Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Ján Segéň 2025/03/11 09:50

From 9.1 to 8.1 From 12.1 to 11.1

Z verzie 11.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 9.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -22,8 +22,8 @@
  =   =
  |(((
--(((
--= 1. História DOKUMENTU =
++1. (((
++== 1. História DOKUMENTU ==
  )))
  |Verzia|Dátum|Zmeny|Meno
@@ -31,8 +31,8 @@
  |0.2|14.11.2024|Interná pracovná verzia|Ing. Jaroslav Rohaľ
  |0.3|16.11.2024|Doplnená sfinalizovaná verzia|Ing. Jaroslav Rohaľ
--(((
--= 2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
++1. (((
++== 2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE ==
  )))
  V súlade **s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z.** **o riadení projektov** **a zmenových požiadaviek v prevádzke informačných technológií verejnej správy **(ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií k  projektu „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej  bezpečnosti” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
@@ -41,7 +41,10 @@
  Projekt bude implementovať Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky (ďalej ako „MPRV SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “ v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný.
--== 2.1 Použité skratky a pojmy ==
++1.
++11. (((
++=== 2.1 Použité skratky a pojmy ===
++)))
  |SKRATKA/POJEM|POPIS
  |2FA|Dvojfaktorová autentizácia
@@ -90,7 +90,10 @@
  Tabuľka 1 Zoznam použitý skratiek a pojmov
--== 2.2 Konvencie pre typy požiadaviek ==
++1.
++11. (((
++=== 2.2 Konvencie pre typy požiadaviek ===
++)))
  V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente **M-05 – Analýza nákladov a prínosov **a preto nie je súčasťou tejto kapitoly.
@@ -106,21 +106,24 @@
  Pri označovaní samotných katalógových požiadaviek, ktoré sú súčasťou prílohy tohto dokumentu bola použitá nasledovná konvencia:
 . Funkčné požiadavky majú nasledovnú konvenciu: **//FP_XX//**
--11. FP – funkčná požiadavka
--11. XX – poradové číslo požiadavky
++
++1. FP – funkčná požiadavka
++1. XX – poradové číslo požiadavky
++
 . Nefunkčné požiadavky majú nasledovnú konvenciu: **//NP_XX//**
--11. NP – nefukčná požiadavka
--11. XX – poradové číslo požiadavky
--1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//**
--11. TP – technická požiadavka
--11. XX – poradové číslo požiadavky
++1. NP – nefukčná požiadavka
++1. XX – poradové číslo požiadavky
--(((
--= 3. DEFINOVANIE PROJEKTU =
++1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//**
--(((
--== 3.1 Manažérske zhrnutie ==
++1. TP – technická požiadavka
++1. XX – poradové číslo požiadavky
++1. (((
++== 3. DEFINOVANIE PROJEKTU ==
++
++1. (((
++=== 3.1 Manažérske zhrnutie ===
  )))
  )))
@@ -158,14 +158,31 @@
  V obecnej rovine sú prínosy projektu zadefinované ako:
--* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**. Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment)  umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov.
--* **Rýchla identifikácia zraniteľností**. Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT  budú včas identifikované a môžu byť rýchlo odstránené.
--* **Posilnenie bezpečnosti sietí**. Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.
--* **Nepretržitý bezpečnostný dohľad**. Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT  a rýchlu reakciu v prípade kybernetických hrozieb.
--* **Zvýšenie bezpečnosti prístupov**. Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.
--* **Testovanie účinnosti bezpečnostných opatrení**. Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.
++* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**
++Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment)  umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov.
++* **Rýchla identifikácia zraniteľností**
++
++Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT  budú včas identifikované a môžu byť rýchlo odstránené.
++
++* **Posilnenie bezpečnosti sietí**
++
++Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.
++
++* **Nepretržitý bezpečnostný dohľad**
++
++Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT  a rýchlu reakciu v prípade kybernetických hrozieb.
++
++* **Zvýšenie bezpečnosti prístupov**
++
++Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.
++
++* **Testovanie účinnosti bezpečnostných opatrení**
++
++Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.
++
++
  Z pohľadu samotnej implementácie predmetu projektu a jeho jednotlivých častí, medzi prínosy projektu patria:
 . Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):
@@ -233,7 +233,10 @@
  Tabuľka 1 Sumarizácia projektových údajov
--== 3.2 Motivácia a rozsah projektu ==
++1.
++11. (((
++=== 3.2 Motivácia a rozsah projektu ===
++)))
  MPRV SR ako správca ITVS a prevádzkovateľ základnej služby je povinný zabezpečiť požadovanú úroveň kybernetickej bezpečnosti informačných systémov naviazaných na poskytovanie základnej služby a celej infraštruktúry IT MPRV SR v súlade platnými všeobecne záväznými právnymi predpismi pre túto oblasť a zabezpečiť ochranu spracúvaných informácií voči kybernetickým hrozbám v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 69/2018 Z. z.“).
