Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Ján Segéň 2025/03/11 09:50

From 7.1 to 6.1 From 12.1 to 11.1

Z verzie 11.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 7.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -22,9 +22,7 @@
  =   =
  |(((
--(((
--= 1. História DOKUMENTU =
--)))
++1. História DOKUMENTU
  |Verzia|Dátum|Zmeny|Meno
  |0.1|08.11.2024|Pracovný návrh|Ing. Jaroslav Rohaľ
@@ -31,10 +31,9 @@
  |0.2|14.11.2024|Interná pracovná verzia|Ing. Jaroslav Rohaľ
  |0.3|16.11.2024|Doplnená sfinalizovaná verzia|Ing. Jaroslav Rohaľ
--(((
--= 2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
--)))
++1. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
++
  V súlade **s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z.** **o riadení projektov** **a zmenových požiadaviek v prevádzke informačných technológií verejnej správy **(ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií k  projektu „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej  bezpečnosti” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
@@ -41,8 +41,10 @@
  Projekt bude implementovať Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky (ďalej ako „MPRV SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “ v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný.
--== 2.1 Použité skratky a pojmy ==
++1.
++11. Použité skratky a pojmy
++
  |SKRATKA/POJEM|POPIS
  |2FA|Dvojfaktorová autentizácia
  |Achilles|Systém na vyhľadávanie zraniteľností
@@ -90,7 +90,8 @@
  Tabuľka 1 Zoznam použitý skratiek a pojmov
--== 2.2 Konvencie pre typy požiadaviek ==
++1.
++11. Konvencie pre typy požiadaviek
  V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente **M-05 – Analýza nákladov a prínosov **a preto nie je súčasťou tejto kapitoly.
@@ -106,24 +106,23 @@
  Pri označovaní samotných katalógových požiadaviek, ktoré sú súčasťou prílohy tohto dokumentu bola použitá nasledovná konvencia:
 . Funkčné požiadavky majú nasledovnú konvenciu: **//FP_XX//**
--11. FP – funkčná požiadavka
--11. XX – poradové číslo požiadavky
++
++1. FP – funkčná požiadavka
++1. XX – poradové číslo požiadavky
++
 . Nefunkčné požiadavky majú nasledovnú konvenciu: **//NP_XX//**
--11. NP – nefukčná požiadavka
--11. XX – poradové číslo požiadavky
--1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//**
--11. TP – technická požiadavka
--11. XX – poradové číslo požiadavky
++1. NP – nefukčná požiadavka
++1. XX – poradové číslo požiadavky
--(((
--= 3. DEFINOVANIE PROJEKTU =
++1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//**
--(((
--== 3.1 Manažérske zhrnutie ==
--)))
--)))
++1. TP – technická požiadavka
++1. XX – poradové číslo požiadavky
++1. DEFINOVANIE PROJEKTU
++11. Manažérske zhrnutie
++
  Cieľom projektu je zabezpečiť obstaranie a implementáciu technických a programových prostriedkov, ako aj overiť účinnosť prijatých bezpečnostných opatrení, ktoré majú priamy vplyv na zvyšovanie úrovne kybernetickej a informačnej bezpečnosti na MPRV SR. Tieto opatrenia sa týkajú správy informačných technológií v oblastiach, kde bola identifikovaná najvyššia miera rizika a najväčší dopad, alebo kde je najväčší nesúlad s požiadavkami vyplývajúcimi zo všeobecne záväzných právnych predpisov, na základe výsledkov vykonaného auditu kybernetickej bezpečnosti.
@@ -141,6 +141,7 @@
  * implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
  * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
++
  Projekt „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej bezpečnosti informačných technológií v správe MPRV SR“ je zameraný na vybudovanie bezpečnostnej infraštruktúry vo forme technických (programových a technických prostriedkov) nástrojov, technológií a procesov pre posilnenie kybernetickej bezpečnosti MPRV SR.
  Okrem odstránenia nesúladov zistených pri audite kybernetickej bezpečnosti bude nasadenie technických riešení znamenať aj dosiahnutie zlepšenia procesov, komunikácie, zberu dát, analýzy, predchádzanie kybernetickým bezpečnostným incidentom, zrýchlenie riešenia kybernetických bezpečnostných incidentov, zvýšenie personálnej a znalostnej spôsobilosti odborných zamestnancov MPRV SR.
@@ -153,19 +153,37 @@
  * školeniami pre zamestnancov za účelom zvýšenia ich povedomia v oblasti kybernetickej a informačnej bezpečnosti,
  * realizáciou stavebných úprav a prác.
++
  **Prínosy projektu:**
  V obecnej rovine sú prínosy projektu zadefinované ako:
--* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**. Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment)  umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov.
--* **Rýchla identifikácia zraniteľností**. Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT  budú včas identifikované a môžu byť rýchlo odstránené.
--* **Posilnenie bezpečnosti sietí**. Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.
--* **Nepretržitý bezpečnostný dohľad**. Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT  a rýchlu reakciu v prípade kybernetických hrozieb.
--* **Zvýšenie bezpečnosti prístupov**. Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.
--* **Testovanie účinnosti bezpečnostných opatrení**. Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.
++* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**
++Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment)  umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov.
++* **Rýchla identifikácia zraniteľností**
++
++Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT  budú včas identifikované a môžu byť rýchlo odstránené.
++
++* **Posilnenie bezpečnosti sietí**
++
++Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.
++
++* **Nepretržitý bezpečnostný dohľad**
++
++Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT  a rýchlu reakciu v prípade kybernetických hrozieb.
++
++* **Zvýšenie bezpečnosti prístupov**
++
++Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.
++
++* **Testovanie účinnosti bezpečnostných opatrení**
++
++Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.
++
++
  Z pohľadu samotnej implementácie predmetu projektu a jeho jednotlivých častí, medzi prínosy projektu patria:
 . Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):
@@ -193,6 +193,7 @@
 *. Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.
 *. Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.
++
  **Cieľová skupina:**
  Realizácia projektu bude mať priamy dopad na všetky organizačné útvary MPRV SR so sekundárnou perspektívou aj na právnické osoby v pôsobnosti MPRV SR, pričom platí:
@@ -233,7 +233,8 @@
  Tabuľka 1 Sumarizácia projektových údajov
--== 3.2 Motivácia a rozsah projektu ==
++1.
++11. Motivácia a rozsah projektu
  MPRV SR ako správca ITVS a prevádzkovateľ základnej služby je povinný zabezpečiť požadovanú úroveň kybernetickej bezpečnosti informačných systémov naviazaných na poskytovanie základnej služby a celej infraštruktúry IT MPRV SR v súlade platnými všeobecne záväznými právnymi predpismi pre túto oblasť a zabezpečiť ochranu spracúvaných informácií voči kybernetickým hrozbám v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 69/2018 Z. z.“).
@@ -245,17 +245,21 @@
  Implementovanie navrhovaných technických opatrení v prostredí MPRV SR je kľúčové pre zabezpečenie IB a KB a ochranu pred kybernetickými hrozbami pre prevádzkované informačné technológie MPRV SR. Realizáciou projektu dôjde k zvýšeniu úrovne KB a IB v nasledujúcich oblastiach:
--* Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu.
--* Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony.
--* Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty.
--* Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov.
--* Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase.
--* Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti.
++*
++**
++*** Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu.
++*** Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony.
++*** Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty.
++*** Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov.
++*** Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase.
++*** Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti.
++
  Implementáciou projektu „Technické opatrenia na zvýšenie úrovne kybernetickej bezpečnosti“ informačných technológií v správe MPRV SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MPRV SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB.
--== 3.3 Zainteresované strany/Stakeholderi ==
++1.
++11. Zainteresované strany/Stakeholderi
  |ID|AKTÉR / STAKEHOLDER|(((
  SUBJEKT
@@ -303,7 +303,8 @@
  Tabuľka 3 Zainteresované strany
--== 3.4 Ciele projektu ==
++1.
++11. Ciele projektu
  Hlavným cieľom projektu je zabezpečenie vyššej úrovne kybernetickej a informačnej bezpečnosti v MPRV SR, najmä vo zvýšení odolnosti voči kybernetickým bezpečnostným incidentom a najmä efektívne riadenie celého životného cyklu identifikovaných kybernetických bezpečnostných incidentov. Všeobecnými cieľmi preto sú:
@@ -312,6 +312,7 @@
  * Zvýšenie efektívnosti ochrany informačných technológií v správe a prevádzke MPRV SR,
  * Zvýšenie odolnosti sietí a informačných systémov v správe a prevádzke MPRV SR voči kybernetickým útokom.
++
  Ciele projektu boli definované s ohľadom na potreby efektívneho fungovania KB a IB MPRV SR a zároveň vychádzajú z príslušných častí //Národnej koncepcie informatizácie verejnej správy// a //Národnej koncepcie kybernetickej bezpečnosti (ďalej aj “NKKB”)//. Tieto dokumenty poskytujú strategický rámec a usmernenia pre rozvoj KB a IB vo verejnej správe. Na základe týchto koncepcií sú projektové ciele definované tak, aby podporili modernizáciu  technických a programových prostriedkov MPRV SR, zabezpečili odstránenie nesúladov z auditu KB, zohľadnili požiadavky vyhlásenej výzvy ale pomohli naplniť strategické ciele NKKB 4.1 Dôveryhodný štát pripravený na hrozby a 4.4 Kybernetická bezpečnosť ako základná súčasť verejnej správy.
@@ -328,7 +328,8 @@
  Tabuľka 4 Ciele projektu
--== 3.5 Merateľné ukazovatele (KPI) ==
++1.
++11. Merateľné ukazovatele (KPI)
  |ID|ID/Názov cieľa|Názov
  ukazovateľa (KPI)|Popis
@@ -358,7 +358,8 @@
  Tabuľka 5 Merateľné ukazovatele
--== 3.6 Špecifikácia potrieb koncového používateľa ==
++1.
++11. Špecifikácia potrieb koncového používateľa
  Predmetom projektu nie je vývoj ani rozvoj informačných systémov verejnej správy (ISVS) či elektronických služieb s grafickým alebo iným používateľským rozhraním, ktoré by boli určené pre občanov, podnikateľov alebo koncových používateľov. MPRV SR má povinnosť ako správca informačného systému verejnej správy zabezpečiť kybernetickú a informačnú bezpečnosť. Pre koncových používateľov je dôležité, aby boli poskytované služby  bezpečné a dostupné.
