Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Naposledy upravil Ján Segéň 2025/03/11 09:50

From 12.1 to 11.1 From 15.1 to 14.1

Z verzie 14.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 12.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -231,7 +231,7 @@
  Tabuľka 1 Sumarizácia projektových údajov
--== 3.2 Motivácia a rozsah projektu ==
++== 3.2 Motivácia a rozsah projektu ==
  MPRV SR ako správca ITVS a prevádzkovateľ základnej služby je povinný zabezpečiť požadovanú úroveň kybernetickej bezpečnosti informačných systémov naviazaných na poskytovanie základnej služby a celej infraštruktúry IT MPRV SR v súlade platnými všeobecne záväznými právnymi predpismi pre túto oblasť a zabezpečiť ochranu spracúvaných informácií voči kybernetickým hrozbám v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov (ďalej len „zákon č. 69/2018 Z. z.“).
@@ -253,7 +253,7 @@
  Implementáciou projektu „Technické opatrenia na zvýšenie úrovne kybernetickej bezpečnosti“ informačných technológií v správe MPRV SR dôjde k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany MPRV SR pred potenciálnymi kybernetickými útokmi v porovnaní s aktuálnym stavom a výstupom/výsledkom auditu KB.
--== 3.3 Zainteresované strany/Stakeholderi ==
++== 3.3 Zainteresované strany/Stakeholderi ==
  |ID|AKTÉR / STAKEHOLDER|(((
  SUBJEKT
@@ -487,6 +487,7 @@
  ** Záverečná správa z pravidelného auditu KB
  ** Záverečná správa z mimoriadneho auditu KB v prípadoch podľa
++
  (((
  = 5. NÁHĽAD ARCHITEKTÚRY =
  )))
@@ -703,6 +703,7 @@
  * Licencia musí obsahovať možnosť zbierať všetky typy výrobcom podporovaných zdrojov udalostí a vlastných proprietárnych logov.
  * Primárne licencie riešenia LM musia byť vlastníctvom MPRV SR a nesmú mať formu predplatného
++
 .2.1.1.2 Security Information and Event Management - SIEM
  Povinnosť nástroja na vyhodnocovanie a analýzu prevádzkových záznamov vyplýva pre prevádzkovateľa základnej služby najmä z § 11, § 15 a § 17 vyhlášky č. 326/2018 Z. z. Ide o analytický nástroj na vyhodnocovanie a analýzu prevádzkových záznamov zhromaždených systémom správy prevádzkových záznamov v centrálnom úložisku, log manažmentom. MPRV SR má v testovacej prevádzke Open Source riešenie Wazuh.
@@ -758,6 +758,7 @@
  * obsahovať primárne licencie k riešeniu SIEM, ktorých vlastníkom bude MPRV SR a nesmú mať formu predplatného,
  * Pri zbere a spracovaní logov nesmie v prípade prekročenia licenčného limitu dôjsť ku strate udalostí a ich nespracovaniu, t. j. SIEM nesmie technicky limitovať počet udalostí, aby nedošlo k ich zahodeniu.
++
  ==== 5.2.1.2 Vulnerability manažment ====
  Implementácia nástroja na detegovanie existujúcich zraniteľností bude súčasťou manažmentu zraniteľností (Vulnerability management – ďalej ako „VM“), ktoré zabezpečí správu zraniteľností čo je nepretržitý, proaktívny a často automatizovaný proces, ktorý chráni informačné systémy a siete pred kybernetickými útokmi a únikmi údajov. Ako taký je dôležitou súčasťou celkového bezpečnostného portfólia. Identifikáciou, hodnotením a riešením potenciálnych bezpečnostných slabín môže pomôcť MPRV SR predchádzať útokom a minimalizovať škody, ak dôjde ku kybernetickému bezpečnostnému incidentu.
@@ -953,6 +953,7 @@
  ** Poskytuje informačný panel, ktorý obsahuje šablóny, ktoré sú tematicky zamerané na rôzne cieľové skupiny, štandardy súladu a bezpečnostné kontroly.
  ** Poskytuje prispôsobiteľné možnosti rozloženia a formátovania dashboardu.
++
 .2.1.3 Sieťová a komunikačná bezpečnosť
  Sieťový firewall je kľúčovým prvkom kybernetickej bezpečnosti v informačných technológiách. Tento bezpečnostný nástroj je navrhnutý na sledovanie a riadenie toku dát medzi rôznymi sieťovými zariadeniami. Jeho hlavným účelom je chrániť sieť pred neoprávneným prístupom, monitorovať sieťovú prevádzku a filtrovať nebezpečnú alebo neautorizovanú komunikáciu. Implementácia sieťových firewalov vyplýva MPRV SR najmä z § 12 vyhlášky č. 362/2018 Z. z. a z § 20 ods. 3 písm. h) zákona č. 69/2018 Z. z. MPRV SR má aktuálne túto povinnosť splnenú avšak pre súčasné firewally končí ku dňu 7.3.2025 technická podpora (EoL – End of Life) bez možnosti prolongácie tohto termínu a preto bola aj výmena týchto zariadení zaradená do predmetu projektu.