@@ -245,17 +245,22 @@
  Implementovanie navrhovaných technických opatrení v prostredí MPRV SR je kľúčové pre zabezpečenie IB a KB a ochranu pred kybernetickými hrozbami pre prevádzkované informačné technológie MPRV SR. Realizáciou projektu dôjde k zvýšeniu úrovne KB a IB v nasledujúcich oblastiach:
--* Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu.
--* Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony.
--* Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty.
--* Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov.
--* Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase.
--* Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti.
++*
++**
++*** Rýchlejšia detekcia a reakcia na kybernetické hrozby. Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu prevádzkových záznamov, monitorovanie udalostí a upozornení a automatizáciu procesov pre rýchlejšiu identifikáciu a minimalizovanie možného dopadu kybernetických hrozieb a vzniku kybernetického bezpečnostného incidentu.
++*** Integrácia a efektívne využívanie nových technológii umožní rýchlejšie a presnejšie identifikovať kybernetické hrozby a kybernetické bezpečnostné incidenty a zároveň znížiť manuálne úkony.
++*** Posilnenie spolupráce medzi organizačnými útvarmi MPRV SR a zainteresovanými stranami, prevádzky IT a vedenia, aby sa lepšie zdieľali informácie o kybernetických hrozbách, možných dopadoch, prijatých opatreniach a koordinovali sa reakcie na kybernetické bezpečnostné incidenty.
++*** Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných počas detekcie a riešenia kybernetických bezpečnostných incidentov, implementáciou nástrojov a overovaním znalostného povedomia zamestnancov.
++*** Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať riadenie kybernetickej a informačnej bezpečnosti a prijímanie opatrení v čo najkratšom čase.
++*** Zabezpečenie, aby činnosti v oblasti KB a IB boli v súlade s platnými všeobecne záväznými právnymi predpismi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej a informačnej bezpečnosti.
  Implementáciou projektu „Technické opatrenia na zvýšenie úrovne kybernetickej bezpečnosti“ informačných technológií v správe MPRV SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MPRV SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB.
--== 3.3 Zainteresované strany/Stakeholderi ==
++1.
++11. (((
++=== 3.3 Zainteresované strany/Stakeholderi ===
++)))
  |ID|AKTÉR / STAKEHOLDER|(((
  SUBJEKT
@@ -303,7 +303,10 @@
  Tabuľka 3 Zainteresované strany
--== 3.4 Ciele projektu ==
++1.
++11. (((
++=== 3.4 Ciele projektu ===
++)))
  Hlavným cieľom projektu je zabezpečenie vyššej úrovne kybernetickej a informačnej bezpečnosti v MPRV SR, najmä vo zvýšení odolnosti voči kybernetickým bezpečnostným incidentom a najmä efektívne riadenie celého životného cyklu identifikovaných kybernetických bezpečnostných incidentov. Všeobecnými cieľmi preto sú:
@@ -328,7 +328,10 @@
  Tabuľka 4 Ciele projektu
--== 3.5 Merateľné ukazovatele (KPI) ==
++1.
++11. (((
++=== 3.5 Merateľné ukazovatele (KPI) ===
++)))
  |ID|ID/Názov cieľa|Názov
  ukazovateľa (KPI)|Popis
@@ -358,7 +358,10 @@
  Tabuľka 5 Merateľné ukazovatele
--== 3.6 Špecifikácia potrieb koncového používateľa ==
++1.
++11. (((
++=== 3.6 Špecifikácia potrieb koncového používateľa ===
++)))
  Predmetom projektu nie je vývoj ani rozvoj informačných systémov verejnej správy (ISVS) či elektronických služieb s grafickým alebo iným používateľským rozhraním, ktoré by boli určené pre občanov, podnikateľov alebo koncových používateľov. MPRV SR má povinnosť ako správca informačného systému verejnej správy zabezpečiť kybernetickú a informačnú bezpečnosť. Pre koncových používateľov je dôležité, aby boli poskytované služby  bezpečné a dostupné.
@@ -367,12 +367,18 @@
  Je však potrebné uviesť, že z pohľadu špecifikácie potrieb koncového používateľa, v tomto prípade je primárnym koncovým používateľom administrátor IT, manažér KB, sekundárne zamestnanci MPRV SR a terciárne FO/PO ako subjekty využívajúce poskytované služby ISVS, je elementárnou potrebou zabezpečiť minimalizovanie výpadkov prevádzky ISVS z dôvodu kybernetických útokov.
