Version 3.1 by Róbert Závacký on 2024/11/28 15:48
Show last authors
1 [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_53c75466a2b12a33.jpg||height="68" width="194"]] [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_d542740974d97d1a.jpg||height="52" width="265"]]
2
3 **IDEOVÝ ZÁMER**
4
5 **Manažérsky výstup I-01 **
6
7 podľa vyhlášky MIRRI SR č. 401/2023 Z. z.
8
9 verzia 0.1
10
11
12
13 Pre **rýchlejšiu prípravu** projektu a **vyššiu spokojnosť** používateľov.
14
15
16 //Ideový zámer má za cieľ prispieť k zrýchleniu prípravy a zníženiu potreby výrazných úprav projektovej dokumentácie v neskorších fázach projektu. Jeho cieľom je umožniť včasnú neformálnu komunikáciu medzi gestormi projektu a hodnotiteľmi. Projektový tím tak bude mať priestor konzultovať svoje plány ešte pred tým, ako investuje čas a financie do tvorby detailnej projektovej dokumentácie.//
17
18 //Táto šablóna je určená gestorom idey a pracovníkom, ktorých sa dotýka upravovaná agenda. Pri jej vypĺňaní **nie je potrebná** znalosť IT odborných pracovníkov. Vyplňte len časti, ktoré považujete za relevantné.//
19
20 //Pokiaľ potrebujete poradiť, neváhajte nás kontaktovať, e-mailové adresy sú uvedené na konci dokumentu. Na Vašu správu odpovieme do 5 pracovných dní.//
21
22 //Ideový zámer je potrebné nahrať do METAIS (podľa [[§5 odseku 1 v nadväznosti na § 4 ods. 9 vyhlášky (>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/#paragraf-5.odsek-1]]//__[[**401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX**>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__//)//
23
24
25
26 **Identifikácia projektu**
27
28 |**Názov:**|//Implementácia technických opatrení na zvýšenie úrovne kybernetickej a informačnej bezpečnosti// //informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR//
29 |**Realizátor:**|//Útvar rezortnej informatiky Ministerstva pôdohospodárstva a regionálneho rozvoja SR//
30 |**Kontaktná osoba:**|//Ing. Petra Hudáková, Ing. Jaroslav Rohaľ//
31 |**Dátum:**|//10.6.2024//
32 |**Predpokladaný začiatok:**|//QII. 2025//
33 |**Dátum schválenia projektovou komisiou:**|//N/A//
34
35
36
37 {{id name="_Toc510413655"/}}{{id name="_Toc47815688"/}}
38 \\
39
40 1. (((
41 = {{id name="_Toc153456676"/}}POPIS PROJEKTU =
42 )))
43
44 1.
45 11. (((
46 == {{id name="_Toc153456677"/}}Stručný popis východiskovej situácie ==
47 )))
48
49 Popísať stručne, konkrétne pár vetami aktuálny stav a potrebu projektu:
50
51 * {{id name="_GoBack"/}}**AS IS stav:** Ministerstvo pôdohospodárstva a rozvoja vidieka SR je prevádzkovateľom základnej služby podľa zákona NR SR č. 69/2018 o kybernetickej bezpečnosti z tohto dôvodu je povinné realizovať bezpečnostné opatrenia vyplývajúce z požiadaviek platnej legislatívy. Jednou z povinností PZS je pravidelné vykonávanie auditu kybernetickej bezpečnosti. Pri opakovanom audite KB boli zistené nesúlady a čiastočné nesúlady v jednotlivých oblastiach kybernetickej bezpečnosti, ktoré je potrebné vyriešiť.
52 * **KOMPLEXNOSŤ**: Na základe identifikovaných nesúladov a čiastočných nesúladov zistených pri audite kybernetickej bezpečnosti bol vypracovaný návrh riešenia, v ktorom sú navrhnuté nasledovné technické opatrenia, ktoré vychádzajú zo súčasného stavu a záverečnej správy z auditu kybernetickej bezpečnosti:
53
54 * implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment),
55 * konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM)
56 * implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner)
57 * implementácia bezpečnostných sieťových prvkov (sieťové firewaly ),
58 * implementácia kryptografických opatrení a PKI (Public Key Infrastructure),
59 * fyzická bezpečnosť miestností s technickými prostriedkami informačných technológií – zabezpečenie serverovní a technických miestností (switchovní),
60 * implementácia nástroja na identifikáciu a evidenciu aktív (Asset Manager),
61 * bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7,
62 * implementácia nástroja pre manažovanie mobilných zariadení (MDM-Mobile Device Management),
63 * konfigurácia a plná implementácia ServisDesku,
64 * implementácia dvojfaktorovej autentizácie na príslušné prístupy do informačných technológií,
65 * implementácia elektronického vzdelávacieho procesu (e-Learning)
66 * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov)
67
68 * **URGENCIA**: Navrhované technické riešenia a bezpečnostné opatrenia je potrebné riešiť urgentne a to najmä z dvoch dôvodov. Prvý je ten aby sa zvýšila odolnosť informačných systémov predstavujúcich poskytovanie základnej služby pred kybernetickým útokom a pred zneužiteľností informačných aktív a zabránilo sa prípadným škodám. Druhým dôvodom je zvýšenie úrovne súladu s požiadavkami vyplývajúcimi z platnej legislatívy pre oblasť kybernetickej bezpečnosti a pre oblasť informačných technológií verejnej správy.