@@ -978,73 +978,93 @@
  * Podpora DSL WAN
  * Zabudovaný dedikovaný procesor pre spracovanie TLS 1.3 komunikácie bez dopadu na výkon zariadenia
  * Výkonnostné parametre:
--** Min. priepustnosť firewallu 58 Gbps
--** Min. priepustnosť firewallu pri IMIX 27 Gbps
--** Min. priepustnosť firewallu pri NGFW nasadení (IPS, App. filter, HTTP komunikácia) 12 Gbps
--** Min. počet konkurenčných spojení 13,7 mil.
--** Min. počet nových spojení za sekundu 255 tis.
--** Min. IPSec VPN priepustnosť 31 Gbps
++
++* Min. priepustnosť firewallu 58 Gbps
++* Min. priepustnosť firewallu pri IMIX 27 Gbps
++* Min. priepustnosť firewallu pri NGFW nasadení (IPS, App. filter, HTTP komunikácia) 12 Gbps
++* Min. počet konkurenčných spojení 13,7 mil.
++* Min. počet nových spojení za sekundu 255 tis.
++* Min. IPSec VPN priepustnosť 31 Gbps
++
  * L2 funkcionalita:
--** Podpora IEEE 802.1q, 802.3ad
--** Podpora VLAN
--** Podpora transparentného režimu
++
++* Podpora IEEE 802.1q, 802.3ad
++* Podpora VLAN
++* Podpora transparentného režimu
++
  * L3 funkcionalita:
--** Podpora statického smerovania, Policy Routing IPv4/IPv6, OSPFv3 a BGP
--** Podpora PIM-SM
--** Podpora NAT44, NAT46, NAT64, NAT66. Podpora dynamického aj statického NAT na úrovni TCP/UDP portov
++
++* Podpora statického smerovania, Policy Routing IPv4/IPv6, OSPFv3 a BGP
++* Podpora PIM-SM
++* Podpora NAT44, NAT46, NAT64, NAT66. Podpora dynamického aj statického NAT na úrovni TCP/UDP portov
++
  * VPN:
--** Podpora min. IPSec VPN, SSL VPN a L2TP VPN
--** Podpora SSL VPN v režime Site-to-Site a Client-to-Site
--** Podpora bezklientského SSL VPN cez HTML5
++
++* Podpora min. IPSec VPN, SSL VPN a L2TP VPN
++* Podpora SSL VPN v režime Site-to-Site a Client-to-Site
++* Podpora bezklientského SSL VPN cez HTML5
++
  * Bezpečnosť:
--** Podpora IPv6 a filtrovanie IPv6 prevádzky
--** Dešifrovanie SSL/TLS spojení v zabudovanom HW module
--** Podpora inšpekcie min. týchto protokolov – FTP, HTTP/S, SMTP
--** Ochrana proti IP Spoofing
--** Podpora „identity-based“ firewall spolu s Windows AD alebo LDAP
--** Filtrovanie na základe geolokácie, objektov a bezpečnostných zón
--** Podpora aplikačnej inšpekcie a rozpoznávania min. 3000 rôznych aplikácií. Definície nových aplikácií sú dostupné bezplatne počas trvania podpory
--** Automatické vyhodnocovanie a upozornenie na potenciálne nebezpečné správanie používateľa
--** Podpora dvojfaktorového overovania/autentizácie
--** Podpora sandbox analýzy pre podozrivé súbory
--** Podpora ochrany proti DDoS útokom
++
++* Podpora IPv6 a filtrovanie IPv6 prevádzky
++* Dešifrovanie SSL/TLS spojení v zabudovanom HW module
++* Podpora inšpekcie min. týchto protokolov – FTP, HTTP/S, SMTP
++* Ochrana proti IP Spoofing
++* Podpora „identity-based“ firewall spolu s Windows AD alebo LDAP
++* Filtrovanie na základe geolokácie, objektov a bezpečnostných zón
++* Podpora aplikačnej inšpekcie a rozpoznávania min. 3000 rôznych aplikácií. Definície nových aplikácií sú dostupné bezplatne počas trvania podpory
++* Automatické vyhodnocovanie a upozornenie na potenciálne nebezpečné správanie používateľa
++* Podpora dvojfaktorového overovania/autentizácie
++* Podpora sandbox analýzy pre podozrivé súbory
++* Podpora ochrany proti DDoS útokom
++
  * Manažment:
--** Podpora centrálneho manažmentu cez Cloud, dostupný cez HTTPS s plnohodnotným vyhľadávaním
--** Podpora SNMPv3
--** Podpora NTP a SYSLOG
--** Podpora MS AD, RADIUS, LDAP, TACACS+ a eDirectory
--** Podpora vstavaného nástroja na monitorovanie dátových tokov
--** Pre každé filtrovacie pravidlo uchováva informácie o spojeniach vrátane minimálne IP adries, TCP/UDP portov, používanej aplikácie, navštívenej URL
--** Podpora reportovania, generovanie reportov na časovej báze (napr. denne, týždenne, atď.)
