Wiki zdrojový kód pre Ideovy zamer TONZUKIB
Naposledy upravil Róbert Závacký 2024/11/28 16:00
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_53c75466a2b12a33.jpg||height="68" width="194"]] [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_d542740974d97d1a.jpg||height="52" width="265"]] | ||
| 2 | |||
| 3 | **IDEOVÝ ZÁMER** | ||
| 4 | |||
| 5 | **Manažérsky výstup I-01 ** | ||
| 6 | |||
| 7 | podľa vyhlášky MIRRI SR č. 401/2023 Z. z. | ||
| 8 | |||
| 9 | verzia 0.1 | ||
| 10 | |||
| 11 | |||
| 12 | |||
| 13 | Pre **rýchlejšiu prípravu** projektu a **vyššiu spokojnosť** používateľov. | ||
| 14 | |||
| 15 | |||
| 16 | //Ideový zámer má za cieľ prispieť k zrýchleniu prípravy a zníženiu potreby výrazných úprav projektovej dokumentácie v neskorších fázach projektu. Jeho cieľom je umožniť včasnú neformálnu komunikáciu medzi gestormi projektu a hodnotiteľmi. Projektový tím tak bude mať priestor konzultovať svoje plány ešte pred tým, ako investuje čas a financie do tvorby detailnej projektovej dokumentácie.// | ||
| 17 | |||
| 18 | //Táto šablóna je určená gestorom idey a pracovníkom, ktorých sa dotýka upravovaná agenda. Pri jej vypĺňaní **nie je potrebná** znalosť IT odborných pracovníkov. Vyplňte len časti, ktoré považujete za relevantné.// | ||
| 19 | |||
| 20 | //Pokiaľ potrebujete poradiť, neváhajte nás kontaktovať, e-mailové adresy sú uvedené na konci dokumentu. Na Vašu správu odpovieme do 5 pracovných dní.// | ||
| 21 | |||
| 22 | //Ideový zámer je potrebné nahrať do METAIS (podľa [[§5 odseku 1 v nadväznosti na § 4 ods. 9 vyhlášky (>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/#paragraf-5.odsek-1]]//__[[**401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX**>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__//)// | ||
| 23 | |||
| 24 | |||
| 25 | |||
| 26 | **Identifikácia projektu** | ||
| 27 | |||
| 28 | |**Názov:**|//Implementácia technických opatrení na zvýšenie úrovne kybernetickej a informačnej bezpečnosti// //informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR// | ||
| 29 | |**Realizátor:**|//Útvar rezortnej informatiky Ministerstva pôdohospodárstva a regionálneho rozvoja SR// | ||
| 30 | |**Kontaktná osoba:**|//Ing. Petra Hudáková, Ing. Jaroslav Rohaľ// | ||
| 31 | |**Dátum:**|//10.6.2024// | ||
| 32 | |**Predpokladaný začiatok:**|//QII. 2025// | ||
| 33 | |**Dátum schválenia projektovou komisiou:**|//N/A// | ||
| 34 | |||
| 35 | |||
| 36 | 1. ((( | ||
| 37 | = {{id name="_Toc153456676"/}}POPIS PROJEKTU = | ||
| 38 | )))Stručný popis východiskovej situácie | ||
| 39 | |||
| 40 | Popísať stručne, konkrétne pár vetami aktuálny stav a potrebu projektu: | ||
| 41 | |||
| 42 | * {{id name="_GoBack"/}}**AS IS stav:** Ministerstvo pôdohospodárstva a rozvoja vidieka SR je prevádzkovateľom základnej služby podľa zákona NR SR č. 69/2018 o kybernetickej bezpečnosti z tohto dôvodu je povinné realizovať bezpečnostné opatrenia vyplývajúce z požiadaviek platnej legislatívy. Jednou z povinností PZS je pravidelné vykonávanie auditu kybernetickej bezpečnosti. Pri opakovanom audite KB boli zistené nesúlady a čiastočné nesúlady v jednotlivých oblastiach kybernetickej bezpečnosti, ktoré je potrebné vyriešiť. | ||
| 43 | * **KOMPLEXNOSŤ**: Na základe identifikovaných nesúladov a čiastočných nesúladov zistených pri audite kybernetickej bezpečnosti bol vypracovaný návrh riešenia, v ktorom sú navrhnuté nasledovné technické opatrenia, ktoré vychádzajú zo súčasného stavu a záverečnej správy z auditu kybernetickej bezpečnosti: | ||
| 44 | |||
| 45 | * implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment), | ||
| 46 | * konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM) | ||
| 47 | * implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) | ||