@@ -367,12 +367,14 @@
  Je však potrebné uviesť, že z pohľadu špecifikácie potrieb koncového používateľa, v tomto prípade je primárnym koncovým používateľom administrátor IT, manažér KB, sekundárne zamestnanci MPRV SR a terciárne FO/PO ako subjekty využívajúce poskytované služby ISVS, je elementárnou potrebou zabezpečiť minimalizovanie výpadkov prevádzky ISVS z dôvodu kybernetických útokov.
--== 3.7 Riziká a závislosti ==
++1.
++11. Riziká a závislosti
  Zoznam rizík a závislostí je špecifikovaný v samostatnej prílohe **I-02 Zoznam rizík a závislostí, **ktorá je neoddeliteľnou súčasťou tohto projektového zámeru. Zoznam rizík a závislostí bude počas aktualizovaný počas celej realizačnej etapy projektu.
--== 3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==
++1.
++11. Stanovenie alternatív v biznisovej vrstve architektúry
  V rámci biznisovej vrstvy architektúry sme analyzovali tri varianty riešenia súčasného stavu. Na základe rozsahu problému identifikovaného v projektovom zámere boli navrhnuté tri alternatívne prístupy. Ako najefektívnejšia bola zvolená Alternatíva č. 2, ktorá komplexne pokrýva všetky procesy a požiadavky zainteresovaných strán (stakeholderov) a poskytuje ucelené riešenie celej životnej situácie. Nižšie sa nachádzajú alternatívy, ktoré reflektujú hlavné ciele a motiváciu pre realizáciu projektu v zmysle jednotlivých aspektov uvedených v rámci motivačnej architektúry. Vo všeobecnosti sú pre všetky vrstvy možné nasledovné všeobecné alternatívy:
@@ -381,7 +381,9 @@
  * **Alternatíva 3:** Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení.
--=== 3.8.1 Alternatíva 1 – Ponechanie súčasného stavu ===
++1.
++11.
++111. Alternatíva 1 – Ponechanie súčasného stavu
  Táto alternatíva zahŕňa zachovanie aktuálneho stavu kybernetickej a informačnej bezpečnosti MPRV SR bez prijatia ďalších opatrení. Súčasný stav odráža existujúce bezpečnostné mechanizmy a infraštruktúru, ktoré sú zosúladené s  požiadavkami vyplývajúcimi zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len “zákon č. 95/2019 Z. z. “) a ich rozsah nezodpovedá komplexnému požadovanému rozsahu čo preukázal  zistenými nesúladmi audit kybernetickej bezpečnosti.
@@ -388,10 +388,18 @@
  Dôsledky zachovania súčasného stavu:
  * Ponechanie existujúceho stavu by znamenalo naďalej neplnenie zákonných povinností a nesúlad s povinnosťami vyplývajúcimi najmä zo zákona č. 69/2018 Z. z a zákona č. 95/2019 Z. z.
--* Nedostatočná odolnosť voči kybernetickým útokom. Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena.
--* Nezmenené nesúlady. Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT.
--* Zvyšujúce sa náklady v budúcnosti. Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie.
++* Nedostatočná odolnosť voči kybernetickým útokom.
++Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena.
++
++* Nezmenené nesúlady
++
++Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT.
++
++* Zvyšujúce sa náklady v budúcnosti
++
++Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie.
++
  **Výhody:**
  * Nulové počiatočné investície
@@ -405,57 +405,104 @@
  * Negatívny vplyv na reputáciu MPRV SR v prípade vzniku a medializácie kybernetického bezpečnostného incidentu alebo úniku dát.
--=== 3.8.2 Alternatíva 2 – Implementácia navrhovaných technických opatrení ===
++1.
++11.
++111. Alternatíva 2 – Implementácia navrhovaných technických opatrení
  Táto alternatíva predstavuje systémové a komplexné riešenie zamerané na implementáciu moderných technických opatrení, ktoré zvýšia úroveň kybernetickej a informačnej bezpečnosti MPRV SR. Ide o riešenie, ktoré zahŕňa zavedenie pokročilých technológií, ako je systém na správu prevádzkových záznamov (Log manažment), SIEM (Security Information and Event Management) pre identifikovanie a analyzovanie bezpečnostných udalostí, Vulnerability scanner na detekciu zraniteľností, implementáciu firewallov, riešenia pre správu mobilných zariadení (MDM), dvojfaktorovej autentifikácie a iných ochranných technológií.
  Zmena stavu dôsledkom implementácie navrhovaných technických opatrení:
--* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť. Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti.
--* Zvýšená odolnosť proti kybernetickým útokom. Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov.
--* Zvýšená bezpečnosť dát a infraštruktúry. Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu  údajov.
++* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť
++Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti.
++
++* Zvýšená odolnosť proti kybernetickým útokom
++
++Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov.
++
++* Zvýšená bezpečnosť dát a infraštruktúry
++
++Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu  údajov.