++
++* Podpora centrálneho manažmentu cez Cloud, dostupný cez HTTPS s plnohodnotným vyhľadávaním
++* Podpora SNMPv3
++* Podpora NTP a SYSLOG
++* Podpora MS AD, RADIUS, LDAP, TACACS+ a eDirectory
++* Podpora vstavaného nástroja na monitorovanie dátových tokov
++* Pre každé filtrovacie pravidlo uchováva informácie o spojeniach vrátane minimálne IP adries, TCP/UDP portov, používanej aplikácie, navštívenej URL
++* Podpora reportovania, generovanie reportov na časovej báze (napr. denne, týždenne, atď.)
++
  * Požiadavky na IPS:
--** Podpora IPS politík
--** Rozpoznávanie sieťových útokov alebo neštandardného správania sa činností v sieti od sieťovej až po aplikačnú vrstvu referenčného modelu OSI pre IPv4 aj IPv6
--** Podpora vlastných IPS signatúr
++
++* Podpora IPS politík
++* Rozpoznávanie sieťových útokov alebo neštandardného správania sa činností v sieti od sieťovej až po aplikačnú vrstvu referenčného modelu OSI pre IPv4 aj IPv6
++* Podpora vlastných IPS signatúr
++
  * Požiadavky na URL filtrovanie:
--** Podpora URL filtrovania (min. 20 prednastavených používateľských aktivít) a kategorizácie webov (min. 92 kategórií)
--** Podpora kontroly HTTP a aj HTTPS komunikácie
--** Podpora dešifrovania TLS 1.3 bez dopadu na výkon zariadenia
--** Podpora obmedzovania šírky pásma podľa kategórie, aplikácie, miery nebezpečnosti a používateľa
--** Podpora vytvárania vlastných skupín webov a výnimiek
--** Podpora nastavenia kvót využívania internetu pre používateľov alebo skupiny
++
++* Podpora URL filtrovania (min. 20 prednastavených používateľských aktivít) a kategorizácie webov (min. 92 kategórií)
++* Podpora kontroly HTTP a aj HTTPS komunikácie
++* Podpora dešifrovania TLS 1.3 bez dopadu na výkon zariadenia
++* Podpora obmedzovania šírky pásma podľa kategórie, aplikácie, miery nebezpečnosti a používateľa
++* Podpora vytvárania vlastných skupín webov a výnimiek
++* Podpora nastavenia kvót využívania internetu pre používateľov alebo skupiny
++
  * Ostatné požiadavky:
--** Podpora QoS funkcií – shaping, priority queueing
--** Podpora SD-WAN funkcionality
--** Podpora funkcie Web Application Firewall a reverzného proxy
--** Cloudová analýza podozrivých súborov
--** Zariadenie musí byť kompletne manažovateľné  cez cloud konzolu výrobcu
--** Možnosť ukladania všetkých prevádzkových logov zo zariadenia do cloudovej konzoly výrobcu na min. 30 dní
--** VPN a ZTNA klient pre 500 koncových staníc
--** Všetka spomenutá funkcionalita musí byť plne funkčná, aktualizovaná a licenčne odomknutá pre všetky dodané zariadenia na min. 3 roky
--** Služby technickej a licenčnej podpory od výrobcu na dodané zariadenie, jeho komponenty a programové prostriedky dodávané zo zariadením podľa tejto zákazky, za ktoré sa považujú minimálne:
--*** zabezpečenie sprístupnenia opráv, funkčných a bezpečnostných záplat existujúcich programových prostriedkov,
--*** možnosť update existujúcich programových prostriedkov v dodanej hlavnej verzii vydaním vedľajších verzií, t. j. zmeny alebo opravy ku ktorým došlo v dodanej hlavnej verzii existujúcich programových prostriedkov,
--*** možnosť upgradu/downgradu existujúcich programových prostriedkov v hlavnej verzii, t. j. zmena hlavnej verzie minimálne o 1 vyššia/nižšia, v ktorej došlo k zmene funkcionalít v pôvodnej hlavnej verzii existujúcich programových prostriedkov,
--*** možnosť obrátiť sa na tým technickej podpory pri riešení problémov súvisiacich s prevádzkou a aktualizáciou technických a programových prostriedkov a dosiahnuť ich odstránenie,
--*** zabezpečenie vzdialeného prístupu na umožnenie využívania služieb technickej a licenčnej podpory zariadení a možnosť spravovať licencie na portáli výrobcu zariadení, ak už bol v minulosti takýto prístup udelený, zachovať súčasné používateľské účty a prístupové oprávnenia.