| 48 | * implementácia bezpečnostných sieťových prvkov (sieťové firewaly ), | ||
| 49 | * implementácia kryptografických opatrení a PKI (Public Key Infrastructure), | ||
| 50 | * fyzická bezpečnosť miestností s technickými prostriedkami informačných technológií – zabezpečenie serverovní a technických miestností (switchovní), | ||
| 51 | * implementácia nástroja na identifikáciu a evidenciu aktív (Asset Manager), | ||
| 52 | * bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7, | ||
| 53 | * implementácia nástroja pre manažovanie mobilných zariadení (MDM-Mobile Device Management), | ||
| 54 | * konfigurácia a plná implementácia ServisDesku, | ||
| 55 | * implementácia dvojfaktorovej autentizácie na príslušné prístupy do informačných technológií, | ||
| 56 | * implementácia elektronického vzdelávacieho procesu (e-Learning) | ||
| 57 | * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov) | ||
| 58 | |||
| 59 | * **URGENCIA**: Navrhované technické riešenia a bezpečnostné opatrenia je potrebné riešiť urgentne a to najmä z dvoch dôvodov. Prvý je ten aby sa zvýšila odolnosť informačných systémov predstavujúcich poskytovanie základnej služby pred kybernetickým útokom a pred zneužiteľností informačných aktív a zabránilo sa prípadným škodám. Druhým dôvodom je zvýšenie úrovne súladu s požiadavkami vyplývajúcimi z platnej legislatívy pre oblasť kybernetickej bezpečnosti a pre oblasť informačných technológií verejnej správy. | ||
| 60 | * **CIEĽOVÁ SKUPINA**: primárne interní zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, sekundárne občania pristupujúci k webovému sídlu a elektronickým službám MPRV SR | ||
| 61 | * **HRANICA**: do 3 000 000 € | ||
| 62 | |||
| 63 | |||
| 64 | Stručne pár vetami popísať cieľový stav po realizácii projektu: | ||
| 65 | |||
| 66 | * **TO BE stav:** Po realizovaní projektu sa výrazne zlepší úroveň KB a zvýši sa percento zhody v rámci auditu KB minimálne na 60% až 70%. Výrazne sa posilní odolnosť informačných systémov a zvýši sa prevencia a ochrana úniku dát ako aj sieťová bezpečnosť a ochrana pred kybernetickými útokmi a kybernetickými incidentami. | ||
| 67 | * **BIZNIS ALTERNATÍVY**: Popis spôsobov, akým možno cieľový stav dosiahnuť (zmena procesov, nové nástroje,..). | ||
| 68 | *1. ((( | ||
| 69 | == {{id name="_Toc153456679"/}}úprava procesov == | ||
| 70 | ))) | ||
| 71 | |||
| 72 | //Nový IS je nástrojom, nie riešením problémov. Často viac ako komplexný IS pomôže prioritne zmena procesov organizácie, po ktorej stačí obstarať už zjednodušené riešenie s menšou náročnosťou na funkcionality. Takýto systém je možné dodať skôr, a tiež môže byť lacnejší na prevádzku.// | ||
| 73 | |||
| 74 | Popísať: | ||
| 75 | |||
| 76 | * Implementované bezpečnostné nástroje a systémy prinesú zo sebou aj nevyhnutné zmeny v organizačných procesoch MPRV SR. | ||
| 77 | * MPRV SR očakáva aj zaškolením presne definovaných zamestnancov , aby zvládli použitie novo implementovaných bezpečnostných nástrojov a systémov. | ||
| 78 | |||
| 79 | 1. ((( | ||
| 80 | = Používatelia riešenia = | ||
| 81 | ))) | ||
| 82 | |||
| 83 | //Zahrnutie názoru používateľov už v skorých fázach prípravy projektu umožní získať spätnú väzbu aj k procesom organizácie, nielen k možnému technickému riešeniu. Nový systém alebo zmeny sa robia prioritne pre pomoc používateľov. Preto majú byť zapojení v čo najväčšej miere do celého procesu: od zisťovania problému, návrhu riešenia, testovania a úpravy riešenia na základe získanej spätnej väzby. Toto je potrebné zohľadniť už pri tvorbe harmonogramu.// | ||
| 84 | |||
| 85 | Spolupráca s používateľmi je nielen odporúčaná, ale pre určité projekty aj povinná, viac napr. v § 8 vyhlášky (**__[[401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__**). Povinnosti pri zbere a vyhodnocovaní spätnej väzby sú bližšie upravené vo vyhláške: **__[[547/2021 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/]]__** | ||
