1.História dokumentu
PRÍSTUP K PROJEKTU
Manažérsky výstup I-03
podľa vyhlášky MIRRI SR č. 401/2023 Z. z.
| Povinná osoba | Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky |
| Názov projektu | Technické opatrenia pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti |
| Zodpovedná osoba za projekt | Ing. Jaroslav Rohaľ |
| Realizátor projektu | Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky |
| Vlastník projektu | Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky |
Schvaľovanie dokumentu
| Položka | Meno a priezvisko | Organizácia | Pracovná pozícia | Dátum | Podpis (alebo elektronický súhlas) |
| Vypracoval | Ing. Jaroslav Rohaľ | MPRV SR | Manažér kybernetickej bezpečnosti (MKB) | 28.11.2024 |
1.História dokumentu
| Verzia | Dátum | Zmeny | Meno |
| 0.1 | 8.11.2024 | Pracovný návrh | Ing. Jaroslav Rohaľ |
2.Účel dokumentu
V súlade s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy (ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií k projektu „Technické opatrenia pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
Projekt bude implementovať Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky (ďalej ako „MPRV SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “, evidovanej pod kódom: PSK-MIRRI-616-2024-DV-EFRR, názov: „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“, priorita: 1P1 Veda, výskum a inovácie, špecifický cieľ: RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť B. Kybernetická a informačná bezpečnosť) v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný.
Tento dokument je vypracovaný v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a obsahuje komplexný opis navrhovaného riešenia. Tento dokument zahŕňa architektúru riešenia na úrovni biznis vrstvy, aplikačnej vrstvy a infraštruktúry. Celý dokument je vypracovaný tak, aby bol plne v súlade s požiadavkami všeobecne záväzných právnych predpisov, pričom zároveň obsahuje detailný popis implementácie projektu a procesy preberania jeho výstupov.
2.1Použité skratky a pojmy
| SKRATKA/POJEM | POPIS |
| 2FA | Dvojfaktorová autentizácia |
| Achilles | Systém na vyhľadávanie zraniteľností |
| AP NKIVS | Akčný plán Národnej koncepcie informatizácie verejnej správy 2021 |
| BCM | Riadenie kontinuity prevádzky |
| BCR | Pomer prínosov a nákladov z pohľadu návratnosti |
| CBA | Analýza nákladov a prínosov |
| FO | Fyzická osoba |
| FTE | Ekvivalent plného pracovného úväzku |
| IB | informačná bezpečnosť |
| IS | informačný systém |
| ISVS | Informačný systém verejnej správy |
| IT | Informačná technológia |
| ITVS | Informačné technológie verejnej správy |
| KB | Kybernetická bezpečnosť |
| KBI | Kybernetický bezpečnostný incident |
| MCA | Multikriteriálna analýza |
| MIRRI SR | Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky |
| MPRV SR | Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky |
| NASES | Národná agentúra pre sieťové a elektronické služby |
| NBÚ | Národný bezpečnostný úrad |
| NKIVS | Národná koncepcia informatizácie verejnej správy |
| NKKB | Národná koncepcia kybernetickej bezpečnosti |
| OVM | Orgán verejnej moci |
| OT | Operačné technológie (Operational technology) |
| PID | Projektový iniciálny dokument |
| PM | Projektový manažér |
| PO | Právnická osoba |
| PPO | Posilnenie preventívnych opatrení |
| PZS | Prevádzkovateľ základnej služby |
| RVP | Riadiaci výbor projektu |
| SIEM | Systém pre management bezpečnostních informací a událostí (Security Information and Event Management) |
| SOAR | Proces orchestrácie, automatizácie a odozvy zabezpečenia (Security orchestration, automation and response) |
| SOC | Bezpečnostné Dohľadové Centrum (Security Operations Center) |
| SR | Slovenská republika |
| SSD | Solid-State Drive |
| TP | Technické prostriedky |
| TTP | Techniky, taktiky a procedúry |
| VA | Voltampér |
| VISKB | Vládny informačný systém kybernetickej bezpečnosti |
| VJ CSIRT | Vládna jednotka CSIRT (Computer Security Incident Response Team Slovakia, niekedy označovaná aj skratkou CSIRT.SK) |
| VM | Manažment zraniteľností (Vulnerability management) |
| VO | Verejné obstarávanie |
Tabuľka 1 Zoznam použitý skratiek a pojmov
2.2Konvencie pre typy požiadaviek (príklady)
V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente M-05 – Analýza nákladov a prínosov a preto nie je súčasťou tejto kapitoly.
Samotné požiadavky sú rozdelené do troch kategórií:
- funkčné,
- nefunkčné,
- technické.
Rozsah požiadaviek uvedených v tomto dokumente nemusí byť konečný a v realizačnej fáze projektu môžu byť upravené alebo doplnené o ďalšie požiadavky, ak si to projekt bude vyžadovať.
Pri označovaní samotných katalógových požiadaviek, ktoré sú súčasťou prílohy tohto dokumentu bola použitá nasledovná konvencia:
- Funkčné požiadavky majú nasledovnú konvenciu: FP_XX
- FP – funkčná požiadavka
- XX – poradové číslo požiadavky
- Nefunkčné požiadavky majú nasledovnú konvenciu: NP_XX
- NP – nefukčná požiadavka
- XX – poradové číslo požiadavky
- Technické požiadavky majú nasledovnú konvenciu: TP_XX
- TP – technická požiadavka
- XX – poradové číslo požiadavky
3.Popis navrhovaného riešenia
Cieľom projektu je zabezpečiť obstaranie a implementáciu technických a programových prostriedkov, ako aj overiť účinnosť prijatých bezpečnostných opatrení, ktoré majú priamy vplyv na zvyšovanie úrovne kybernetickej a informačnej bezpečnosti na MPRV SR. Tieto opatrenia sa týkajú správy informačných technológií v oblastiach, kde bola identifikovaná najvyššia miera rizika a najväčší dopad, alebo kde je najväčší nesúlad s požiadavkami vyplývajúcimi zo všeobecne záväzných právnych predpisov, na základe výsledkov vykonaného auditu kybernetickej bezpečnosti.