++
  **Výhody:**
--* Zvýšenie bezpečnosti infraštruktúry. Komplexné technické riešenie prinesie vysokú úroveň ochrany.
--* Prevencia pred kybernetickými bezpečnostnými incidentmi. Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
--* Dlhodobé úspory. Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
++* Zvýšenie bezpečnosti infraštruktúry
++Komplexné technické riešenie prinesie vysokú úroveň ochrany.
++* Prevencia pred kybernetickými bezpečnostnými incidentmi
++
++Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
++
++* Dlhodobé úspory
++
++Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
++
++
  **Nevýhody:**
--* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
--* Dlhšie implementačné obdobie. Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
++* Vyššie počiatočné investície
++Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
--=== 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ===
++* Dlhšie implementačné obdobie
++Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
++
++
++1.
++11.
++111. Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení
++
  Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MPRV SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá.
  Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení:
--* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR.
--* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
--* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
++* Čiastočné zlepšenie kybernetickej bezpečnosti
++Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR.
++
++* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti
++
++Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
++
++* Obmedzené zlepšenie odolnosti proti kybernetickým útokom
++
++Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
++
  **Výhody:**
--* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
--* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
++* Nižšie náklady na implementáciu
++Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
++
++* Rýchlejšia implementácia niektorých opatrení
++
++Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
++
  **Nevýhody:**
--* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
--* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
--* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++* Nízka efektivita v dlhodobom horizonte
++Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
++* Riziko neefektívnosti
++
++OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
++
++* Nesplnenie zákonných povinností
++
++Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++
++
  [[image:Obrázok 1 Alternatívy riešenia.png||alt="Obrázok 1 Alternatívy riešenia"]]
  Obrázok 1 Alternatívy riešenia
--== 3.9 Multikriteriálna analýza ==
++1.
++11. Multikriteriálna analýza
  V nadväznosti na rozpracovanie alternatív v kapitole 3.8 Stanovenie alternatív v biznisovej vrstve architektúry sa multikriteriálna analýza redukuje na dva základné parametre:
@@ -465,19 +465,19 @@
  Z možných a logických riešení zabezpečujúcich komplexné požiadavky na zvýšenie úrovne kybernetickej bezpečnosti a informačnej bezpečnosti, časový horizont a minimalizáciu rizík považujeme Alterantívu 2 ako najvýhodnejšiu, dlhodobo udržateľnú a racionálnu alternatívu.
--== 3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==
++1.
++11. Stanovenie alternatív v aplikačnej vrstve architektúry
  Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
--== 3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
++1.
++11. Stanovenie alternatív v technologickej vrstve architektúry
  Požiadavky na technológie, prostredníctvom ktorých sa naplnia ciele projektu, sú definované všeobecne a to tak, aby na naplnenie požiadaviek bolo možné použiť technické a programové prostriedky bežne dostupné na relevantnom trhu bez konkrétnych špecifických pre daný prípad jedinečných požiadaviek.
--(((
--= 4. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
--)))
++1. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)
  V rámci projektu budú požadované nasledovné výstupy projektu:
@@ -494,10 +494,9 @@
  ** Záverečná správa z pravidelného auditu KB
  ** Záverečná správa z mimoriadneho auditu KB v prípadoch podľa
--1. (((
--== 5. NÁHĽAD ARCHITEKTÚRY ==
--)))
++1. NÁHĽAD ARCHITEKTÚRY
++
  Tento projekt predstavuje riešenie vybraných základných prvkov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v rámci MPRV SR.
@@ -510,6 +510,7 @@
  * zaznamenávanie udalostí a monitorovanie,
  * riešenie kybernetických bezpečnostných incidentov.
++
  MPRV SR na základe auditu kybernetickej bezpečnosti identifikovalo najhlavnejšie  nedostatočne bezpečnostné opatrenia v oblasti KB.  Z týchto dôvodu bude projekt primárne zameraný na implementáciu absentujúcich opatrení zameraných na oblasť kybernetickej bezpečnosti  vyplývajúcej zákona č. 69/2018 Z. z. a súčasnej na implementáciu opatrení informačnej bezpečnosti podľa zákona č. 95/2019 Z. z.
  Vzhľadom na fakt, že nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto kontexte je upravený aj popis jednotlivých úrovni architektúry. Keďže MPRV SR požaduje podporu v aktivitách ako sú implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.
@@ -524,9 +524,7 @@
 .
--11. (((
--=== 5.1 Biznis vrstva ===
--)))
++11. Biznis vrstva
  Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy.
@@ -541,37 +541,43 @@
  * Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov.
  * Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response).
++
 . Identifikácia zraniteľností a bezpečnostné testovanie:
  * Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.
  * Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií).
++
 . Sieťová a komunikačná bezpečnosť:
  * Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
++
 . Bezpečnosť pri prevádzke informačných systémov a sietí:
  * Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete.
++
 . Riešenie bezpečnostných incidentov:
  * Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC.
++
 . Riadenie prístupov:
  * Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
++
  Uvedené biznis funkcie bezpečnostnej architektúry sú na obrázku.