--==== 5.2.1.4 Riadenie prístupov ====
++* Podpora QoS funkcií – shaping, priority queueing
++* Podpora SD-WAN funkcionality
++* Podpora funkcie Web Application Firewall a reverzného proxy
++* Cloudová analýza podozrivých súborov
++* Zariadenie musí byť kompletne manažovateľné  cez cloud konzolu výrobcu
++* Možnosť ukladania všetkých prevádzkových logov zo zariadenia do cloudovej konzoly výrobcu na min. 30 dní
++* VPN a ZTNA klient pre 500 koncových staníc
++* Všetka spomenutá funkcionalita musí byť plne funkčná, aktualizovaná a licenčne odomknutá pre všetky dodané zariadenia na min. 3 roky
++* Služby technickej a licenčnej podpory od výrobcu na dodané zariadenie, jeho komponenty a programové prostriedky dodávané zo zariadením podľa tejto zákazky, za ktoré sa považujú minimálne:
++** zabezpečenie sprístupnenia opráv, funkčných a bezpečnostných záplat existujúcich programových prostriedkov,
++** možnosť update existujúcich programových prostriedkov v dodanej hlavnej verzii vydaním vedľajších verzií, t. j. zmeny alebo opravy ku ktorým došlo v dodanej hlavnej verzii existujúcich programových prostriedkov,
++** možnosť upgradu/downgradu existujúcich programových prostriedkov v hlavnej verzii, t. j. zmena hlavnej verzie minimálne o 1 vyššia/nižšia, v ktorej došlo k zmene funkcionalít v pôvodnej hlavnej verzii existujúcich programových prostriedkov,
++** možnosť obrátiť sa na tým technickej podpory pri riešení problémov súvisiacich s prevádzkou a aktualizáciou technických a programových prostriedkov a dosiahnuť ich odstránenie,
++** zabezpečenie vzdialeného prístupu na umožnenie využívania služieb technickej a licenčnej podpory zariadení a možnosť spravovať licencie na portáli výrobcu zariadení, ak už bol v minulosti takýto prístup udelený, zachovať súčasné používateľské účty a prístupové oprávnenia.
++1.
++11.
++111.
++1111. Riadenie prístupov
++
  Dvojfaktorová autentifikácia, je kľúčovým prvkom kybernetickej bezpečnosti. Tento bezpečnostný postup slúži na zabezpečenie nepovoleného prieniku do IT a je určený na ochranu sietí, elektronických účtov a informačných systémov pred neoprávneným prístupom a manipuláciou. Prioritou MPRV SR je implementácia princípov 2FA, čo znamená vykonanie technických opatrení pre pridanie ďalšej vrstvy zabezpečenia nad tradičným spôsobom prihlasovania prostredníctvom prihlasovacieho mena a prihlasovacieho heslom. V závislosti od používaných technológií v prostredí MPRV SR bude pravdepodobne použitý kombinovaný model s využitím hardvérových tokenov (USB kľúče, smart karty alebo iné hardvérové tokeny) a zamestnanci s prideleným služobným mobilom budú využívať metódu generovania 2FA kódov prostredníctvom určeného programového prostriedku nainštalovaného v služobnom mobilnom telefóne.
@@ -1051,33 +1051,47 @@
  Požiadavky na riešenie 2FA sú takéto:
  * Cieľ riešenia:
--** Posilnenie zabezpečenia prístupov do siete a na vzdialené pripojenia (napr. VPN).
--** Zníženie rizika neautorizovaného prístupu pomocou dvojfaktorového overenia.
--** Využitie NGFW ako centrálneho bodu autentifikácie.
++
++* Posilnenie zabezpečenia prístupov do siete a na vzdialené pripojenia (napr. VPN).
++* Zníženie rizika neautorizovaného prístupu pomocou dvojfaktorového overenia.
++* Využitie NGFW ako centrálneho bodu autentifikácie.
++
  * Typ autentifikácie:
--** 2FA pomocou SMS - posielanie jednorazového hesla (OTP) prostredníctvom SMS na registrované mobilné číslo používateľa.
--** 2FA pomocou mobilnej aplikácie - integrácia s aplikáciou v mobilnom zariadení (telefón), kde používateľ generuje OTP prostredníctvom mobilného zariadenia.
--** Podpora autentifikačných tokenov - možnosť využiť hardvérové tokeny, ak je potrebná dodatočná vrstva bezpečnosti.
++
++* 2FA pomocou SMS - posielanie jednorazového hesla (OTP) prostredníctvom SMS na registrované mobilné číslo používateľa.
++* 2FA pomocou mobilnej aplikácie - integrácia s aplikáciou v mobilnom zariadení (telefón), kde používateľ generuje OTP prostredníctvom mobilného zariadenia.
++* Podpora autentifikačných tokenov - možnosť využiť hardvérové tokeny, ak je potrebná dodatočná vrstva bezpečnosti.
++
  * Integrácia a kompatibilita:
--** LDAP/AD integrácia - synchronizácia s existujúcim LDAP alebo Active Directory pre jednoduchú správu používateľov a ich autentifikáciu.
--** Radius Server – NGFW v režime RADIUS server alebo spolupráca s externým RADIUS serverom na autentifikáciu používateľov.
--** SAML autentifikácia - v prípade, že bude potrebné prepojiť riešenie s cloudovými službami je potrebná na úrovmi NGFW podpora SAML pre jednoduchú a bezpečnú autentifikáciu.
--** Potrebná kompatibilita s NGFW - typ 1 v kapitole 5.2.1.3.
++
++* LDAP/AD integrácia - synchronizácia s existujúcim LDAP alebo Active Directory pre jednoduchú správu používateľov a ich autentifikáciu.