Audit kybernetickej bezpečnosti bol zrealizovaný MPRV SR v období od 13.12.2023 do 14.03.2024, pričom bolo zistených celkovo 97 nesúladov a 37 čiastočných súladov (ďalej len „nesúlady“). Na nápravu zistených nesúladov je potrebné prijať adekvátne technické opatrenia, ktoré zahŕňajú predovšetkým implementáciu bezpečnostných technických a programových prostriedkov na podporu riadenia rizík a zraniteľností, riadenie incidentov a bezpečnostný monitoring.
Predmet projektu:
- implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov1 (Log manažment),
- konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM),
- implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner),
- implementácia bezpečnostných sieťových prvkov (napr. sieťový firewall),
- implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management),
- bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5,
- implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
- testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
Projekt „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej bezpečnosti informačných technológií v správe MPRV SR“ je zameraný na vybudovanie bezpečnostnej infraštruktúry vo forme technických (programových a technických prostriedkov) nástrojov, technológií a procesov pre posilnenie kybernetickej bezpečnosti MPRV SR.
Okrem odstránenia nesúladov zistených pri audite kybernetickej bezpečnosti bude nasadenie technických riešení znamenať aj dosiahnutie zlepšenia procesov, komunikácie, zberu dát, analýzy, predchádzanie kybernetickým bezpečnostným incidentom, zrýchlenie riešenia kybernetických bezpečnostných incidentov, zvýšenie personálnej a znalostnej spôsobilosti odborných zamestnancov MPRV SR.
Pri realizácií projektu nebudú realizované aktivity, ktoré súvisia s:
- vybudovaním jednotky na reakciu na kybernetické bezpečnostné incidenty (jednotka CSIRT),
- analytické nástroje na pokročilú malvérovú analýzu, forenznú analýzu a budovanie forenzných laboratórií,
- vypracovaním bezpečnostnej dokumentácie,
- školeniami pre zamestnancov za účelom zvýšenia ich povedomia v oblasti kybernetickej a informačnej bezpečnosti,
- realizáciou stavebných úprav a prác.
V obecnej rovine sú prínosy projektu zadefinované ako:
- Zlepšenie monitorovania a detekcie kybernetických hrozieb
Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment) umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických hrozieb na predchádzanie kybernetických bezpečnostných incidentov.
- Rýchla identifikácia zraniteľností
Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT budú včas identifikované a môžu byť rýchlo odstránené.
- Posilnenie bezpečnosti sietí
Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.
- Nepretržitý bezpečnostný dohľad
Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT a rýchlu reakciu v prípade kybernetických hrozieb.
- Zvýšenie bezpečnosti prístupov
Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.
- Testovanie účinnosti bezpečnostných opatrení
Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.
Z pohľadu samotnej implementácie predmetu projektu a jeho jednotlivých častí, medzi prínosy projektu patria:
- Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):
Zvýšená viditeľnosť a kontrola - centralizovaný log manažment umožňuje lepšie sledovanie a auditovanie činnosti používateľov a systémov, čo prispieva k rýchlej identifikácii bezpečnostných incidentov.
Zefektívnenie riešenia incidentov - zaznamenávanie prevádzkových záznamov umožní rýchlejšiu a presnejšiu analýzu incidentov, čím sa zníži reakčný čas na potenciálne hrozby.
- Konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM):
- Rýchla detekcia hrozieb - SIEM umožňuje okamžitú detekciu kybernetických útokov a podozrivých aktivít v reálnom čase, čo výrazne zlepšuje schopnosť reakcie na kybernetické bezpečnostné incidenty.
- Zníženie rizika narušenia bezpečnosti - automatizované analýzy logov a udalostí znižujú pravdepodobnosť narušenia bezpečnosti prostredníctvom identifikácie anomálií a slabých miest.
- Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner):
- Proaktívna ochrana - skenovanie zraniteľností umožní pravidelné preverovanie systémov a identifikáciu bezpečnostných nedostatkov ešte predtým, než sa stanú terčom útokov.
- Zvýšenie odolnosti infraštruktúry - včasné odhalenie a oprava zraniteľností minimalizuje riziko využitia známych slabín, čím sa posilní celková bezpečnosť informačných systémov.
- Implementácia bezpečnostných sieťových prvkov (sieťové Firewall-y):
- Posilnenie ochrany perimetra - nasadenie firewallov zabezpečí ochranu proti neautorizovanému prístupu do siete a zníži riziko narušenia sieťovej infraštruktúry.
- Lepšia kontrola prístupu a segmentácia sietí - Firewally umožnia detailnú kontrolu a riadenie sieťového prenosu, čo zlepší schopnosť izolovať a obmedziť bezpečnostné hrozby.
- Implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management):
- Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí – nástroj umožní automatizovať, ovládať a zabezpečovať administráciu mobilných zariadení pripojených k sieti MPRV SR.
- Zníženie rizika kompromitácie IT prostredia - správa mobilných zariadení zavedie súhrn opatrení akými sú ochrana firemných údajov šifrovaním, nastavenie vynucovania silných hesiel na mobilných zariadeniach, možnosť vzdialeného vymazania stratených alebo odcudzených zariadení, automatická inštalácia, aktualizácia alebo odstraňovanie aplikácií podľa potrieb MPRV SR a oddelenie pracovných a osobných údajov.
- Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5:
- Nepretržitý bezpečnostný dohľad - Zabezpečí nepretržité monitorovanie a vyhodnocovanie bezpečnostných udalostí, čo umožní rýchlu reakciu na akékoľvek bezpečnostné incidenty.
- Odborná podpora - Zlepšenie kvality bezpečnostného dohľadu prostredníctvom profesionálnych služieb SOCaaS, vrátane expertných analýz a reportov.
- Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií:
- Zvýšená ochrana prístupu - dvojfaktorová autentizácia výrazne zvyšuje bezpečnosť prihlasovania a ochranu citlivých údajov pred neautorizovaným prístupom.
- Zníženie rizika kompromitácie účtov - ochrana pred phishingom, krádežou hesiel alebo neoprávneným prístupom vďaka pridaniu ďalšej vrstvy autentizácie.
- Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov):
- Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.
- Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.
V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich riešenia:
| ID | Názov cieľa | Názov strategického cieľa | Spôsob realizácie strategického cieľa |
| 1. | Centralizované ukladanie a správa prevádzkových záznamov | Centralizované ukladanie a správa prevádzkových záznamov/logov, chránených proti modifikácii pre analýzu správania s v sieti a informačnom systéme pri kybernetických bezpečnostných incidentoch | Pre dosiahnutie cieľa bude implementovaný nástroj pre zber a ukladanie prevádzkových záznamov tzv. log manažment. |
| 2. | Identifikovanie a riadenie bezpečnostných incidentov | Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM) | Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM. |
| 3. | Bezpečnostné hrozby/udalosti | Implementácia automatizovaného nástroja na skenovanie zraniteľností (vulnerability scaner) informačných systémov podľa ich kategorizácie a prvkov sieťovej infraštruktúry. | Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner). |
| 4. | Bezpečné sieťové pripojenie do externých sietí | Zabezpečenie zvýšenia bezpečného sieťového pripojenia do externých sietí (Internet, GovNet, MPLS a pod.) | Cieľ bude dosiahnutý nasadením nových sieťových prvkov/sieťových firewallov (NGFW) s funkciami jednotnej ochrany pred hrozbami. |
| 5. | Bezpečnosť pri prevádzke informačných systémov a sietí | Zníženie rizika kompromitácie IT prostredia prostredníctvom mobilného zariadenia | Cieľ bude realizovaný nasadením nástroja pre správu mobilných zariadení a to najmä služobných mobilných telefónov príp. tabletov. |
| 6. | Nepretržitý bezpečnostný monitoring informačných technológií | Nepretržitý bezpečnostný monitoring IT vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu | Implementáciou služby SOC (SOCaaS) sa zabezpečí nepretržitý bezpečnostný monitoring a vykonávanie bezpečnostného dohľadu v režime 8/5. |
| 7. | Riadenie prístupov | Zvýšenie ochrany prístupu k príslušným informačným technológiám zavedením dvojfaktorovej autentizácie | Konfiguráciou dvojfaktorovej autentizácie vo vnútornom IT prostredí ale aj pri vzdialenom prihlásení z externého prostredia. |
| 8. | Overovanie prijatých opatrení kybernetickej bezpečnosti | Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností | Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a pishingových testov. |
Tabuľka 2 Ciele projektu
4.Architektúra riešenia projektu
Tento projekt predstavuje riešenie vybraných základných prvkov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v rámci MPRV SR.
Za účelom zvýšenia úrovne kybernetickej bezpečnosti a informačnej bezpečnosti v rámci MPRV SR so sekundárnou perspektívou aj na právnické osoby v pôsobnosti MPRV SR, je potrebné doplniť existujúcu bezpečnostnú infraštruktúru o ďalšie prvky a technické opatrenia najmä v nasledovných oblastiach:
- riadenie prístupov,
- bezpečnosť pri prevádzke informačných systémov a sietí,
- hodnotenie zraniteľností a bezpečnostné aktualizácie,
- sieťová a komunikačná bezpečnosť,
- zaznamenávanie udalostí a monitorovanie,
- riešenie kybernetických bezpečnostných incidentov.
MPRV SR na základe auditu kybernetickej bezpečnosti identifikovalo najhlavnejšie nedostatočne bezpečnostné opatrenia v oblasti KB. Z týchto dôvodu bude projekt primárne zameraný na implementáciu absentujúcich opatrení zameraných na oblasť kybernetickej bezpečnosti vyplývajúcej zákona č. 69/2018 Z. z. a súčasnej na implementáciu opatrení informačnej bezpečnosti podľa zákona č. 95/2019 Z. z.
Vzhľadom na fakt, že nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto kontexte je upravený aj popis jednotlivých úrovni architektúry. Keďže MPRV SR požaduje podporu v aktivitách ako sú implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.
V prípade biznis architektúry je dôležité mať na zreteli, že projekt, resp. jeho aktivity, nerealizujú typické služby eGovernment-u a VS. V tomto prípade ide o služby na úrovni bezpečnostnej architektúry VS a preto ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.
Ďalej je potrebné poznamenať, že architektúra pre AS-IS stav nie je uvedená. Dôvodom je fakt, že aktuálne projektom riešené služby bezpečnostnej architektúry nie sú vôbec implementované, alebo sú implementované len čiastočne a s nedostatočnou úrovňou.
Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.
Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu).
4.1Biznis vrstva
Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy.
- Bezpečnostný monitoring - zaznamenávanie udalostí a monitorovanie:
- Proces bezpečného ukladania a centrálneho zberu logov.
- Proces bezpečnostného monitoringu koncových staníc.
- Proces bezpečnostného monitoringu informačných systémov a dátových úložísk.
- Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.
- Proces bezpečnostného monitoringu aktivít používateľov.
- Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.
- Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov.
- Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response).
- Identifikácia zraniteľností a bezpečnostné testovanie:
- Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.
- Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií).
- Sieťová a komunikačná bezpečnosť:
- Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
- Bezpečnosť pri prevádzke informačných systémov a sietí:
- Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete.
- Riešenie bezpečnostných incidentov:
- Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC.
- Riadenie prístupov:
- Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
Uvedené biznis funkcie bezpečnostnej architektúry sú na obrázku.
Obrázok 1 Biznis funkcie bezpečnostnej architektúry
4.1.1Prehľad koncových služieb – budúci stav:
Výstupom projektu nie sú žiadne koncové služby.
4.1.2Jazyková podpora a lokalizácia
Tie časti výstupov projektu, ktoré budú mať formu dokumentu, budú vyhotovené a akceptované výhradne v slovenskom jazyku. Rozhrania implementovaných informačných systémov/počítačových programov budú akceptované v slovenskom jazyku, českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku. Všetky dodané informačné systémy/počítačové programy alebo technické prostriedky IT budú sprevádzané návodom na použitie v slovenskom jazyku a českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku ak sa jedná o s informačné systémy/počítačové programy alebo technické prostriedky IT, pri ktorých výrobca nezabezpečil príslušnú lokalizáciu. Projektová dokumentácia bude spracovaná v slovenskom alebo českom jazyku.
Výstupy z prevádzky systémov budú akceptované primárne v slovenskom jazyku, pričom vo výnimočných prípadoch môže byť akceptovaný aj anglický jazyk. Niektoré špecifické výstupy, ako napríklad záznamy incidentov (logy), môžu byť poskytnuté v podobe skriptov, avšak musí byť zabezpečená ich možnosť transformácie do používateľsky zrozumiteľného jazyka alebo ich interpretácia v zrozumiteľnej podobe.
4.2Aplikačná vrstva
Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená ďalej popísanými aplikačnými modulmi.
Riadenie prístupov:
- Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
Sieťová a komunikačná bezpečnosť:
- Nasadenie ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring:
- Implementácia log manažmentu.
- Implementácia SIEM.
Bezpečnosť pri prevádzke informačných systémov a sietí:
- Implementácia správy mobilných zariadení (MDM).
Riešenie kybernetických bezpečnostných incidentov:
- Využitie SOC ako služby od externého subjektu.
Identifikácia zraniteľností a bezpečnostné testovanie.
- Implementácia vulnerability skenera.
- Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
Obrázok 2 Aplikačná architektúra
4.2.1Rozsah informačných systémov – AS IS
| Kód ISVS (z MetaIS) | Názov ISVS | Modul ISVS (zaškrtnite ak ISVS je modulom) | Stav IS VS (AS IS) | Typ IS VS | Kód nadradeného ISVS (v prípade zaškrtnutého checkboxu pre modul ISVS) |
| Isvs_9108 | Dokumentačný informačný systém zabezpečujúci elektronické spracovanie spisov a administratívnych procesov | ☐ | Prevádzkovaný a plánujem rozvíjať | Agendový | |
| isvs_8183 | Evidencia podnájomných vzťahov k poľnohospodárskym pozemkom | ☐ | Prevádzkovaný a plánujem rozvíjať | Agendový | |
| isvs_5896 | Register zverejňovania ponúk prevodu vlastníctva poľnohospodárskeho pozemku | ☐ | Prevádzkovaný a plánujem rozvíjať | Agendový | |
| isvs_5893 | Webový portál Programu ovocie a zelenina do škôl | ☐ | Prevádzkovaný a plánujem rozvíjať | Prezentačný | |
| isvs_5892 | Značka kvality SK | ☐ | Prevádzkovaný a plánujem rozvíjať | Prezentačný |
Tabuľka 3 Dotknuté ISVS
4.2.2Rozsah informačných systémov – TO BE
V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.
4.2.3Využívanie nadrezortných a spoločných ISVS – AS IS
Projekt nebude využívať nadrezortné a spoločne ISVS.
4.2.4Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE
V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS a nedôjde k vytvoreniu novej integrácie na ISVS na nadrezortné ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.
4.2.5Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.
4.2.6Aplikačné služby pre realizáciu koncových služieb – TO BE
Súčasťou projektu nie je plánovaná žiadna aplikačná služba.Aplikačné služby na integráciu – TO BE
Výstupom projektu nie sú žiadne aplikačné služby a zároveň výstup projektu nebude mať dopad na aktuálnu, už využívanú a fungujúcu integráciu.
4.2.7Poskytovanie údajov z ISVS do IS CPDI – TO BE
Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu poskytovania údajov v porovnaní s aktuálnym stavom.
4.2.8Konzumovanie údajov z IS CPDI – TO BE
Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu konzumovania údajov z IS CPDI v porovnaní s aktuálnym stavom.
4.3Dátová vrstva
Medzi výstupy realizované projektu nepatrí žiaden agendový systém, ktorý by nejakým spôsobom zabezpečoval spravovanie údajov ako takých patriacich pod správu MPRV SR. Plánované využitie krabicových počítačových programov zabezpečia výhradne zber a spracovanie údajov potrebných na podporu a udržiavanie kybernetickej a informačnej bezpečnosti. Medzi tieto údaje patria napríklad záznamy zo systému SIEM, informácie o monitorovaní a riešení kybernetických incidentov, zoznamy oprávnení na prístup do systémov, či iné špecifické dáta súvisiace s implementáciou bezpečnostných opatrení.
Pre ucelenosť informácií je potrebné zdôrazniť, že akýkoľvek nasadený krabicový systém nie je určený na priamu manipuláciu alebo integráciu s údajmi spravovanými MPRV SR v rámci jeho administratívnych či odborných agend. Jeho funkčnosť sa zameriava výhradne na oblasť bezpečnosti a ochrany infraštruktúry, pričom spravované údaje sú obmedzené na tie, ktoré podporujú efektívne riešenie bezpečnostných výziev. Vzhľadom na tento účel a obmedzený rozsah spravovaných údajov nie je potrebné uvádzať mapovanie štruktúry dát, ktoré patria do primárnej správy MPRV SR, keďže tieto údaje nie sú predmetom správy v rámci projektu.
4.3.1Údaje v správe MPRV SR
Vzhľadom na charakter projektu nie v pláne akákoľvek zmena existujúceho stavu z pohľadu dátovej architektúry na úrovni objektovej evidencie a vzťahov medzi nimi.