++[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image004.png]]
++
  [[image:Obrázok 2 Biznis funkcie bezpečnostnej architektúry.png||alt="Obrázok 2 Biznis funkcie bezpečnostnej architektúry"]]
  Obrázok 2 Biznis funkcie bezpečnostnej architektúry
 .
--11. (((
--=== 5.2 Aplikačná vrstva ===
--)))
++11. Aplikačná vrstva
  Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená ďalej popísanými aplikačnými modulmi.
@@ -580,38 +580,42 @@
  * Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
++
  Sieťová a komunikačná bezpečnosť:
  * Nasadenie ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
++
  Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring:
  * Implementácia log manažmentu.
  * Implementácia SIEM.
++
  Bezpečnosť pri prevádzke informačných systémov a sietí:
  * Implementácia správy mobilných zariadení (MDM).
++
  Riešenie kybernetických bezpečnostných incidentov:
  * Využitie SOC ako služby od externého subjektu.
++
  Identifikácia zraniteľností a bezpečnostné testovanie.
  * Implementácia vulnerability skenera.
  * Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
--[[image:Obrázok 3 Aplikačná architektúra.png||alt="Obrázok 3 Aplikačná architektúra"]]
++[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image006.png]][[image:Obrázok 3 Aplikačná architektúra.png||alt="Obrázok 3 Aplikačná architektúra"]]
++
  Obrázok 3 Aplikačná architektúra
 .
 .
--111. (((
--==== 5.2.1 Požiadavky na aplikačné komponenty ====
--)))
++111. Požiadavky na aplikačné komponenty
  Analýzou rizík a dopadov (AR/BIA) bolo v MPRV SR identifikovaných 68  aktív informačných technológií, z toho 15 informačných systémov alebo sietí.
@@ -632,6 +632,7 @@
  * Výkon agend Ministerstva pôdohospodárstva a rozvoja vidieka Slovenskej republiky a s tým súvisiaca správa a prevádzka informačných systémov verejnej správy.
++
  Ako podporné služby boli pri realizácii analýzy rizík identifikované:
  * Správa serverov,
@@ -639,6 +639,7 @@
  * Správa informačných systémov,
  * Riadenie bezpečnosti.
++
  Centrálne monitorovanie bezpečnosti je  súbor úloh zabezpečujúcich:
  * minimalizovanie pravdepodobnosti vzniku kybernetických bezpečnostných incidentov,
@@ -649,6 +649,7 @@
  * vedenie dokumentácie o kybernetických bezpečnostných incidentoch,
  * analýzu priebehu kybernetických bezpečnostných incidentov.
++
  Architektúra riešenia musí zohľadňovať nasledujúce požiadavky kladené na obdobné implementácie:
  * centralizovaný a súčasne modulárny systém:
@@ -658,6 +658,7 @@
  * centralizovaná kontrola dodržiavania bezpečnostnej politiky na sledovaných komponentoch,
  * preukázateľnosť nepovolených aktivít.
++
  Riešenie musí byť v budúcnosti rozšíriteľné bez znehodnotenia už vynaložených investícií a navrhnuté tak, aby splnilo požiadavky na centralizovaný manažment prevádzkových záznamov a zároveň aj požiadavky na SIEM zodpovedajúce súčasným trendom.
  MPRV SR požaduje pre LM  splnenie minimálne nasledujúcich parametrov.
@@ -686,6 +686,7 @@
  * základnú non-real time analýzu logov,
  * vyhľadávanie a reporting nad logmi.
++
  MPRV v rámci LM požaduje zo surových (RAW) logov parsovaním a normalizáciou vytváranie štruktúrovaných udalostí, nad ktorými bude možné realizovať vyhľadávanie, analyzovanie a reportovanie. Zároveň sa pojmom LM rozumie aj zber, transport, uloženie logov z celého monitorovaného prostredia, ich filtrovanie a taktiež preposielanie alebo integrácia s riešením poskytujúcim funkcionality korelácie udalostí a SIEM tak, aby bol vyriešený komplexný bezpečnostný monitoring.
  LM nemusí obsahovať korelačné mechanizmy pre real-time (near-real time) detekciu bezpečnostných udalostí, ale musí poskytovať možnosť dlhodobého ukladania udalostí v zmysle požiadaviek najmä zákona č. 69/2018 Z. z., minimálne však na obdobie 18 mesiacov. Zároveň LM musí zabezpečiť predspracovanie udalostí smerujúcich do SIEM, aby SIEM spracovával len tie udalosti, ktoré sú relevantné na identifikáciu kybernetických bezpečnostných incidentov a ich riadenie.
@@ -715,6 +715,7 @@
  * LM musí natívne (bez dodatočných nákladov) podporovať možnosti automatizácie, orchestrácie a reakcie (SOAR) za účelom automatizácie ochrany pred kybernetickými útokmi a reakcie na ne.
  * LM musí umožniť vytváranie jednoduchých reportov a poskytovať od výrobcu predpripravené „out of the box“ reporty a dashboardy.
++
  Ďalšie požiadavky na LM
  * Pri zbere a spracovaní logov nesmie v prípade prekročenia licenčného limitu dôjsť ku strate udalostí a ich nespracovaniu (zahodeniu).