++* Radius Server – NGFW v režime RADIUS server alebo spolupráca s externým RADIUS serverom na autentifikáciu používateľov.
++* SAML autentifikácia - v prípade, že bude potrebné prepojiť riešenie s cloudovými službami je potrebná na úrovmi NGFW podpora SAML pre jednoduchú a bezpečnú autentifikáciu.
++* Potrebná kompatibilita s NGFW - typ 1 v kapitole 5.2.1.3.
++
  * Politiky prístupu:
--** Definícia politiky 2FA pre rôzne skupiny používateľov a služby (napr. pre administratívnych používateľov vyžadovať vždy 2FA, pre ostatných iba na vyžiadanie).
--** Možnosť nastaviť politiku pre „privileged users“ (užívatelia s administrátorským prístupom), kde sa 2FA vyžaduje pri každom prístupe.
--** Rozdielne politiky pre interné a externé prístupy – 2FA môže byť vyžadovaná iba pri prístupe mimo sieť MPRV SR.
++
++* Definícia politiky 2FA pre rôzne skupiny používateľov a služby (napr. pre administratívnych používateľov vyžadovať vždy 2FA, pre ostatných iba na vyžiadanie).
++* Možnosť nastaviť politiku pre „privileged users“ (užívatelia s administrátorským prístupom), kde sa 2FA vyžaduje pri každom prístupe.
++* Rozdielne politiky pre interné a externé prístupy – 2FA môže byť vyžadovaná iba pri prístupe mimo sieť MPRV SR.
++
  * Používateľská prívetivosť a podpora
--** Jednoduchá registrácia a správa tokenov - používateľ by mal mať možnosť jednoducho aktivovať a deaktivovať svoje tokeny.
--** Automatizácia obnovy hesla alebo 2FA nastavení - v prípade, že používateľ stratí prístup k mobilnému zariadeniu, by malo byť možné jednoduché obnovenie prístupov alebo reset tokenu.
--** Riešenie problémov s OTP - v prípade, že 2FA autentifikácia nefunguje správne (napr. OTP neprišlo), zabezpečiť funkčný postup pre obnovu alebo bypass.
++
++* Jednoduchá registrácia a správa tokenov - používateľ by mal mať možnosť jednoducho aktivovať a deaktivovať svoje tokeny.
++* Automatizácia obnovy hesla alebo 2FA nastavení - v prípade, že používateľ stratí prístup k mobilnému zariadeniu, by malo byť možné jednoduché obnovenie prístupov alebo reset tokenu.
++* Riešenie problémov s OTP - v prípade, že 2FA autentifikácia nefunguje správne (napr. OTP neprišlo), zabezpečiť funkčný postup pre obnovu alebo bypass.
++
  * Logovanie a monitorovanie:
--** Povinné logovanie všetkých autentifikačných pokusov a udalostí spojených s 2FA.
--** Možnosť integrácie so SIEM (Security Information and Event Management) systémom pre pokročilú analýzu bezpečnostných udalostí.
--** Nastavenie upozornení pre prípady opakovaných neúspešných autentifikácií alebo podozrivých pokusov o prihlásenie.
--5.2.1.5 Bezpečnosť pri prevádzke informačných systémov a sietí
++* Povinné logovanie všetkých autentifikačných pokusov a udalostí spojených s 2FA.
++* Možnosť integrácie so SIEM (Security Information and Event Management) systémom pre pokročilú analýzu bezpečnostných udalostí.
++* Nastavenie upozornení pre prípady opakovaných neúspešných autentifikácií alebo podozrivých pokusov o prihlásenie.
++1.
++11.
++111.
++1111. Bezpečnosť pri prevádzke informačných systémov a sietí
++
  Nástroj na správu mobilných zariadení (MDM - Mobile Device Management), je komplexný nástroj, ktorý integruje správu prístupu, aplikácií a viacplatformovú správu koncových bodov. Určený je na centrálnu správu mobilných zariadení, ktorými sú primárne služobné smartfóny a tablety. Správa prenosných počítačov nie je aktuálne primárnym cieľom implementácie, ale ich zaradenie do správy mobilných zariadení v budúcnosti nie je vylúčená. Nástroj má umožniť správcom IT nastavenie politík ochrany mobilného zariadenia, monitorovať ich stav, integrovať ich do infraštruktúry, vzdialene ich konfigurovať a v prípade potreby ich zablokovať alebo celkom vymazať.
@@ -1084,32 +1084,45 @@
  Kľúčové požiadavky na vlastnosti správy mobilných zariadení sú takéto:
  * Správa zariadení (Device Management):
--** Registrácia a konfigurácia zariadení - Umožňuje jednoduchú registráciu a konfiguráciu rôznych typov zariadení vrátane smartfónov, tabletov a prenosných počítačov.
--** Monitorovanie súladu (Compliance Monitoring) - zabezpečuje, že všetky zariadenia spĺňajú firemné bezpečnostné politiky a poskytuje upozornenia pri nesúlade.
--** Vzdialená správa a podpora - Poskytuje nástroje na vzdialené riešenie problémov a podporu zariadení.