--== 3.7 Riziká a závislosti ==
++1.
++11. (((
++=== 3.7 Riziká a závislosti ===
++)))
  Zoznam rizík a závislostí je špecifikovaný v samostatnej prílohe **I-02 Zoznam rizík a závislostí, **ktorá je neoddeliteľnou súčasťou tohto projektového zámeru. Zoznam rizík a závislostí bude počas aktualizovaný počas celej realizačnej etapy projektu.
--== 3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==
++1.
++11. (((
++=== 3.8 Stanovenie alternatív v biznisovej vrstve architektúry ===
++)))
  V rámci biznisovej vrstvy architektúry sme analyzovali tri varianty riešenia súčasného stavu. Na základe rozsahu problému identifikovaného v projektovom zámere boli navrhnuté tri alternatívne prístupy. Ako najefektívnejšia bola zvolená Alternatíva č. 2, ktorá komplexne pokrýva všetky procesy a požiadavky zainteresovaných strán (stakeholderov) a poskytuje ucelené riešenie celej životnej situácie. Nižšie sa nachádzajú alternatívy, ktoré reflektujú hlavné ciele a motiváciu pre realizáciu projektu v zmysle jednotlivých aspektov uvedených v rámci motivačnej architektúry. Vo všeobecnosti sú pre všetky vrstvy možné nasledovné všeobecné alternatívy:
@@ -380,18 +380,29 @@
  * **Alternatíva 2:** Implementácia navrhovaných technických opatrení,
  * **Alternatíva 3:** Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení.
++1.
++11.
++111. (((
++==== 3.8.1 Alternatíva 1 – Ponechanie súčasného stavu ====
++)))
--=== 3.8.1 Alternatíva 1 – Ponechanie súčasného stavu ===
--
  Táto alternatíva zahŕňa zachovanie aktuálneho stavu kybernetickej a informačnej bezpečnosti MPRV SR bez prijatia ďalších opatrení. Súčasný stav odráža existujúce bezpečnostné mechanizmy a infraštruktúru, ktoré sú zosúladené s  požiadavkami vyplývajúcimi zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len “zákon č. 95/2019 Z. z. “) a ich rozsah nezodpovedá komplexnému požadovanému rozsahu čo preukázal  zistenými nesúladmi audit kybernetickej bezpečnosti.
  Dôsledky zachovania súčasného stavu:
  * Ponechanie existujúceho stavu by znamenalo naďalej neplnenie zákonných povinností a nesúlad s povinnosťami vyplývajúcimi najmä zo zákona č. 69/2018 Z. z a zákona č. 95/2019 Z. z.
--* Nedostatočná odolnosť voči kybernetickým útokom. Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena.
--* Nezmenené nesúlady. Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT.
--* Zvyšujúce sa náklady v budúcnosti. Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie.
++* Nedostatočná odolnosť voči kybernetickým útokom.
++Súčasné opatrenia by naďalej nezabezpečovali dostatočnú ochranu pred narastajúcimi hrozbami a sofistikovanými kybernetickými útokmi. To zvyšuje riziko narušenia informačných systémov a potenciálnych strát údajov, ekonomických alebo materiálnych škôd, prípadne poškodenie dobrého mena.
++
++* Nezmenené nesúlady
++
++Nesúlady zistené pri audite kybernetickej bezpečnosti by zostali neodstránené. Znamená to, že súčasné bezpečnostné opatrenia sú nedostatočné , čo môže viesť k ďalším problémom pri správe a prevádzke IT.
++
++* Zvyšujúce sa náklady v budúcnosti
++
++Ignorovanie súčasného nedostatočného pokrytia bezpečnostnými opatreniami môže viesť k závažnejším kybernetickým bezpečnostným incidentom, ktorých riešenie bude nákladnejšie a časovo náročnejšie.
++
  **Výhody:**
  * Nulové počiatočné investície
@@ -404,58 +404,110 @@
  * Nesplnenie zákonných povinností, čo môže viesť k sankciám.
  * Negatívny vplyv na reputáciu MPRV SR v prípade vzniku a medializácie kybernetického bezpečnostného incidentu alebo úniku dát.
++1.
++11.
++111. (((
++==== 3.8.2 Alternatíva 2 – Implementácia navrhovaných technických opatrení ====
++)))
--=== 3.8.2 Alternatíva 2 – Implementácia navrhovaných technických opatrení ===
--
  Táto alternatíva predstavuje systémové a komplexné riešenie zamerané na implementáciu moderných technických opatrení, ktoré zvýšia úroveň kybernetickej a informačnej bezpečnosti MPRV SR. Ide o riešenie, ktoré zahŕňa zavedenie pokročilých technológií, ako je systém na správu prevádzkových záznamov (Log manažment), SIEM (Security Information and Event Management) pre identifikovanie a analyzovanie bezpečnostných udalostí, Vulnerability scanner na detekciu zraniteľností, implementáciu firewallov, riešenia pre správu mobilných zariadení (MDM), dvojfaktorovej autentifikácie a iných ochranných technológií.