@@ -737,6 +737,8 @@
  * Licencia musí obsahovať možnosť zbierať všetky typy výrobcom podporovaných zdrojov udalostí a vlastných proprietárnych logov.
  * Primárne licencie riešenia LM musia byť vlastníctvom MPRV SR a nesmú mať formu predplatného
++
++
 .
 .
 .
@@ -743,6 +743,7 @@
 .
 . Security Information and Event Management - SIEM
++
  Povinnosť nástroja na vyhodnocovanie a analýzu prevádzkových záznamov vyplýva pre prevádzkovateľa základnej služby najmä z § 11, § 15 a § 17 vyhlášky č. 326/2018 Z. z. Ide o analytický nástroj na vyhodnocovanie a analýzu prevádzkových záznamov zhromaždených systémom správy prevádzkových záznamov v centrálnom úložisku, log manažmentom. MPRV SR má v testovacej prevádzke Open Source riešenie Wazuh.
@@ -778,6 +778,7 @@
  * poskytovať reporty aj vo forme grafov a tabuliek,
  * mať možnosť vytvárania a exportovania reportov do formátov ako PDF, HTML, CSV a podobne.
++
  Ďalšie požiadavky na riešenie SIEM, ktoré musí:
  * poskytovať možnosť zachovať pôvodné časové pečiatky pre každú udalosť a spravovať časové pečiatky v rôznych časových pásmach,
@@ -796,6 +796,7 @@
  * obsahovať primárne licencie k riešeniu SIEM, ktorých vlastníkom bude MPRV SR a nesmú mať formu predplatného,
  * Pri zbere a spracovaní logov nesmie v prípade prekročenia licenčného limitu dôjsť ku strate udalostí a ich nespracovaniu, t. j. SIEM nesmie technicky limitovať počet udalostí, aby nedošlo k ich zahodeniu.
++
 .
 .
 .
@@ -1121,6 +1121,7 @@
  ** možnosť obrátiť sa na tým technickej podpory pri riešení problémov súvisiacich s prevádzkou a aktualizáciou technických a programových prostriedkov a dosiahnuť ich odstránenie,
  ** zabezpečenie vzdialeného prístupu na umožnenie využívania služieb technickej a licenčnej podpory zariadení a možnosť spravovať licencie na portáli výrobcu zariadení, ak už bol v minulosti takýto prístup udelený, zachovať súčasné používateľské účty a prístupové oprávnenia.
++
 .
 .
 .
@@ -1168,11 +1168,13 @@
  * Možnosť integrácie so SIEM (Security Information and Event Management) systémom pre pokročilú analýzu bezpečnostných udalostí.
  * Nastavenie upozornení pre prípady opakovaných neúspešných autentifikácií alebo podozrivých pokusov o prihlásenie.
++
 .
 .
 .
 . Bezpečnosť pri prevádzke informačných systémov a sietí
++
  Nástroj na správu mobilných zariadení (MDM - Mobile Device Management), je komplexný nástroj, ktorý integruje správu prístupu, aplikácií a viacplatformovú správu koncových bodov. Určený je na centrálnu správu mobilných zariadení, ktorými sú primárne služobné smartfóny a tablety. Správa prenosných počítačov nie je aktuálne primárnym cieľom implementácie, ale ich zaradenie do správy mobilných zariadení v budúcnosti nie je vylúčená. Nástroj má umožniť správcom IT nastavenie politík ochrany mobilného zariadenia, monitorovať ich stav, integrovať ich do infraštruktúry, vzdialene ich konfigurovať a v prípade potreby ich zablokovať alebo celkom vymazať.
@@ -1214,6 +1214,9 @@
  * API prístup - Poskytuje REST API na integráciu s externými aplikáciami a systémami.
  * Integrácia s existujúcimi systémami - Podporuje integráciu s existujúcimi systémami správy identity, bezpečnosti a IT služieb.
++
++
++
 .
 .
 .
@@ -1235,6 +1235,7 @@
  * analýza zistených výsledkov a posúdenie závažnosti zraniteľností a potenciálneho dopadu na definovaný cieľ,
  * vypracovanie záverečnej správy z testovania (sumarizácia všetkých činností počas testovania, výsledky testov, popis stavov a reakcií definovaného cieľa pri testovaní, popis zistených nedostatkov z testovania, návrh na odstránenie zistených nedostatkov/nesúladov z testovania, návrh bezpečnostných opatrení).
++
  Phishingové testovanie bude zamerané na preverenie prijatých organizačných bezpečnostných opatrení a kvalitu úrovne odborného vzdelania zamestnancov pri identifikovaní podvodnej elektronickej správy od bezpečnej. Zamestnanci predstavujú jedno z najvyšších rizík kybernetickej bezpečnosti – ľudský faktor. Ak zamestnanec nedokáže správne identifikovať phishingovú podvodnú elektronickú správu, môže do siete MPRV SR vpustiť útočníka, ktorý môže získať prístup na vykonávanie škodlivých aktivít, čím môže útočník napr. získať chránené údaje, spôsobiť ekonomickú škodu, ochromiť poskytovanie služieb alebo poškodiť dobré meno. Na predchádzanie ale aj preverenie schopnosti odolať phishingovej kampani je určené simulované phishingové testovanie.
@@ -1245,6 +1245,7 @@
  * zber údajov,
  * vypracovanie záverečnej správy.
++
  Bezpečnostné testovanie bude realizované minimálne jedenkrát za rok. MPRV v rámci projektu predpokladá realizáciu týchto testov v záverečnej fáze projektu formou služby, ktorá bude vyčíslená ako náklad projektu za účelom overenia implementovaných procesov a riešení.
@@ -1270,11 +1270,13 @@
  * vypracovanie a doručenie mesačného reportu obsahujúceho sumár udalostí riešených za posledný kalendárny mesiac,
  * zabezpečenie dostupnosti poskytovanej služby v rozsahu minimálne 99 % celkového času každého kalendárneho mesiaca.
++
  Poskytovanie služby zabezpečenia hlásenia bezpečnostného incidentu v rozsahu informovania o vzniku bezpečnostného incidentu v chránenom/monitorovanom prostredí v lehote nahlásenia nie dlhšej ako 4 hodiny, pričom:
  * lehota nahlásenia sa určuje ako dĺžka času od momentu objavenia konkrétneho bezpečnostného incidentu v chránenom/monitorovanom prostredí externým SOC po moment informovania MPRV SR o jeho objavení,
  * lehota nahlásenia plynie v čase medzi 8:00 hod. a 16:00 hod. pracovného dňa.
++
  Pre jednoznačnosť, reakčný čas (Time To Response) pre kritické alebo závažné bezpečnostné incidenty je do 60 minút a pre ostatné bezpečnostné incidenty do 4 hodín v režime dohľadu 8/5.
@@ -1285,9 +1285,7 @@
 .
--11. (((
--=== 5.3 Prehľad e-Government komponentov ===
--)))
++11. Prehľad e-Government komponentov
  Súčasťou projekt nie je budovanie žiadneho e-Governmentového komponentu.
@@ -1294,9 +1294,7 @@
 .
 .
--111. (((
--==== 5.3.1 Prehľad koncových služieb – budúci stav: ====
--)))
++111. Prehľad koncových služieb – budúci stav:
  Výstupom projektu nie sú žiadne koncové služby.
@@ -1303,9 +1303,7 @@
 .
 .
--111. (((
--==== 5.3.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ====
--)))
++111. Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:
  Výstupom projektu nie sú budované alebo rozvíjané žiadne ISVS.
@@ -1312,9 +1312,7 @@
 .
 .
--111. (((
--==== 5.3.3 Prehľad budovaných aplikačných služieb – budúci stav: ====
--)))
++111. Prehľad budovaných aplikačných služieb – budúci stav:
  Výstupom projektu nie sú žiadne aplikačné služby.
@@ -1321,9 +1321,7 @@
 .
 .
--111. (((
--==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ====
--)))
++111. Prehľad integrácii ISVS na spoločné ISVS[[^^**~[2~]**^^>>path:#_ftn2]] a ISVS iných orgánov verejne správy alebo IS tretích strán
  Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.
@@ -1330,9 +1330,7 @@
 .
 .
--111. (((
--==== 5.3.5 Aplikačné služby na integráciu ====
--)))
++111. Aplikačné služby na integráciu
  Výstupom projektu nie sú žiadne aplikačné služby a zároveň výstup projektu nebude mať dopad na aktuálnu, už využívanú a fungujúcu integráciu.
@@ -1339,9 +1339,7 @@
 .
 .
--111. (((
--==== 5.3.6 Poskytovanie údajov z ISVS do IS CPDI ====
--)))
++111. Poskytovanie údajov z ISVS do IS CPDI
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu poskytovania údajov v porovnaní s aktuálnym stavom.// //
@@ -1348,9 +1348,7 @@
 .
 .
--111. (((
--==== 5.3.7 Konzumovanie údajov z IS CPDI ====
--)))
++111. Konzumovanie údajov z IS CPDI
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu konzumovania údajov z IS CPDI v porovnaní s aktuálnym stavom.// //
@@ -1358,16 +1358,12 @@
 .
 .
--111. (((
--==== 5.3.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ====
--)))
++111. Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:
  Vzhľadom na charakter projektu nemá výstup projektu dopad na aktuálne využívanie infraštruktúrnych služieb.
--1. (((
--== 6. LEGISLATÍVA ==
--)))
++1. LEGISLATÍVA
  Projekt nevyžaduje úpravy všeobecne záväzných právnych predpisov na dosiahnutie stanovených cieľov a dodanie výstupov. V tejto časti sú uvedené všeobecne záväzné právne predpisy týkajúce sa informačných technológií vo verejnej správe, pričom zoznam nezahŕňa usmernenia a technické normy. Projekt sa bude riadiť aktuálne platnými právnymi predpismi, nariadeniami a ďalšími relevantnými právnymi normami.
@@ -1379,10 +1379,9 @@
  * SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (NIS 2)
  * Zákon č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov
--1. (((
--== 7. ROZPOČET A PRÍNOSY ==
--)))
++1. ROZPOČET A PRÍNOSY
++
   Rozpočet a vypočítané prínosy sú súčasťou samostatného dokumentu **M-05 Analýza nákladov a prínosov (CBA - Cost Benefit Analysis)**  v predpísanej štruktúrovanej forme a v zmysle metodického pokynu k vypracovaniu CBA pre projekty nad 1milión EUR. Tento dokument je vyhotovený v tabuľkovom formáte  a obsahuje podrobné prepočty nákladov a očakávaných prínosov projektu.