69 * **CIEĽOVÁ SKUPINA**: primárne interní zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, sekundárne občania pristupujúci k webovému sídlu a elektronickým službám MPRV SR
70 * **HRANICA**: do 3 000 000 €
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92 1.
93 11. (((
94 == {{id name="_Toc153456678"/}}Situácia po realizácii projektu ==
95 )))
96
97 [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_bbbc129228cc5bd8.gif||alt="Shape1" height="155" width="610"]]
98 \\
99
100 Stručne pár vetami popísať cieľový stav po realizácii projektu:
101
102 * **TO BE stav:** Po realizovaní projektu sa výrazne zlepší úroveň KB a zvýši sa percento zhody v rámci auditu KB minimálne na 60% až 70%. Výrazne sa posilní odolnosť informačných systémov a zvýši sa prevencia a ochrana úniku dát ako aj sieťová bezpečnosť a ochrana pred kybernetickými útokmi a kybernetickými incidentami.
103 * **BIZNIS ALTERNATÍVY**: Popis spôsobov, akým možno cieľový stav dosiahnuť (zmena procesov, nové nástroje,..).
104
105 1.
106 11. (((
107 == {{id name="_Toc153456679"/}}úprava procesov ==
108 )))
109
110 //Nový IS je nástrojom, nie riešením problémov. Často viac ako komplexný IS pomôže prioritne zmena procesov organizácie, po ktorej stačí obstarať už zjednodušené riešenie s menšou náročnosťou na funkcionality. Takýto systém je možné dodať skôr, a tiež môže byť lacnejší na prevádzku.//
111
112 [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_3f78a501554378c.gif||alt="Shape2" height="107" width="610"]] Popísať:
113
114 * Implementované bezpečnostné nástroje a systémy prinesú zo sebou aj nevyhnutné zmeny v organizačných procesoch MPRV SR.
115 * MPRV SR očakáva aj zaškolením presne definovaných zamestnancov , aby zvládli použitie novo implementovaných bezpečnostných nástrojov a systémov.
116
117 1. (((
118 = {{id name="_Toc153456680"/}}Používatelia riešenia =
119 )))
120
121 //Zahrnutie názoru používateľov už v skorých fázach prípravy projektu umožní získať spätnú väzbu aj k procesom organizácie, nielen k možnému technickému riešeniu. Nový systém alebo zmeny sa robia prioritne pre pomoc používateľov. Preto majú byť zapojení v čo najväčšej miere do celého procesu: od zisťovania problému, návrhu riešenia, testovania a úpravy riešenia na základe získanej spätnej väzby. Toto je potrebné zohľadniť už pri tvorbe harmonogramu.//
122
123 Spolupráca s používateľmi je nielen odporúčaná, ale pre určité projekty aj povinná, viac napr. v § 8 vyhlášky (**__[[401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__**). Povinnosti pri zbere a vyhodnocovaní spätnej väzby sú bližšie upravené vo vyhláške: **__[[547/2021 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/]]__**
124
125 [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_ddfd6d14227d6313.gif||alt="Shape3" height="97" width="610"]] Popísať aktuálny stav a potrebu projektu:
126
127 * primárne interní správcovia informačných systémov a zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR,
128 * sekundárne občania pristupujúci k webovému sídlu a elektronickým službám
129
130
131
132 1. (((
133 = Prínosy =
134 )))
135
136 //V tejto fáze prípravy projektu odporúčame začať so zberom údajov, ktoré sú pre projekt relevantné a môžu byť použité v rámci kvantifikácie prínosov (meranie času procesov, počet podaní/incidentov a iné). Pokiaľ poznáte podobné už zrealizované riešenie, je vítané, ak využijete skúsenosti z predchádzajúceho/iného projektu a overíte tak svoje predpoklady.//
137
138 Uveďte kvantitatívne aj kvalitatívne prínosy projektu (stačí popis, nemusia byť v tomto štádiu vyčíslené). Priraďte prínos k vyriešenému problému v TO BE stave, tzn. na akú fázu/časť projektu sa prínos vzťahuje.
139
140 Príklad: Ušetrenie času úradníkov (optimalizácia interných procesov znížením rozsahu dokumentácie pri výberovom procese; zavedenie automatického vypĺňania údajov z elektronických prihlášok namiesto manuálneho prepisovania údajov z listov do interného systému).
141
142 Hlavným prínosom projektu Zvýšenie úrovne kybernetickej a informačnej bezpečnosti a informačnej bezpečnosti informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR je naplnenie legislatívnych a strategických požiadaviek, kladených sa informačnú a kybernetickú bezpečnosť a vo svojom dôsledku zabezpečenie vysokej úrovne dôvernosti, dostupnosti a integrity aktív MPRV SR.
143
144 Hlavnými oblasťami v ktorých sa budú technické riešenia a bezpečnostné opatrenia, a ktoré budú predstavovať významný prínos pre oblasť kybernetickej a informačnej bezpečnosti:
145
146 * zvýšenie monitorovacích, detekčných a reakčných schopnosti,
147 * riadenie rizík KIB,
148 * personálna bezpečnosť najmä oblasť zvyšovanie bezpečnostného povedomia a školení vrátane meranie ich účinnosti,
149 * riadenie prístupov a zavedenie 2FA autentizácie,
150 * šifrová ochrana informácií
151 * bezpečnosť pri prevádzke informačných systémov a sietí vrátane mobilných zariadení,
152 * sieťová a komunikačná bezpečnosť,
153 * zaznamenávanie udalostí a monitorovanie,
154 * fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),
155 * riešenie kybernetických bezpečnostných incidentov,
156
157
158
159
160
161 === {{id name="_Toc153456681"/}}**ďalšie kroky nad rámec ideového zámeru** ===
162
163 Nasledujúce kapitoly **nie sú povinné** pre zverejnenie Ideového zámeru. Pomôcť Vám môžu ako príprava na písanie projektovej dokumentácie, kým sa projekt dostane do príliš veľkého technického detailu. V prípade, že Váš projekt bude podliehať hodnoteniu MIRRI SR alebo ÚHP, s rovnakými otázkami sa stretnete aj v tomto procese.
164
165 Radi Vám poradíme aj s ďalšími témami nad rámec Ideového zámeru, preto sa na nás neváhajte obrátiť.
166
167 1. (((
168 = priorizácia =
169 )))
170
171 //Komplexné informačné systémy sú ohrozené vyššou mierou zlyhania dodávky než menšie projekty. Je preto lepšie začať s realizáciou jednoduchšieho systému, ktorý zabezpečí nevyhnutné procesy. Po ich úspešnom otestovaní, nasadení a spätnej väzbe od používateľov, je menej rizikové projekt ďalej rozširovať ostatnými požiadavkami. Tiež je po nasadení prvej časti projektu priestor upraviť pôvodné požiadavky a spresniť odhady, ako projekt v praxi pomáha používateľom.//
172
173 |Nevyhnutné procesy|(((
174 * identifikácia a evidencia aktív,
175 * systém správy prevádzkových záznamov (Log manažment)
176 * analýzy a vyhodnocovanie prevádzkových záznamov - SIEM
177 * bezpečnostný monitoring SOC ako služba (SOCaaS)
178 * bezpečnostné sieťové prvky (sieťové firewally)
179 * kryptografickéh opatrenia a PKI (Public Key Infrastructure),
180 * zabezpečenie serverovní a technických miestností (switchovní),
181 * dvojfaktorvá autentizácia pre prístupy z interného aj externého prostredia
182 * manažovanie mobilných zariadení (MDM - Mobile Device Management)
183 * detegovanie existujúcich zraniteľností
184 * testovanie prijatých opatrení kybernetickej bezpečnosti (penetračné a phishingové testy)
185 * správa požiadaviek (ticketov) - ServisDesk"
186 * výukova platforma pre podporu školení a vyhodnocovanie ich účinnosti (e-Learning)
187 )))
188 |Legislatíva|(((
189 * Zákonom NR SR č. 69/2018 Z. z. o kybernetickej bezpečnosti,
190 * Vyhláškou NBÚ SR č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
191 * Zákon NR SR č. 95/2019 Z. z. o informačných technológiách verejnej správy
192 * Vyhláška UPVII č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
193
194 Legislatívne požiadavky, ktoré sa musia projektom naplniť.
195 )))
196 |Ostatné požiadavky|Prehľad požiadaviek, ktoré môžu byť dodané v rámci rozšírenia riešenia. Ich cieľom je rozšíriť okruh vyriešených problémov s nižšou prioritou. Aj bez ich realizácie má zmysel projekt realizovať.
