernetickému bezpečnostnému procesu, a ich zdokonalenie v rámci tohto projektu posilňuje obranu organizácie proti hrozbám. Zabezpečuje to, že organizácia je jednotným tímom, ktorý je schopný reagovať na kybernetické hrozby s jednotným úsilím, čo vedie k zníženiu rizika a minimalizácii škôd.

Zvýšená reputácia a dôvera - Dôsledné opatrenia v oblasti kybernetickej bezpečnosti pomáhajú zvýšiť dôveru v štát a reputáciu krajiny. Zabezpečením integrity, dôvernosti a dostupnosti dôležitých informácií a služieb v kybernetickom priestore sa zlepšuje vnímaná kvalita a spoľahlivosť verejnej správy.

Rýchla identifikácia nových hrozieb - Vďaka zdokonaleným nástrojom môže organizácia rýchlejšie identifikovať nové kybernetické hrozby. S novými technológiami a analýzou správania útočníkov môžeme odhaliť aj rafinovanejšie útoky, ktoré by mohli uniknúť tradičným bezpečnostným systémom.

Včasné varovania - Proaktívna kybernetická bezpečnostná stratégia umožňuje organizácii generovať včasné varovania a upozornenia na potenciálne hrozby. To dáva tímom viac času na prípravu a predchádzanie útokom.

Preventívne opatrenia - Projekt zahŕňa implementáciu preventívnych opatrení na základe včasného rozpoznania hrozieb. Tieto opatrenia môžu zahŕňať aktualizácie zraniteľných systémov, zvýšenú monitorovanie, a iné kroky na minimalizáciu rizika.

Znižuje zraniteľnosť organizácie - Proaktivita v reakcii na kybernetické hrozby robí organizáciu menej zraniteľnou voči novým hrozbám. Tým sa minimalizuje potenciálna škoda, ktorú by organizácia mohla utrpieť v dôsledku kybernetického útoku.

Projektom sa zabezpečí, že organizácia nebude iba pasívnym príjemcom informácií o hrozbách, ale aktívnym účastníkom v boji proti nim. Tým sa ÚV SR stane schopnou predvídať a čeliť hrozbám s vyššou efektivitou a dôslednosťou, čím sa posilňuje celková kybernetická bezpečnosť. Celkovo projekt prispeje k vytvoreniu moderného a efektívneho systému včasnej reakcie na kybernetické hrozby v oblasti verejnej správy. Zvýšená kybernetická ochrana a reaktívna schopnosť pomôžu minimalizovať riziká, ktoré kybernetický priestor predstavuje pre dôležité informácie a služby, a to nielen v v pôsobnosti ÚV SR, ale aj pre celý štát.

Opis rozpočtu projektu a detailný popis nákladov

Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“ Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená cena s DPH za jednotlivé položky.

Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia ÚV SR:

Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu  2 999 370,15 s DPH.

1. 
   
   1. Sumarizácia nákladov a prínosov

1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Časový harmonogram projektu je nastavený na 24 mesiacov a finálnym termínom dokončenia do 04/2027. Začiatok projektu je naplánovaný od 05/2025 a má byť ukončený najneskôr do 04/2027. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 24 mesiacov od začiatku trvania projektu.

Projekt bude realizovaný metódou Waterfall v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou. 

1. PROJEKTOVÝ TÍM

Riadiaci výbor projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

Riadiaci výbor projektu môžu tvoriť:

1. 
   
   1. predseda Riadiaceho výboru projektu,
   2. podpredseda Riadiaceho výboru projektu,
   3. vlastník alebo vlastníci procesov  ÚV (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,
   4. zástupcu kľúčových používateľov (end user),
   5. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.
   6. projektový manažér prijímateľa PPM.

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

Projektový tím bude pozostávať z pozícií:

• Projektové role:

• Projektový manažér,
• Kľúčový používateľ,
• Manažér kybernetickej a informačnej bezpečnosti,

• Ďalšie projektové role:

• Finančný manažér
• Asistent PM

V súlade s výzvou ÚV SR zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov ÚV SR.

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

Projektový manažér Objednávateľa  bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s  dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

1. 
   
   1.  PRACOVNÉ NÁPLNE

1. ODKAZY
2. PRÍLOHY

Príloha 1: Zoznam rizík a závislostí

Koniec dokumentu

^[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente

^[2] EUPL licencie: https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf