IDEOVÝ ZÁMER

Manažérsky výstup I-01 

 podľa vyhlášky MIRRI SR č. 401/2023 Z. z. 

verzia 0.1

Pre rýchlejšiu prípravu projektu a vyššiu spokojnosť používateľov.

Ideový zámer má za cieľ prispieť k zrýchleniu prípravy a zníženiu potreby výrazných úprav projektovej dokumentácie v neskorších fázach projektu. Jeho cieľom je umožniť včasnú neformálnu komunikáciu medzi gestormi projektu a hodnotiteľmi. Projektový tím tak bude mať priestor konzultovať svoje plány ešte pred tým, ako investuje čas a financie do tvorby detailnej projektovej dokumentácie.

Táto šablóna je určená gestorom idey a pracovníkom, ktorých sa dotýka upravovaná agenda. Pri jej vypĺňaní nie je potrebná znalosť IT odborných pracovníkov. Vyplňte len časti, ktoré považujete za relevantné.

Pokiaľ potrebujete poradiť, neváhajte nás kontaktovať, e-mailové adresy sú uvedené na konci dokumentu. Na Vašu správu odpovieme do 5 pracovných dní.

Ideový zámer je potrebné nahrať do METAIS (podľa §5 odseku 1 v nadväznosti na § 4 ods. 9 vyhlášky (401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX)

Identifikácia projektu

1. POPIS PROJEKTU

1. 
   

   1. Stručný popis východiskovej situácie

Popísať stručne, konkrétne pár vetami aktuálny stav a potrebu projektu:

• AS IS stav: Ministerstvo pôdohospodárstva a rozvoja vidieka SR je prevádzkovateľom základnej služby podľa zákona NR SR č. 69/2018 o kybernetickej bezpečnosti z tohto dôvodu je povinné realizovať bezpečnostné opatrenia vyplývajúce z požiadaviek platnej legislatívy. Jednou z povinností PZS je pravidelné vykonávanie auditu kybernetickej bezpečnosti. Pri opakovanom audite KB boli zistené nesúlady a čiastočné nesúlady v jednotlivých oblastiach kybernetickej bezpečnosti, ktoré je potrebné vyriešiť.
• KOMPLEXNOSŤ: Na základe identifikovaných nesúladov a čiastočných nesúladov zistených pri audite kybernetickej bezpečnosti bol vypracovaný návrh riešenia, v ktorom sú navrhnuté nasledovné technické opatrenia, ktoré vychádzajú zo súčasného stavu a záverečnej správy z auditu kybernetickej bezpečnosti:

• implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment),
• konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM)
• implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner)
• implementácia bezpečnostných sieťových prvkov (sieťové firewaly ),
• implementácia kryptografických opatrení a PKI (Public Key Infrastructure),
• fyzická bezpečnosť miestností s technickými prostriedkami informačných technológií – zabezpečenie serverovní a technických miestností (switchovní),
• implementácia nástroja na identifikáciu a evidenciu aktív (Asset Manager),
• bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7,
• implementácia nástroja pre manažovanie mobilných zariadení (MDM-Mobile Device Management),
• konfigurácia a plná implementácia ServisDesku,
• implementácia dvojfaktorovej autentizácie na príslušné prístupy do informačných technológií,
• implementácia elektronického vzdelávacieho procesu (e-Learning)
• testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov)

• URGENCIA: Navrhované technické riešenia a bezpečnostné opatrenia je potrebné riešiť urgentne a to najmä z dvoch dôvodov. Prvý je ten aby sa zvýšila odolnosť informačných systémov predstavujúcich poskytovanie základnej služby pred kybernetickým útokom a pred zneužiteľností informačných aktív a zabránilo sa prípadným škodám. Druhým dôvodom je zvýšenie úrovne súladu s požiadavkami vyplývajúcimi z platnej legislatívy pre oblasť kybernetickej bezpečnosti a pre oblasť informačných technológií verejnej správy.
• CIEĽOVÁ SKUPINA: primárne interní zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, sekundárne občania pristupujúci k webovému sídlu a elektronickým službám MPRV SR
• HRANICA: do 3 000 000 €

1. 
   

   1. Situácia po realizácii projektu

Stručne pár vetami popísať cieľový stav po realizácii projektu:

• TO BE stav: Po realizovaní projektu sa výrazne zlepší úroveň KB a zvýši sa percento zhody v rámci auditu KB minimálne na 60% až 70%. Výrazne sa posilní odolnosť informačných systémov a zvýši sa prevencia a ochrana úniku dát ako aj sieťová bezpečnosť a ochrana pred kybernetickými útokmi a kybernetickými incidentami.
• BIZNIS ALTERNATÍVY: Popis spôsobov, akým možno cieľový stav dosiahnuť (zmena procesov, nové nástroje,..).

1. 
   

   1. úprava procesov

Nový IS je nástrojom, nie riešením problémov. Často viac ako komplexný IS pomôže prioritne zmena procesov organizácie, po ktorej stačí obstarať už zjednodušené riešenie s menšou náročnosťou na funkcionality. Takýto systém je možné dodať skôr, a tiež môže byť lacnejší na prevádzku.

 Popísať:

• Implementované bezpečnostné nástroje a systémy prinesú zo sebou aj nevyhnutné zmeny v organizačných procesoch MPRV SR.
• MPRV SR očakáva aj zaškolením presne definovaných zamestnancov , aby zvládli použitie novo implementovaných bezpečnostných nástrojov a systémov.