4.3.2Dátový rozsah projektu - Prehľad objektov evidencie - TO BE
Súčasťou predmetu realizácie projektu nie je realizácia ISVS, resp. agendového systému, preto sa nepočíta s vytváraním nových objektov evidencie ani akoukoľvek úpravou existujúcich procesov a doménového modelu
4.3.3Referenčné údaje
V rámci predmetu realizácie projektu nebudú využívané referenčné údaje ani projekt nebude poskytovať referenčné údaje.
4.3.3.1Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné
V rámci predmetu realizácie projektu nebudú evidované objekty evidencie, nedôjde k vyhláseniu referenčných údajov.
4.3.3.2Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CPDI
V rámci projektu nebudú spravované údaje určené na konzumovanie alebo poskytovanie do/z CPDI.
4.3.4Kvalita a čistenie údajov
4.3.4.1Zhodnotenie objektov evidencie z pohľadu dátovej kvality
Výstupu predmetu realizácie projektu nesúvisí s hodnotím kvality ani čistou údajov týkajúcich sa objektov evidencie.
4.3.4.2Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality
Vzhľadom na charakter realizovaného projektu nie je v pláne realizácia procesov riadenia dátovej kvality.
4.3.5Otvorené údaje
Vzhľadom na charakter realizovaného projektu nie je v pláne vytvárať alebo modifikovať otvorené údaje MPRV SR.
4.3.6Analytické údaje
V rámci projektu nebudú vytvárané žiadne analytické údaje z agendových ISVS. Pôjde o analytické údaje súvisiace s kybernetickou a informačnej bezpečnosti s ktorými bude pracovať úzka, vybraná a schválená skupina oprávnených používateľov za účelom identifikácie potenciálnych neoprávnených aktivít.
4.3.7Moje údaje
Projekt je zameraný na kybernetickú a informačnú bezpečnosť. Z pohľadu „Mojich údajov“ pre IS MOU nebudú vytvárané a ani poskytované žiadne údaje.
4.3.8Prehľad jednotlivých kategórií údajov
Predmet realizácie projektu sa nezaoberá údajmi, ktoré by boli klasifikované ako referenčné alebo zahrnuté v kategóriách „Moje údaje“ alebo „Otvorené údaje“. Rovnako sa v rámci projektu nebudú poskytovať údaje určené na analytické účely.
4.4Technologická vrstva
4.4.1Prehľad technologického stavu - AS IS
Vzhľadom na charakter projektu zameraného na kybernetickú a informačnú bezpečnosť MPRV SR neuvádzame podrobný existujúci prehľad technologického stavu. Technické riešenia v projekte budú integrované v plnom rozsahu do súčasných IT, ktorej stav je detailne zdokumentovaný. Informácie o IT nebudú v tomto dokumente uvádzané, nakoľko ide podľa klasifikačnej schémy o chránené aktíva. Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v MPRV SR tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z..
4.4.2Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
| Parameter | Jednotky | Predpokladaná hodnota | Poznámka |
| Počet EPS (Event per Second) | Počet | minimálne 50 000 EPS | |
| Počet monitorovaných systémov | Počet kusov | minimálne 100 virtuálnych serverov | |
| Počet sieťových zariadení | Počet kusov | minimálne 60 | |
| Zber dát a udalostí | Log záznamy z rôznych zariadení v sieti. | ||
| Počet koncových zariadené (PC a NB) | Počet kusov | minimálne 450 | |
| Normalizácia dát | Zjednotenie rôznych formátov z heterogénnych zdrojov. | ||
| Korelácia | Definovanie vzťahu medzi generovanými udalosťami. | ||
| Log management | Uloženie log záznamov, ich komprimácia a indexácia. | ||
| Monitoring používateľov a aplikácií | Detekcia neobvyklých aktivít voči politike. | ||
| Počet používateľov | Počet | minimálne 453 | Počet systemizovaných miest ku dňu prípravy dokumentácie. |
| Počet manažovaných mobilných zariadení | Počet kusov | 0 (MPRV SR je v súčasnej dobe vlastníkom 170 ks mobilných zariadení) |
Tabuľka 4 Výkonnostné parametre
4.4.3Návrh riešenia technologickej architektúry
IT prostredie MPRV SR je heterogénna infraštruktúra pozostávajúcej ako z hardvérovej tak aj virtualizovanej infraštruktúry. S ohľadom na charakter projektu zameraného na implementáciu technických opatrení pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti MPRV SR nebude súčasťou projektu vývoj nových ITVS a rovnako nedôjde k preprogramovaniu starých ITVS do nového štandardu. Projekt je zameraný na implementáciu niekoľkých ucelených logických celkov:
- Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):
- Zvýšená viditeľnosť a kontrola - centralizovaný log manažment umožňuje lepšie sledovanie a auditovanie činnosti používateľov a systémov, čo prispieva k rýchlej identifikácii bezpečnostných incidentov.
- Zefektívnenie riešenia incidentov - zaznamenávanie prevádzkových záznamov umožní rýchlejšiu a presnejšiu analýzu incidentov, čím sa zníži reakčný čas na potenciálne hrozby.
- Konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM):
- Rýchla detekcia hrozieb - SIEM umožňuje okamžitú detekciu kybernetických útokov a podozrivých aktivít v reálnom čase, čo výrazne zlepšuje schopnosť reakcie na bezpečnostné incidenty.
- Zníženie rizika narušenia bezpečnosti - automatizované analýzy logov a udalostí znižujú pravdepodobnosť narušenia bezpečnosti prostredníctvom identifikácie anomálií a slabých miest.
- Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner):
- Proaktívna ochrana - skenovanie zraniteľností umožní pravidelné preverovanie systémov a identifikáciu bezpečnostných nedostatkov ešte predtým, než sa stanú terčom útokov.
- Zvýšenie odolnosti infraštruktúry - včasné odhalenie a oprava zraniteľností minimalizuje riziko využitia známych slabín, čím sa posilní celková bezpečnosť informačných systémov.
- Implementácia bezpečnostných sieťových prvkov (sieťové Firewall-y):
- Posilnenie ochrany perimetra - nasadenie firewallov zabezpečí ochranu proti neautorizovanému prístupu do siete a zníži riziko narušenia sieťovej infraštruktúry.