  Zmena stavu dôsledkom implementácie navrhovaných technických opatrení:
--* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť. Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti.
--* Zvýšená odolnosť proti kybernetickým útokom. Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov.
--* Zvýšená bezpečnosť dát a infraštruktúry. Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu  údajov.
++* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť
++Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti.
++
++* Zvýšená odolnosť proti kybernetickým útokom
++
++Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov.
++
++* Zvýšená bezpečnosť dát a infraštruktúry
++
++Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí novými firewallmi (NGFW) s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu  údajov.
++
  **Výhody:**
--* Zvýšenie bezpečnosti infraštruktúry. Komplexné technické riešenie prinesie vysokú úroveň ochrany.
--* Prevencia pred kybernetickými bezpečnostnými incidentmi. Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
--* Dlhodobé úspory. Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
++* Zvýšenie bezpečnosti infraštruktúry
++Komplexné technické riešenie prinesie vysokú úroveň ochrany.
++* Prevencia pred kybernetickými bezpečnostnými incidentmi
++
++Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
++
++* Dlhodobé úspory
++
++Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
++
++
  **Nevýhody:**
--* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
--* Dlhšie implementačné obdobie. Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
++* Vyššie počiatočné investície
++Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
--=== 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ===
++* Dlhšie implementačné obdobie
++Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
++
++
++1.
++11.
++111. (((
++==== 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ====
++)))
++
  Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MPRV SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá.
  Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení:
--* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR.
--* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
--* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
++* Čiastočné zlepšenie kybernetickej bezpečnosti
++Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MPRV SR.
++
++* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti
++
++Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
++
++* Obmedzené zlepšenie odolnosti proti kybernetickým útokom
++
++Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
++
  **Výhody:**
--* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
--* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
++* Nižšie náklady na implementáciu
++Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MPRV SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
++
++* Rýchlejšia implementácia niektorých opatrení
++
++Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
++
  **Nevýhody:**
--* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
--* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
--* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++* Nízka efektivita v dlhodobom horizonte
++Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
++* Riziko neefektívnosti
++
++OpenSource riešenia nemusia byť komplexné, dostatočne  spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
++
++* Nesplnenie zákonných povinností
++
++Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
++
++
  [[image:Obrázok 1 Alternatívy riešenia.png||alt="Obrázok 1 Alternatívy riešenia"]]
  Obrázok 1 Alternatívy riešenia
--== 3.9 Multikriteriálna analýza ==
++1.
++11. (((
++=== 3.9 Multikriteriálna analýza ===
++)))
  V nadväznosti na rozpracovanie alternatív v kapitole 3.8 Stanovenie alternatív v biznisovej vrstve architektúry sa multikriteriálna analýza redukuje na dva základné parametre:
@@ -465,18 +465,24 @@
  Z možných a logických riešení zabezpečujúcich komplexné požiadavky na zvýšenie úrovne kybernetickej bezpečnosti a informačnej bezpečnosti, časový horizont a minimalizáciu rizík považujeme Alterantívu 2 ako najvýhodnejšiu, dlhodobo udržateľnú a racionálnu alternatívu.
--== 3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==
++1.
++11. (((
++=== 3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ===
++)))
  Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
--== 3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
++1.
++11. (((
++=== 3.11 Stanovenie alternatív v technologickej vrstve architektúry ===
++)))
  Požiadavky na technológie, prostredníctvom ktorých sa naplnia ciele projektu, sú definované všeobecne a to tak, aby na naplnenie požiadaviek bolo možné použiť technické a programové prostriedky bežne dostupné na relevantnom trhu bez konkrétnych špecifických pre daný prípad jedinečných požiadaviek.
--(((
--= 4. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
++1. (((
++== 4. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) ==
  )))
  V rámci projektu budú požadované nasledovné výstupy projektu:
@@ -1214,6 +1214,7 @@
  * API prístup - Poskytuje REST API na integráciu s externými aplikáciami a systémami.
  * Integrácia s existujúcimi systémami - Podporuje integráciu s existujúcimi systémami správy identity, bezpečnosti a IT služieb.
++
 .
 .
 .
@@ -1322,7 +1322,7 @@
 .
 .
 . (((
--==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ====
++==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ====
  )))
  Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.
@@ -1945,6 +1945,7 @@
 . I-04 - Katalóg požiadaviek
  )))
++
  ----
  [[~[1~]>>path:#_ftnref1]] Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?