1. Používatelia riešenia

Zahrnutie názoru používateľov už v skorých fázach prípravy projektu umožní získať spätnú väzbu aj k procesom organizácie, nielen k možnému technickému riešeniu. Nový systém alebo zmeny sa robia prioritne pre pomoc používateľov. Preto majú byť zapojení v čo najväčšej miere do celého procesu: od zisťovania problému, návrhu riešenia, testovania a úpravy riešenia na základe získanej spätnej väzby. Toto je potrebné zohľadniť už pri tvorbe harmonogramu.

Spolupráca s používateľmi je nielen odporúčaná, ale pre určité projekty aj povinná, viac napr. v § 8 vyhlášky (401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX). Povinnosti pri zbere a vyhodnocovaní spätnej väzby sú bližšie upravené vo vyhláške: 547/2021 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX

 Popísať aktuálny stav a potrebu projektu:

• primárne interní správcovia informačných systémov a zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR,
• sekundárne občania pristupujúci k webovému sídlu a elektronickým službám

1. Prínosy

V tejto fáze prípravy projektu odporúčame začať so zberom údajov, ktoré sú pre projekt relevantné a môžu byť použité v rámci kvantifikácie prínosov (meranie času procesov, počet podaní/incidentov a iné). Pokiaľ poznáte podobné už zrealizované riešenie, je vítané, ak využijete skúsenosti z predchádzajúceho/iného projektu a overíte tak svoje predpoklady.

Uveďte kvantitatívne aj kvalitatívne prínosy projektu (stačí popis, nemusia byť v tomto štádiu vyčíslené). Priraďte prínos k vyriešenému problému v TO BE stave, tzn. na akú fázu/časť projektu sa prínos vzťahuje.

Príklad: Ušetrenie času úradníkov (optimalizácia interných procesov znížením rozsahu dokumentácie pri výberovom procese; zavedenie automatického vypĺňania údajov z elektronických prihlášok namiesto manuálneho prepisovania údajov z listov do interného systému).

Hlavným prínosom projektu Zvýšenie úrovne kybernetickej a informačnej bezpečnosti a informačnej bezpečnosti informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR je naplnenie legislatívnych a strategických požiadaviek, kladených sa informačnú a kybernetickú bezpečnosť a vo svojom dôsledku zabezpečenie vysokej úrovne dôvernosti, dostupnosti a integrity aktív MPRV SR.

Hlavnými oblasťami v ktorých sa budú technické riešenia a bezpečnostné opatrenia, a ktoré budú predstavovať významný prínos pre oblasť kybernetickej a informačnej bezpečnosti:

• zvýšenie monitorovacích, detekčných a reakčných schopnosti,
• riadenie rizík KIB,
• personálna bezpečnosť najmä oblasť zvyšovanie bezpečnostného povedomia a školení vrátane meranie ich účinnosti,
• riadenie prístupov a zavedenie 2FA autentizácie,
• šifrová ochrana informácií
• bezpečnosť pri prevádzke informačných systémov a sietí vrátane mobilných zariadení,
• sieťová a komunikačná bezpečnosť,
• zaznamenávanie udalostí a monitorovanie,
• fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),
• riešenie kybernetických bezpečnostných incidentov,

ďalšie kroky nad rámec ideového zámeru

Nasledujúce kapitoly nie sú povinné pre zverejnenie Ideového zámeru. Pomôcť Vám môžu ako príprava na písanie projektovej dokumentácie, kým sa projekt dostane do príliš veľkého technického detailu. V prípade, že Váš projekt bude podliehať hodnoteniu MIRRI SR alebo ÚHP, s rovnakými otázkami sa stretnete aj v tomto procese.

Radi Vám poradíme aj s ďalšími témami nad rámec Ideového zámeru, preto sa na nás neváhajte obrátiť.

1. priorizácia

Komplexné informačné systémy sú ohrozené vyššou mierou zlyhania dodávky než menšie projekty. Je preto lepšie začať s realizáciou jednoduchšieho systému, ktorý zabezpečí nevyhnutné procesy. Po ich úspešnom otestovaní, nasadení a spätnej väzbe od používateľov, je menej rizikové projekt ďalej rozširovať ostatnými požiadavkami. Tiež je po nasadení prvej časti projektu priestor upraviť pôvodné požiadavky a spresniť odhady, ako projekt v praxi pomáha používateľom.

1. uvažované technologické alternatívy projektu

Prieskum dostupných technologických riešení na trhu je dôležitým nástrojom, ako Vaša organizácia zaistí, že skutočne dostane tú najlepšiu možnosť pre svoje potreby. Externí partneri, ktorí pristúpia v ďalšej fáze prípravy projektu, nemusia mať dostatočnú znalosť problematiky. Výsledkom môže byť návrh predimenzovaného alebo nevhodného riešenia pre Vašu organizáciu.

Ku každej alternatíve skúste priradiť, či je k dispozícii daná možnosť a či ju potenciálne môžete využiť. Pokiaľ je to možné, doplňte konkrétne príklady alebo riziká jednotlivých riešení, ak o nich už teraz viete.

1. ROZPOČET

Pokiaľ viete, zaraďte projekt do kategórie podľa odhadovaných investičných nákladov (CAPEX) s DPH. Nie je potrebné uviesť presné číslo výdavkov v danej hranici – postačí plánovaný odhad celkovej ceny projektu a plánovaný zdroj financovania (zdroj financovania rovnako môže byť predmetom následných konzultácii). Ďalej potrebné pre proces hodnotenia: detailný rozpočet pre zvolenú alternatívu, odhad nákladov pre ďalšie alternatívy (ak relevantné).

1. Pomoc a usmernenie

Ak by ste v ďalších fázach projektu potrebovali poradiť/pomôcť, v tabuľke nájdete zoznam kontaktov a užitočných zdrojov.