++
++* Registrácia a konfigurácia zariadení - Umožňuje jednoduchú registráciu a konfiguráciu rôznych typov zariadení vrátane smartfónov, tabletov a prenosných počítačov.
++* Monitorovanie súladu (Compliance Monitoring) - zabezpečuje, že všetky zariadenia spĺňajú firemné bezpečnostné politiky a poskytuje upozornenia pri nesúlade.
++* Vzdialená správa a podpora - Poskytuje nástroje na vzdialené riešenie problémov a podporu zariadení.
++
  * Správa aplikácií (Application Management):
--** Katalóg aplikácií - Centralizovaný katalóg aplikácií, ktorý umožňuje používateľom prístup a inštaláciu schválených aplikácií.
--** „Zabalenie“ a kontajnerizácia aplikácií – Možnosť izolovania MPRV povolených aplikácií od osobných dát na zariadeniach.
--** Distribúcia aplikácií - Podporuje nasadenie aplikácií prostredníctvom natívnej inštalácie, virtuálnych aplikácií a webových aplikácií.
--** Analytika aplikácií - Poskytuje prehľady o používaní a výkone aplikácií.
++
++* Katalóg aplikácií - Centralizovaný katalóg aplikácií, ktorý umožňuje používateľom prístup a inštaláciu schválených aplikácií.
++* „Zabalenie“ a kontajnerizácia aplikácií – Možnosť izolovania MPRV povolených aplikácií od osobných dát na zariadeniach.
++* Distribúcia aplikácií - Podporuje nasadenie aplikácií prostredníctvom natívnej inštalácie, virtuálnych aplikácií a webových aplikácií.
++* Analytika aplikácií - Poskytuje prehľady o používaní a výkone aplikácií.
++
  * Správa identity a prístupu (Identity and Access Management):
--** Jednotné prihlásenie (Single Sign-On – SSO) - Umožňuje používateľom prístup k viacerým aplikáciám s jednou sadou prihlasovacích údajov.
--** Viacfaktorová autentifikácia (Multi-Factor Authentication – MFA) - Pridáva ďalšiu vrstvu bezpečnosti vyžadovaním viacerých metód overenia identity.
--** Podmienený prístup (Conditional Access) - Zabezpečuje, že prístup k aplikáciám je povolený na základe vopred definovaných podmienok, ako je súlad zariadenia a poloha používateľa.
--** Federácia identity - Integruje sa s existujúcimi poskytovateľmi identity na zjednodušenie autentifikácie a správy prístupu.
++
++* Jednotné prihlásenie (Single Sign-On – SSO) - Umožňuje používateľom prístup k viacerým aplikáciám s jednou sadou prihlasovacích údajov.
++* Viacfaktorová autentifikácia (Multi-Factor Authentication – MFA) - Pridáva ďalšiu vrstvu bezpečnosti vyžadovaním viacerých metód overenia identity.
++* Podmienený prístup (Conditional Access) - Zabezpečuje, že prístup k aplikáciám je povolený na základe vopred definovaných podmienok, ako je súlad zariadenia a poloha používateľa.
++* Federácia identity - Integruje sa s existujúcimi poskytovateľmi identity na zjednodušenie autentifikácie a správy prístupu.
++
  * Bezpečnosť a súlad (Security and Compliance):
--** Šifrovanie dát - Zabezpečuje šifrovanie dát v pokoji aj počas prenosu.
--** Detekcia hrozieb - Poskytuje nástroje na detekciu a reakciu na bezpečnostné hrozby v reálnom čase.
--** Správa politiky - Umožňuje definovať a vynucovať bezpečnostné politiky pre zariadenia a aplikácie.
--* Analytika a automatizácia (Analytics and Automation):
--** Prehľady a reporty - Poskytuje detailné prehľady o zariadeniach, aplikáciách a používateľoch.
--** Automatizácia úloh - Umožňuje automatizovať rutinné úlohy, ako je nasadenie aplikácií a aktualizácie softvéru.
++
++* Šifrovanie dát - Zabezpečuje šifrovanie dát v pokoji aj počas prenosu.
++* Detekcia hrozieb - Poskytuje nástroje na detekciu a reakciu na bezpečnostné hrozby v reálnom čase.
++* Správa politiky - Umožňuje definovať a vynucovať bezpečnostné politiky pre zariadenia a aplikácie.
++
++* 5. Analytika a automatizácia (Analytics and Automation):
++
++* Prehľady a reporty - Poskytuje detailné prehľady o zariadeniach, aplikáciách a používateľoch.
++* Automatizácia úloh - Umožňuje automatizovať rutinné úlohy, ako je nasadenie aplikácií a aktualizácie softvéru.
++
  * Integrácia a rozšíriteľnosť (Integration and Extensibility):
--** API prístup - Poskytuje REST API na integráciu s externými aplikáciami a systémami.
--** Integrácia s existujúcimi systémami - Podporuje integráciu s existujúcimi systémami správy identity, bezpečnosti a IT služieb.
++* API prístup - Poskytuje REST API na integráciu s externými aplikáciami a systémami.
++* Integrácia s existujúcimi systémami - Podporuje integráciu s existujúcimi systémami správy identity, bezpečnosti a IT služieb.