- Lepšia kontrola prístupu a segmentácia sietí - Firewally umožnia detailnú kontrolu a riadenie sieťového prenosu, čo zlepší schopnosť izolovať a obmedziť bezpečnostné hrozby.
- Implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management):
- Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí – nástroj umožní automatizovať, ovládať a zabezpečovať administráciu mobilných zariadení pripojených k sieti MPRV SR.
- Zníženie rizika kompromitácie IT prostredia - správa mobilných zariadení zavedie súhrn opatrení akými sú ochrana rezortných údajov šifrovaním, nastavenie vynucovania silných hesiel na mobilných zariadeniach, možnosť vzdialeného vymazania stratených alebo odcudzených zariadení, automatická inštalácia, aktualizácia alebo odstraňovanie aplikácií podľa potrieb MPRV SR a oddelenie pracovných a osobných údajov.
- Riešenie kybernetických bezpečnostných incidentov a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5:
- Nepretržitý bezpečnostný dohľad - Zabezpečí nepretržité monitorovanie a vyhodnocovanie bezpečnostných udalostí, čo umožní rýchlu reakciu na akékoľvek bezpečnostné incidenty.
- Odborná podpora - Zlepšenie kvality bezpečnostného dohľadu prostredníctvom profesionálnych služieb SOCaaS, vrátane expertných analýz a reportov.
- Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií:
- Zvýšená ochrana prístupu - dvojfaktorová autentizácia výrazne zvyšuje bezpečnosť prihlasovania a ochranu citlivých údajov pred neautorizovaným prístupom.
- Zníženie rizika kompromitácie účtov - ochrana pred phishingom, krádežou hesiel alebo neoprávneným prístupom vďaka pridaniu ďalšej vrstvy autentizácie.
- Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov):
- Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.
- Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.
Implementáciou vyššie uvedených opatrení budú zároveň zrealizované nasledovné oprávnené oblasti z vyhlásenej výzvy zo dňa 24.05.2024 kód: PSK-MIRRI-616-2024-DV-EFRR, názov: „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“, priorita: 1P1 Veda, výskum a inovácie, špecifický cieľ: RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť B. Kybernetická a informačná bezpečnosť) ktorá je financovaná z prostriedkov mechanizmu Program Slovensko 2021 - 2027, ktorej vyhlasovateľ je Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky:
- Riadenie prístupov (súvisiaca oblasť výzvy písmeno a))
- Bezpečnosť pri prevádzke informačných systémov a sietí (súvisiaca oblasť výzvy písmeno d))
- Hodnotenie zraniteľností a bezpečnostné aktualizácie (súvisiaca oblasť výzvy písmeno e))
- Sieťová a komunikačná bezpečnosť (súvisiaca oblasť výzvy písmeno g))
- Zaznamenávanie udalostí a monitorovanie (súvisiaca oblasť výzvy písmeno i))
- Riešenie kybernetických bezpečnostných incidentov (súvisiaca oblasť výzvy písmeno k))
4.4.4Využívanie služieb z katalógu služieb vládneho cloudu
Projekt nebude využívať služby vládneho cloudu.
4.5Bezpečnostná architektúra
Audit kybernetickej bezpečnosti bol zrealizovaný MPRV SR v období od 13.12.2023 do 14.03.2024, pričom bolo zistených celkovo 97 nesúladov a 37 čiastočných súladov. Na nápravu zistených nesúladov je potrebné prijať adekvátne technické opatrenia, ktoré zahŕňajú predovšetkým implementáciu bezpečnostných technických a programových prostriedkov na podporu riadenia rizík a zraniteľností, riadenie incidentov a bezpečnostný monitoring. Odstránenie čo najväčšieho počtu nesúladov, ktoré vyplynuli z auditu kybernetickej bezpečnosti de facto znamená dosiahnutie súladu s nasledovnými všeobecne záväznými právnymi predpismi SR alebo právnymi aktami EÚ:
- Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe,
- Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti,
- Zákon č. 45/2011 Z. z. o kritickej infraštruktúre,
- vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre
- informačné technológie verejnej správy,
- vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa
- ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,
- vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na
- ochranu osobných údajov,
- Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní
- osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o
- ochrane údajov),
- Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
5.Závislosti na ostatné ISVS / projekty
Projekt nie je závislý od iných ISVS alebo projektov.
6.Zdrojové kódy
Elementárne stavebné prvky realizácie projektu v zmysle projektového zámeru sú technické prostriedky IT „bežne“ dostupné (nie sú vyvíjané a vyrábané na mieru) a programové prostriedky, ktoré je zaužívané označovať ako „krabicový softvér“. Súčasťou projektu nie je vývoj informačného systému ako diela pre potreby MPRV SR a preto súčasťou realizácie projektu nie je plánované odovzdávanie zdrojových kódov.
7.Prevádzka a údržba
7.1Prevádzkové požiadavky
Úroveň podpory používateľov: Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením:
- L1 podpora (Level 1, priamy kontakt zákazníka) – zabezpečuje MPRV SR,
- L2 podpora (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje prevádzkovateľ IS – verejný obstarávateľ),
- L3 podpora (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný uchádzač).
Pre služby sú definované takéto SLA: Služby pre zamestnancov úradu Po – Pia, 8:00 - 16:00 (8x5)
7.1.1Úrovne podpory používateľov
Definícia jednotlivých úrovní podpory:
- Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov (prevádzkových incidentov) a požiadaviek koncových používateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení a podobne.
- Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
- Podpora L3 (podpora 3. stupňa) - podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobtiažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.
Incidentom sa rozumie porucha alebo chyba informačného systému (IS), ktorá spôsobuje jeho správanie v rozpore s prevádzkovou alebo používateľskou dokumentáciou. Za incident sa nepovažuje chyba vzniknutá mimo prostredia IS, napríklad výpadok externej služby, ktorá nie je súčasťou IS.