197
198 1. (((
199 = {{id name="_Toc153456682"/}}uvažované technologické alternatívy projektu =
200 )))
201
202 {{id name="_Toc47815705"/}}{{id name="_Toc47604296"/}}//Prieskum dostupných technologických riešení na trhu je dôležitým nástrojom, ako Vaša organizácia zaistí, že skutočne dostane tú najlepšiu možnosť pre svoje potreby. Externí partneri, ktorí pristúpia v ďalšej fáze prípravy projektu, nemusia mať dostatočnú znalosť problematiky. Výsledkom môže byť návrh predimenzovaného alebo nevhodného riešenia pre Vašu organizáciu.//
203
204 Ku každej alternatíve skúste priradiť, či je k dispozícii daná možnosť a či ju potenciálne môžete využiť. Pokiaľ je to možné, doplňte konkrétne príklady alebo riziká jednotlivých riešení, ak o nich už teraz viete.
205
206 |Krabicové riešenie|Príklad: produkt A, produkt B (môžeme/nemôžme využiť takúto možnosť,...).
207 |Nový IS/Úprava existujúceho IS|Príklad: máme k dispozícii IS/potrebné riešenie neexistuje u nás ani na inom rezorte (vendor-lock; máme zdrojové kódy a môžeme systém ďalej upravovať,...).
208
209
210
211
212
213 1. (((
214 = ROZPOČET =
215 )))
216
217 Pokiaľ viete, zaraďte projekt do kategórie podľa odhadovaných investičných nákladov (CAPEX) s DPH. Nie je potrebné uviesť presné číslo výdavkov v danej hranici – postačí plánovaný odhad celkovej ceny projektu a plánovaný zdroj financovania (zdroj financovania rovnako môže byť predmetom následných konzultácii). Ďalej potrebné pre proces hodnotenia: detailný rozpočet pre zvolenú alternatívu, odhad nákladov pre ďalšie alternatívy (ak relevantné).
218
219 |do 200tis. EUR vrátane|(((
220 Nepodlieha hodnoteniu MIRRI SR ani ÚHP.
221
222 Stanovisko MIRRI SR je ale potrebné pre projekty, ktorých súčasťou je mobilná aplikácia.
223 )))
224 |nad 200.000 EUR do 1.000.000 EUR|Stanovisko MIRRI SR je potrebné pre realizáciu projektov, ktoré podliehajú posúdeniu gestora 0EK (k žiadosti o rozpočtové opatrenie na MF SR) alebo ktoré stanovisko vyžadujú zo zadefinovanej podmienky výzvy z EU prostriedkov a pod. (napr. Národné projekty).
225 |nad 1 mil. EUR do10 mil. EUR|Stanovisko MIRRI SR, ÚHP [[__Uznesenie vlády č. 649/2020__>>url:https://rokovania.gov.sk/RVL/Resolution/18792/1]]
226 |10 mil. EUR a viac|Stanovisko MIRRI SR, ÚHP [[__19a 523/2004 Z. z.__>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/523/20230101#paragraf-19a]]
227
228 1. (((
229 = {{id name="_Toc510413657"/}}{{id name="_Toc153456685"/}}Pomoc a usmernenie =
230 )))
231
232 Ak by ste v ďalších fázach projektu potrebovali poradiť/pomôcť, v tabuľke nájdete zoznam kontaktov a užitočných zdrojov.
233
234 |Tvorba dokumentácie|__[[https:~~/~~/metais.vicepremier.gov.sk/help>>url:https://metais.vicepremier.gov.sk/help]]
235 [[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/>>url:https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/]]__
236 |Legislatíva|(((
237 __[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/]]__
238
239 __[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115.html]]__
240
241 __[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20220101.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20220101.html]]__
242
243 __[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2013/305/20231101.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2013/305/20231101.html]]__
244
245 __[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/]]__
246 )))
247 |Proces hodnotenia|(((
248 MIRRI: __[[allopk@mirri.gov.sk>>mailto:allopk@mirri.gov.sk]]__
249
250 ÚHP: __[[investicie.uhp@mfsr.sk>>mailto:investicie.uhp@mfsr.sk]]__
251 )))
252 |Financovanie|V závislosti od zdroja financovania
253 |Praktické informácie k realizácii projektu|__[[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/>>url:https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/]]__
254 |Iné|Ďalšie otázky smerujte na: __allopk@mirri.gov.sk__ a __[[investicie.uhp@mfsr.sk>>mailto:investicie.uhp@mfsr.sk]].__ Ak nebudeme vedieť poradiť my, nasmerujeme Vás na ďalšie kontaktné osoby.