--==== 5.2.1.6 Bezpečnostné testovanie ====
++1.
++11.
++111.
++1111. Bezpečnostné testovanie
  Kvalitu prijatých bezpečnostných opatrení a technického zabezpečenia IT MPRV SR je potrebné overovať a to vykonávaním pravidelného testovania. V rámci tejto časti procesu kybernetickej ochrany plánuje vykonávať pravidelne penetračné a phishingové testovanie.
@@ -1140,7 +1140,10 @@
  Bezpečnostné testovanie bude realizované minimálne jedenkrát za rok. MPRV v rámci projektu predpokladá realizáciu týchto testov v záverečnej fáze projektu formou služby, ktorá bude vyčíslená ako náklad projektu za účelom overenia implementovaných procesov a riešení.
--5.2.1.7 Zavedenie služby SOC (SOCaaS)
++1.
++11.
++111.
++1111. Zavedenie služby SOC (SOCaaS)
  Požaduje sa zabezpečenie služby SOC od externého subjektu v režime dohľadu 8/5 vrátane podpory riešenia kybernetických bezpečnostných incidentov. Režim 8/5 je podmienený aktuálnym stavom kapacít v rámci MPRV. MPRV nedokáže v súčasnosti disponovať takými personálnymi zdrojmi, ktoré by boli schopné poskytovateľovi služby SOC v režime 24/7, poskytovať adekvátnu súčinnosť pri riešení kybernetických bezpečnostných incidentov 24/7 a tým pádom by bola služba v takomto režime aj finančne neefektívna. Riešenie služby SOC v režime 24/7 bude predmetom ďalšieho rozvoja v budúcnosti. Požadované je aj zladenie interných procesov riešenia kybernetických bezpečnostných incidentov (internej smernice) s procesmi SOC.
@@ -1173,53 +1173,89 @@
  MPRV SR za SOC as a Service predpokladá vyčíslenie nákladov na obdobie 12 mesiacov.
--== 5.3 Prehľad e-Government komponentov ==
++1.
++11. (((
++=== 5.3 Prehľad e-Government komponentov ===
++)))
  Súčasťou projekt nie je budovanie žiadneho e-Governmentového komponentu.
--=== 5.3.1 Prehľad koncových služieb – budúci stav: ===
++1.
++11.
++111. (((
++==== 5.3.1 Prehľad koncových služieb – budúci stav: ====
++)))
  Výstupom projektu nie sú žiadne koncové služby.
--=== 5.3.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===
++1.
++11.
++111. (((
++==== 5.3.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ====
++)))
  Výstupom projektu nie sú budované alebo rozvíjané žiadne ISVS.
--=== 5.3.3 Prehľad budovaných aplikačných služieb – budúci stav: ===
++1.
++11.
++111. (((
++==== 5.3.3 Prehľad budovaných aplikačných služieb – budúci stav: ====
++)))
  Výstupom projektu nie sú žiadne aplikačné služby.
--=== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ===
++1.
++11.
++111. (((
++==== 5.3.4 Prehľad integrácii ISVS na spoločné ISVS[[(% class="wikiinternallink wikiinternallink wikiinternallink wikiinternallink wikiinternallink" %)^^**~[2~]**^^>>path:#_ftn2]](%%) a ISVS iných orgánov verejne správy alebo IS tretích strán ====
++)))
  Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.
--=== 5.3.5 Aplikačné služby na integráciu ===
++1.
++11.
++111. (((
++==== 5.3.5 Aplikačné služby na integráciu ====
++)))
  Výstupom projektu nie sú žiadne aplikačné služby a zároveň výstup projektu nebude mať dopad na aktuálnu, už využívanú a fungujúcu integráciu.
--=== 5.3.6 Poskytovanie údajov z ISVS do IS CPDI ===
++1.
++11.
++111. (((
++==== 5.3.6 Poskytovanie údajov z ISVS do IS CPDI ====
++)))
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu poskytovania údajov v porovnaní s aktuálnym stavom.// //
--=== 5.3.7 Konzumovanie údajov z IS CPDI ===
++1.
++11.
++111. (((
++==== 5.3.7 Konzumovanie údajov z IS CPDI ====
++)))
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu konzumovania údajov z IS CPDI v porovnaní s aktuálnym stavom.// //
--=== 5.3.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===
++1.
++11.
++111. (((
++==== 5.3.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ====
++)))
++
  Vzhľadom na charakter projektu nemá výstup projektu dopad na aktuálne využívanie infraštruktúrnych služieb.
--(((
--= 6. LEGISLATÍVA =
++1. (((
++== 6. LEGISLATÍVA ==
  )))
  Projekt nevyžaduje úpravy všeobecne záväzných právnych predpisov na dosiahnutie stanovených cieľov a dodanie výstupov. V tejto časti sú uvedené všeobecne záväzné právne predpisy týkajúce sa informačných technológií vo verejnej správe, pričom zoznam nezahŕňa usmernenia a technické normy. Projekt sa bude riadiť aktuálne platnými právnymi predpismi, nariadeniami a ďalšími relevantnými právnymi normami.