| 86 | |||
| 87 | Popísať aktuálny stav a potrebu projektu: | ||
| 88 | |||
| 89 | * primárne interní správcovia informačných systémov a zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, | ||
| 90 | * sekundárne občania pristupujúci k webovému sídlu a elektronickým službám | ||
| 91 | |||
| 92 | |||
| 93 | ((( | ||
| 94 | = Prínosy = | ||
| 95 | ))) | ||
| 96 | |||
| 97 | Hlavným prínosom projektu Zvýšenie úrovne kybernetickej a informačnej bezpečnosti a informačnej bezpečnosti informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR je naplnenie legislatívnych a strategických požiadaviek, kladených sa informačnú a kybernetickú bezpečnosť a vo svojom dôsledku zabezpečenie vysokej úrovne dôvernosti, dostupnosti a integrity aktív MPRV SR. | ||
| 98 | |||
| 99 | Hlavnými oblasťami v ktorých sa budú technické riešenia a bezpečnostné opatrenia, a ktoré budú predstavovať významný prínos pre oblasť kybernetickej a informačnej bezpečnosti: | ||
| 100 | |||
| 101 | * zvýšenie monitorovacích, detekčných a reakčných schopnosti, | ||
| 102 | * riadenie rizík KIB, | ||
| 103 | * personálna bezpečnosť najmä oblasť zvyšovanie bezpečnostného povedomia a školení vrátane meranie ich účinnosti, | ||
| 104 | * riadenie prístupov a zavedenie 2FA autentizácie, | ||
| 105 | * šifrová ochrana informácií | ||
| 106 | * bezpečnosť pri prevádzke informačných systémov a sietí vrátane mobilných zariadení, | ||
| 107 | * sieťová a komunikačná bezpečnosť, | ||
| 108 | * zaznamenávanie udalostí a monitorovanie, | ||
| 109 | * fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre), | ||
| 110 | * riešenie kybernetických bezpečnostných incidentov, | ||
| 111 | |||
| 112 | |||
| 113 | |||
| 114 | ((( | ||
| 115 | = priorizácia = | ||
| 116 | ))) | ||
| 117 | |||
| 118 | |||
| 119 | |Nevyhnutné procesy|((( | ||
| 120 | * identifikácia a evidencia aktív, | ||
| 121 | * systém správy prevádzkových záznamov (Log manažment) | ||
| 122 | * analýzy a vyhodnocovanie prevádzkových záznamov - SIEM | ||
| 123 | * bezpečnostný monitoring SOC ako služba (SOCaaS) | ||
| 124 | * bezpečnostné sieťové prvky (sieťové firewally) | ||
| 125 | * kryptografickéh opatrenia a PKI (Public Key Infrastructure), | ||
| 126 | * zabezpečenie serverovní a technických miestností (switchovní), | ||
| 127 | * dvojfaktorvá autentizácia pre prístupy z interného aj externého prostredia | ||
| 128 | * manažovanie mobilných zariadení (MDM - Mobile Device Management) | ||
| 129 | * detegovanie existujúcich zraniteľností | ||
| 130 | * testovanie prijatých opatrení kybernetickej bezpečnosti (penetračné a phishingové testy) | ||
| 131 | * správa požiadaviek (ticketov) - ServisDesk" | ||
| 132 | * výukova platforma pre podporu školení a vyhodnocovanie ich účinnosti (e-Learning) | ||
| 133 | ))) | ||
| 134 | |Legislatíva|((( | ||
| 135 | * Zákonom NR SR č. 69/2018 Z. z. o kybernetickej bezpečnosti, | ||
| 136 | * Vyhláškou NBÚ SR č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení | ||
| 137 | * Zákon NR SR č. 95/2019 Z. z. o informačných technológiách verejnej správy | ||
| 138 | * Vyhláška UPVII č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy | ||
| 139 | |||
| 140 | Legislatívne požiadavky, ktoré sa musia projektom naplniť. | ||
| 141 | ))) | ||
| 142 | |Ostatné požiadavky|Prehľad požiadaviek, ktoré môžu byť dodané v rámci rozšírenia riešenia. Ich cieľom je rozšíriť okruh vyriešených problémov s nižšou prioritou. Aj bez ich realizácie má zmysel projekt realizovať. | ||
| 143 | |||
| 144 | ((( | ||
| 145 | |||
| 146 | ))) | ||
| 147 | |||
| 148 | ((( | ||
| 149 | = = | ||
| 150 | ))) | ||
| 151 | |||
| 152 |