@@ -1423,14 +1423,14 @@
 . **Únik citlivých údajov** – strata alebo zneužitie údajov môže mať vážne právne a etické dôsledky.
 . **Negatívna medializácia** – medializované prípady bezpečnostných incidentov môžu poškodiť povesť MPRV SR, oslabiť dôveru verejnosti a ovplyvniť vzťahy so strategickými partnermi.
++
  Riziko reputačných škôd je obzvlášť významné, keďže obnovenie dôvery verejnosti a partnerov si vyžaduje nielen čas, ale aj značné úsilie a zdroje. Pre MPRV SR je preto nevyhnutné klásť dôraz na prevenciu kybernetických incidentov, aby ochránilo svoju povesť, finančnú stabilitu a zákonnú integritu.
 .
--11. (((
--=== 7.1 Sumarizácia nákladov a prínosov ===
--)))
++11. Sumarizácia nákladov a prínosov
++
  |Náklady|Spolu|Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring|Nástroj na detegovanie zraniteľností (Vulnerability scanner)|Sieťová a komunikačná bezpečnosť a riadenie prístupov|Správa mobilných zariadení (MDM)|Bezpečnostné testovanie a zavedenie služby SOC (SOCaaS)
  |Všeobecný materiál|2 959 969 €|1 692 231 €|593 327 €|383 245 €|155 444 €|135 722 €
  |IT - CAPEX|- €|- €|- €|- €|- €|- €
@@ -1464,9 +1464,7 @@
  Tabuľka 7 Interpretácia CBA
--1. (((
--== 8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA ==
--)))
++1. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA
  Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), vzhľadom na absenciu vývoja „diela na mieru“, ktoré by mohlo byť rozdelené do niekoľkých inkrementov s cieľom ich priebežného nasadenia do produkčnej prevádzky. Predmetom projektu je zabezpečenie:
@@ -1479,6 +1479,7 @@
  * implementácie dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
  * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
++
  Súčasťou projektu bude dokumentácia, ktorá mapuje a popisuje cieľový stav siete a jej komponentov.
  Prípravná fáza projektu odštartovala v júny 2024, kedy sa začala príprava dokumentácie v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. o riadení projektov. Odhadovaná dĺžka trvania projektu je 26 mesiacov od začiatku procesu verejného obstarávania. Dodanie jednotlivých komponentov sa bude riadiť podmienkami stanovenými v „Zmluve o dielo, Kúpnej zmluve alebo Zmluve o poskytovaní služieb“. Táto zmluva bude súčasťou podkladov pre verejné obstarávanie a zaviaže dodávateľa k dodávke potrebného rozsahu komponentov v určených termínoch. Očakáva sa, že dodávka prebehne jednorazovo, prípadne podľa dohody s ohľadom na požiadavky distribúcie komponentov na jednotlivé lokality.
@@ -1533,9 +1533,7 @@
  Tabuľka 8 HighLevel harmonogram projektu
--1. (((
--== 9. PROJEKTOVÝ TÍM ==
--)))
++1. PROJEKTOVÝ TÍM
  Riadiaci výbor projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.
@@ -1558,6 +1558,7 @@
 . zástupca za dodávateľa v zmysle Zmluvy o dielo, Kúpnej zmluvy alebo Zmluvy o poskytovaní služieb (po realizácií VO je známy Dodávateľ),
 . projektový manažér (bez hlasovacieho práva).
++
  Riadiaci výbor projektu je riadený predsedom, ktorým je zástupca MPRV SR. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru projektu, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru projektu s hlasovacím právom. Na rokovanie Riadiaceho výboru projektu môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany MPRV SR alebo za stranu dodávateľa.
@@ -1603,6 +1603,7 @@
  * Manažér kybernetickej bezpečnosti,
  * Manažér prevádzky IT.
++
  * Ďalšie projektové role:
  * Finančný manažér
@@ -1658,9 +1658,7 @@
 .
--11. (((
--=== 9.1 PRACOVNÉ NÁPLNE ===
--)))
++11. PRACOVNÉ NÁPLNE
  |**Projektová rola:**|**PROJEKTOVÝ MANAŽÉR**
  |**Stručný popis:**|(((
@@ -1935,16 +1935,16 @@
  //Tabuľka 17 Náplň práce asistenta projektového manažéra//
--1. (((
--== 10. PRÍLOHY ==
--
--1.
++1. PRÍLOHY
 .
--111. M-05 - Analýza nákladov a prínosov
--111. I-02 - Zoznam rizík a závislostí
--111. I-04 - Katalóg požiadaviek
--)))
++111.
++1111. M-05 - Analýza nákladov a prínosov
++1111. I-02 - Zoznam rizík a závislostí
++1111. I-04 - Katalóg požiadaviek
++
++
++
  ----
  [[~[1~]>>path:#_ftnref1]] Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?