7.1.2Riešenie prevádzkových incidentov – SLA parametre
Závažnosť prevádzkového incidentu bude stanovená na základe jeho dopadu na prevádzku IS a úroveň poskytovaných služieb. Každý prevádzkový incident bude klasifikovaný podľa definovaných kritérií, čo umožní efektívne plánovanie a riešenie problému v súlade s parametrami SLA.
Označenie naliehavosti prevádzkového incidentu:
| Označenie naliehavosti prevádzkového incidentu | Závažnosť prevádzkového incidentu | Popis naliehavosti prevádzkového incidentu |
| A | Kritická | Kritické chyby, ktoré spôsobia úplné zlyhanie informačného systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS a nie je možné použiť IS ani náhradným riešením. |
| B | Vysoká | Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie informačného systému ale umožňuje používať časť informačného systému alebo je možné použiť IS náhradným riešením. |
| C | Stredná | Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania informačného systému. |
| D | Nízka | Nezávažné drobné chyby, ktoré nespôsobia funkčnosť informačného systému ako celku alebo jeho väčšej alebo podstatnej časti. |
Tabuľka 5 Riešenie incidentov
možný dopad:
| Označenie závažnosti prevádzkového incidentu | Dopad | Popis dopadu |
| 1 | katastrofický | katastrofický dopad, priamy finančný dopad alebo strata dát, |
| 2 | značný | značný dopad alebo strata dát |
| 3 | malý | malý dopad alebo strata dát |
Tabuľka 6 Označenie závažnosti prevádzkového incidentu
Výpočet priority prevádzkového incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:
| Matica priority prevádzkových incidentov | Dopad | |||
| Katastrofický - 1 | Značný - 2 | Malý - 3 | ||
| Naliehavosť | Kritická - A | 1 | 2 | 3 |
| Vysoká - B | 2 | 3 | 3 | |
| Stredná - C | 2 | 3 | 4 | |
| Nízka - D | 3 | 4 | 4 | |
Tabuľka 7 Matica priority prevádzkových incidentov
Vyžadované reakčné doby:
| Označenie priority prevádzkového incidentu | Reakčná doba(1) od nahlásenia prevádzkového incidentu po začiatok jeho riešenia incidentu | Doba konečného vyriešenia prevádzkového incidentu od jeho nahlásenia incidentu (DKVI) (2) | Spoľahlivosť (3) (počet prevádzkovaných incidentov za mesiac) |
| 1 | 0,5 hod. | 4 hodín | 1 |
| 2 | 1 hod. | 12 hodín | 2 |
| 3 | 1 hod. | 24 hodín | 10 |
| 4 | 1 hod. | Vyriešené a nasadené v rámci plánovaných nových vydaní/aktualizácií | |
Tabuľka 8 Požadovaná dostupnosť IS
7.2Požadovaná dostupnosť IS:
| Popis | Parameter | Poznámka |
| Prevádzkové hodiny | 8 hodín | Po – Pia, 8:00 - 16:00 |
| Servisné okno | 14 hodín | od 17:00 hod. - do 7:00 hod. počas pracovných dní |
| 24 hodín | od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov Servis a údržba sa bude realizovať mimo pracovného času. | |
| Dostupnosť produkčného prostredia IS | 97% |
V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia prevádzkového incidentu. |
Tabuľka 9 Požadovaná dostupnosť IS
7.2.1Dostupnosť (Availability)
Dostupnosť predstavuje jeden zo základných pilierov kybernetickej a informačnej bezpečnosti, ktorý zabezpečuje, že údaje a služby informačných systémov sú prístupné v čase, keď sú potrebné na zabezpečenie prevádzky MPRV SR. Tento aspekt je obzvlášť dôležitý pre ochranu kritických procesov a reakciu na kybernetické hrozby, pričom narušenie dostupnosti môže mať zásadný vplyv na chod MPRV SR a splnenie jej zákonných povinností.
Dostupnosť sa meria ako percento času, počas ktorého sú systémy plne funkčné, pričom sa využíva štandardizovaná metrika na hodnotenie dopadu výpadkov. Napríklad:
- 99% dostupnosť predstavuje maximálne 3,65 dňa výpadku za rok,
- 99,9% dostupnosť („tri deviatky“) znamená výpadok do 8,76 hodiny za rok,
- 99,999% dostupnosť („päť deviatok“) umožňuje len 5,26 minút nedostupnosti ročne.
Projekt pre kybernetickú a informačnú bezpečnosť (KIB) sa zameria na splnenie vysokých štandardov dostupnosti, pričom cieľom je minimalizovať riziko nedostupnosti kritických informačných systémov a údajov.
Kľúčové parametre dostupnosti
Pre meranie a riadenie dostupnosti budú v rámci projektu využité nasledovné ukazovatele:
- RTO (Recovery Time Objective) - doba potrebná na obnovu systému po výpadku, ktorá bude určená v súlade s potrebami jednotlivých komponentov informačného systému.
- RPO (Recovery Point Objective) - maximálne množstvo dát, ktoré môže byť stratené v dôsledku incidentu, pričom táto hodnota sa nastaví na základe analýzy kritických procesov.
- Recovery Time - čas potrebný na úplnú obnovu systému vrátane technologických a organizačných opatrení.
Rizikové faktory ovplyvňujúce dostupnosť
Na dostupnosť informačných systémov má vplyv viacero faktorov, ktoré budú v projekte aktívne riešené:
- Dostupnosť serverových infraštruktúr a sieťových prvkov,
- Stabilita pripojenia na internet a jeho redundancia,
- Spoľahlivosť databázových informačných systémov,
- Prevádzka webových aplikácií a ich dostupnosť pre používateľov.
V prípade, že sú niektoré časti infraštruktúry zabezpečované existujúcimi externými dodávateľmi, dostupnosť týchto služieb je pokrytá zmluvou SLA (Service Level Agreement), ktorá presne určuje minimálne požadované parametre dostupnosti. V prípadoch, pri ktorých dôjde k dodaniu nových častí infraštruktúry bude, obdobne ako pri existujúcej infraštruktúre, vypracovaná nová zmluva o SLA.
