IDEOVÝ ZÁMER

Manažérsky výstup I-01 

 podľa vyhlášky MIRRI SR č. 401/2023 Z. z. 

verzia 0.1

Pre rýchlejšiu prípravu projektu a vyššiu spokojnosť používateľov.

Ideový zámer má za cieľ prispieť k zrýchleniu prípravy a zníženiu potreby výrazných úprav projektovej dokumentácie v neskorších fázach projektu. Jeho cieľom je umožniť včasnú neformálnu komunikáciu medzi gestormi projektu a hodnotiteľmi. Projektový tím tak bude mať priestor konzultovať svoje plány ešte pred tým, ako investuje čas a financie do tvorby detailnej projektovej dokumentácie.

Táto šablóna je určená gestorom idey a pracovníkom, ktorých sa dotýka upravovaná agenda. Pri jej vypĺňaní nie je potrebná znalosť IT odborných pracovníkov. Vyplňte len časti, ktoré považujete za relevantné.

Pokiaľ potrebujete poradiť, neváhajte nás kontaktovať, e-mailové adresy sú uvedené na konci dokumentu. Na Vašu správu odpovieme do 5 pracovných dní.

Ideový zámer je potrebné nahrať do METAIS (podľa §5 odseku 1 v nadväznosti na § 4 ods. 9 vyhlášky (401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX)

Identifikácia projektu

1. POPIS PROJEKTU

   Stručný popis východiskovej situácie

Popísať stručne, konkrétne pár vetami aktuálny stav a potrebu projektu:

• AS IS stav: Ministerstvo pôdohospodárstva a rozvoja vidieka SR je prevádzkovateľom základnej služby podľa zákona NR SR č. 69/2018 o kybernetickej bezpečnosti z tohto dôvodu je povinné realizovať bezpečnostné opatrenia vyplývajúce z požiadaviek platnej legislatívy. Jednou z povinností PZS je pravidelné vykonávanie auditu kybernetickej bezpečnosti. Pri opakovanom audite KB boli zistené nesúlady a čiastočné nesúlady v jednotlivých oblastiach kybernetickej bezpečnosti, ktoré je potrebné vyriešiť.
• KOMPLEXNOSŤ: Na základe identifikovaných nesúladov a čiastočných nesúladov zistených pri audite kybernetickej bezpečnosti bol vypracovaný návrh riešenia, v ktorom sú navrhnuté nasledovné technické opatrenia, ktoré vychádzajú zo súčasného stavu a záverečnej správy z auditu kybernetickej bezpečnosti:

• implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment),
• konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM)
• implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner)
• implementácia bezpečnostných sieťových prvkov (sieťové firewaly ),
• implementácia kryptografických opatrení a PKI (Public Key Infrastructure),
• fyzická bezpečnosť miestností s technickými prostriedkami informačných technológií – zabezpečenie serverovní a technických miestností (switchovní),
• implementácia nástroja na identifikáciu a evidenciu aktív (Asset Manager),
• bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7,
• implementácia nástroja pre manažovanie mobilných zariadení (MDM-Mobile Device Management),
• konfigurácia a plná implementácia ServisDesku,
• implementácia dvojfaktorovej autentizácie na príslušné prístupy do informačných technológií,
• implementácia elektronického vzdelávacieho procesu (e-Learning)
• testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov)

• URGENCIA: Navrhované technické riešenia a bezpečnostné opatrenia je potrebné riešiť urgentne a to najmä z dvoch dôvodov. Prvý je ten aby sa zvýšila odolnosť informačných systémov predstavujúcich poskytovanie základnej služby pred kybernetickým útokom a pred zneužiteľností informačných aktív a zabránilo sa prípadným škodám. Druhým dôvodom je zvýšenie úrovne súladu s požiadavkami vyplývajúcimi z platnej legislatívy pre oblasť kybernetickej bezpečnosti a pre oblasť informačných technológií verejnej správy.
• CIEĽOVÁ SKUPINA: primárne interní zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, sekundárne občania pristupujúci k webovému sídlu a elektronickým službám MPRV SR
• HRANICA: do 3 000 000 €

Stručne pár vetami popísať cieľový stav po realizácii projektu:

• TO BE stav: Po realizovaní projektu sa výrazne zlepší úroveň KB a zvýši sa percento zhody v rámci auditu KB minimálne na 60% až 70%. Výrazne sa posilní odolnosť informačných systémov a zvýši sa prevencia a ochrana úniku dát ako aj sieťová bezpečnosť a ochrana pred kybernetickými útokmi a kybernetickými incidentami.
• BIZNIS ALTERNATÍVY: Popis spôsobov, akým možno cieľový stav dosiahnuť (zmena procesov, nové nástroje,..).

  1. úprava procesov

Nový IS je nástrojom, nie riešením problémov. Často viac ako komplexný IS pomôže prioritne zmena procesov organizácie, po ktorej stačí obstarať už zjednodušené riešenie s menšou náročnosťou na funkcionality. Takýto systém je možné dodať skôr, a tiež môže byť lacnejší na prevádzku.

 Popísať:

• Implementované bezpečnostné nástroje a systémy prinesú zo sebou aj nevyhnutné zmeny v organizačných procesoch MPRV SR.
• MPRV SR očakáva aj zaškolením presne definovaných zamestnancov , aby zvládli použitie novo implementovaných bezpečnostných nástrojov a systémov.

1. Používatelia riešenia

Zahrnutie názoru používateľov už v skorých fázach prípravy projektu umožní získať spätnú väzbu aj k procesom organizácie, nielen k možnému technickému riešeniu. Nový systém alebo zmeny sa robia prioritne pre pomoc používateľov. Preto majú byť zapojení v čo najväčšej miere do celého procesu: od zisťovania problému, návrhu riešenia, testovania a úpravy riešenia na základe získanej spätnej väzby. Toto je potrebné zohľadniť už pri tvorbe harmonogramu.

Spolupráca s používateľmi je nielen odporúčaná, ale pre určité projekty aj povinná, viac napr. v § 8 vyhlášky (401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX). Povinnosti pri zbere a vyhodnocovaní spätnej väzby sú bližšie upravené vo vyhláške: 547/2021 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX

 Popísať aktuálny stav a potrebu projektu:

• primárne interní správcovia informačných systémov a zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR,
• sekundárne občania pristupujúci k webovému sídlu a elektronickým službám

Hlavným prínosom projektu Zvýšenie úrovne kybernetickej a informačnej bezpečnosti a informačnej bezpečnosti informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR je naplnenie legislatívnych a strategických požiadaviek, kladených sa informačnú a kybernetickú bezpečnosť a vo svojom dôsledku zabezpečenie vysokej úrovne dôvernosti, dostupnosti a integrity aktív MPRV SR.

Hlavnými oblasťami v ktorých sa budú technické riešenia a bezpečnostné opatrenia, a ktoré budú predstavovať významný prínos pre oblasť kybernetickej a informačnej bezpečnosti:

• zvýšenie monitorovacích, detekčných a reakčných schopnosti,
• riadenie rizík KIB,
• personálna bezpečnosť najmä oblasť zvyšovanie bezpečnostného povedomia a školení vrátane meranie ich účinnosti,
• riadenie prístupov a zavedenie 2FA autentizácie,
• šifrová ochrana informácií
• bezpečnosť pri prevádzke informačných systémov a sietí vrátane mobilných zariadení,
• sieťová a komunikačná bezpečnosť,
• zaznamenávanie udalostí a monitorovanie,
• fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),
• riešenie kybernetických bezpečnostných incidentov,