Návrh opatrení na zaistenie dostupnosti
V rámci projektu budú implementované nasledovné opatrenia:
- implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov2 (Log manažment),
- konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM),
- implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner),
- implementácia bezpečnostných sieťových prvkov (napr. sieťový firewall),
- implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management),
- riešenie bezpečnostných incidentov a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5,
- implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
- testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
Spolupráca so SOC: Rýchla reakcia na incidenty v súčinnosti so službami bezpečnostného operačného centra (SOC).
Projekt tak zabezpečí, že dostupnosť informačných systémov a služieb bude v súlade s požiadavkami kybernetickej a informačnej bezpečnosti a ustanoveniami všeobecne záväzných právnych predpisov, čím prispeje k ochrane kľúčových procesov a prevádzky MPRV SR.
8.Požiadavky na personál
V súlade s požiadavkami samotnej výzvy ako aj v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov je interný projektový tím MPRV SR zostavený projektový tím tak, aby zabezpečil realizáciu projektu v súlade s požiadavkami všeobecne záväzných právnych predpisov. Výzva stanovuje nevyhnutnú účasť IT odborníkov, pričom minimálne je požadovaný manažér kybernetickej bezpečnosti (MKB). Tento tím bude zodpovedný za koordináciu a implementáciu projektu podľa definovaných pravidiel a postupov a pozostáva z nasledovných pozícií:
Projektové role:
- Projektový manažér,
- Kľúčový používateľ,
- Analytik IT,
- Architekt IT,
- Tester IT
- Biznis vlastník (vlastník alebo vlastníci procesov),
- Manažér kybernetickej bezpečnosti,
- Manažér prevádzky IT.
Ďalšie projektové role:
- Finančný manažér
- Asistent PM (PMO)
Takto zostavený projektový tím predstavuje záruku úspešnej realizácie projektu po zabezpečení jeho financovania na základe Žiadosti o nenávratný finančný príspevok (ŽoNFP) podanej v rámci príslušnej výzvy.
| ID | Titul, Meno a priezvisko | Pozícia | Organizačný útvar | Projektová rola |
| 1. | Ing. Ján Segéň | Projektový manažér | Odbor stratégie a implementácie IT | Projektový manažér |
| 2. | Mgr. Roman Branderský Bc, René Salic | Odbor prevádzky IT a kybernetickej bezpečnosti | Kľúčový používateľ | |
| 3. | Mgr. Roman Branderský Ing. Róbert Červenec | Odbor prevádzky IT a kybernetickej bezpečnosti | Analytik IT | |
| 4. | Mg. Ľubomír Lacika | Odbor stratégie a implementácie IT | Architekt IT | |
| 5. | Bc. René Salic | Odbor prevádzky IT a kybernetickej bezpečnosti | Tester IT | |
| 6. | Ing. Jaroslav Rohaľ Ing. Petra Hudáková | Odbor stratégie a implementácie IT | Biznis vlastník (vlastník alebo vlastníci procesov) | |
| 7. | Ing. Jaroslav Rohaľ | Manažér kybernetickej bezpečnosti | Kancelária ministra | Manažér kybernetickej bezpečnosti |
| 8. | Ing. Petra Hudáková | Riaditeľka odboru | Odbor prevádzky IT a kybernetickej bezpečnosti | Manažér prevádzky IT |
| 9. | Ing. Veronika Balážová | Generálna riaditeľka | Sekcia rozpočtu a financovania | Finančný manažér |
| 10. | Ing. Tatiana Hrušovská | Útvar rezortnej informatiky | Asistent PM |
Tabuľka 10 Projektový tím
9.Implementácia a preberanie výstupov projektu
Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), ktorá zabezpečuje logickú nadväznosť jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej počas prípravnej fázy projektu. Tento prístup bol zvolený z dôvodu potreby vykonania opatrení kybernetickej bezpečnosti (KB) a informačnej bezpečnosti (IB) vo vzájomných súvislostiach a v správnom postupnom poradí. Hoci niektoré aktivity môžu byť realizované paralelne rôznymi tímami, musia byť koordinované na základe jasne stanovenej stratégie a harmonogramu projektu. Agilný prístup by nebol vhodný vzhľadom na špecifickú povahu projektu a nutnosť jeho realizácie za plnej prevádzky základných služieb MPRV SR.
Implementácia a preberanie výstupov projektu budú prebiehať podľa nasledovného harmonogramu:
- Dodávka technických a programových prostriedkov zahŕňa obstaranie všetkých technických prostriedkov IT, programových prostriedkov vrátane príslušných licencií na ich užívanie, príp. používanie a služieb potrebných na realizáciu predmetu projektu. V zmysle harmonogramu bude dodávka realizovaná maximálne v rozsahu 6 mesiacov od vydania písomného pokynu na začatie tejto časti projektu.
- Analýza a dizajn: ako súčasť realizačnej fázy zameraná podrobnú analýzu a návrh riešenia a bude prebiehať počas obdobia 5 mesiacov od vydania písomného pokynu na jej začatie.
- Implementácia a testovanie navrhovaných riešení a opatrení a ich komplexné testovanie bude trvať 8 mesiacov od dodania potrebných technických a programových prostriedkov.
- V záverečnej fáze projektu sa zabezpečí nasadenie riešenia do prevádzky a jeho integrácia do existujúcich systémov a existujúcej infraštruktúry. Táto fáza bude trvať 3 mesiace od ukončenia „implementácia a testovanie“.
Každá z uvedených realizačných fáz bude predstavovať samostatný fakturačný míľnik, čím sa zabezpečí transparentnosť a postupná kontrola priebehu projektu.
10.Prílohy
Dokument neobsahuje prílohy.
1 Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.
2 Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.
Strana 15/15