@@ -1232,9 +1232,8 @@
  * SMERNICA EURÓPSKEHO PARLAMENTU A RADY (EÚ) 2022/2555 zo 14. decembra 2022 o opatreniach na zabezpečenie vysokej spoločnej úrovne kybernetickej bezpečnosti v Únii, ktorou sa mení nariadenie (EÚ) č. 910/2014 a smernica (EÚ) 2018/1972 a zrušuje smernica (EÚ) 2016/1148 (NIS 2)
  * Zákon č. 18/2018 Z. z. o ochrane osobných údajov v znení neskorších predpisov
--
--(((
--= 7. ROZPOČET A PRÍNOSY =
++1. (((
++== 7. ROZPOČET A PRÍNOSY ==
  )))
   Rozpočet a vypočítané prínosy sú súčasťou samostatného dokumentu **M-05 Analýza nákladov a prínosov (CBA - Cost Benefit Analysis)**  v predpísanej štruktúrovanej forme a v zmysle metodického pokynu k vypracovaniu CBA pre projekty nad 1milión EUR. Tento dokument je vyhotovený v tabuľkovom formáte  a obsahuje podrobné prepočty nákladov a očakávaných prínosov projektu.
@@ -1245,27 +1245,45 @@
  Ako podklad pre prínosy projektu bolo zohľadnených niekoľko aspektov, ktoré súvisia s **finančnými a reputačnými rizikami kybernetických útokov, **avšak pre výpočet prínosov projektu boli brané do úvahy len náklady spojené so stratami spôsobených prerušeniami činností.
--1. **Finančné dôsledky kybernetického útoku**. Kybernetické útoky môžu viesť k významným finančným stratám pre MPRV SR, ktoré môžu zahŕňať:
--11. **Straty spôsobené prerušeniami činnosti** vrátane výpadkov základných služieb a nákladov spojených s obnovou prevádzky boli použité na výpočet  Pre vypočítanie prínosov projektu boli použité nasledovné premenné:
--111. Počet zamestnancov MPRV SR = 470
--111. Počet zamestnancov na dohodu MPRV SR = 100
--111. Priemerná mesačná hrubá mzda vo verejnej správe za 1.Q. a 1.Q. 2024 (prvý 6 mesiacov roku 2024 mal fond pracovného času spolu 990 hodín pri 7,5 hodinovom úväzku) je vo výške 2 048,50 €
--111. Priemerná hodinová mzda vo verejnej správe za 1.Q. a 1.Q. 2024 ((6 mesiacov roku 2024 x 2 048,50 €) / 990 fond pracovného času za prvých 6 mesiacov roku 2024) 12,42 €
--111. Celkový ročný predpokladaný výpadok služieb MPRV SR = 10 pracovných dní
--111. Sumár predpokladaných nákladov prenesených do **prínosov projektu je 530 955,00 €** ((470 + 100) x (10 x 7,5) x 12,42). Do prínosov projektu neboli započítané náklady spojené s odstránením vzniknutej situácie, práca nad rámec fondu pracovného času a rovnako neboli počítané náklady spojené s dopracovaním úloh za obdobie výpadku, čo môže tak isto viesť k zvýšenej miere prácnosti nad rámec fondu pracovného času. Vypočítané prínosy projektu sú zakomponované do Analýzy nákladov a prínosov.
--11. **Sankcie vyplývajúce z legislatívy** ako sú napríklad pokuty za nedodržiavanie zákona o kybernetickej bezpečnosti alebo GDPR, najmä v prípade úniku osobných údajov.
--11. **Náklady na súdne spory**, potenciálne právne konania zo strany dotknutých osôb alebo inštitúcií.
--11. **Náklady na sanáciu incidentov** vrátane forenzných analýz, obnovy systémov, implementácie nových bezpečnostných opatrení a následného testovania. Finančné dôsledky kybernetického útoku a dopady pre body 1.b), 1.c) a 1.d)  sú vopred ťažko kvantifikovateľné, no v prípade veľkého kybernetického incidentu môžu niekoľkonásobne presiahnuť aktuálne interné finančné prostriedky dostupné pre MPRV SR. Proaktívne opatrenia na posilnenie kybernetickej bezpečnosti preto predstavujú významnú ochranu pred takýmito finančnými dôsledkami.
--1. **Reputačné riziká, spoločenský a prevádzkový dopad**. Vzhľadom na významné postavenie MPRV SR v oblasti spoločenskej dôležitosti a jeho zákonné povinnosti je reputačné riziko spojené s kybernetickými incidentmi veľmi vysoké. Kľúčové hrozby zahŕňajú:
--11. **Neplnenie legislatívnych požiadaviek** – nedodržanie povinností vyplývajúcich zo zákona o kybernetickej bezpečnosti alebo zákona o ITVS môže ohroziť dôveryhodnosť organizácie.
--11. **Výpadky základných služieb** – akékoľvek prerušenie prevádzky môže narušiť plynulosť poskytovania kľúčových služieb, čo negatívne ovplyvní verejnosť a partnerov.
--11. **Únik citlivých údajov** – strata alebo zneužitie údajov môže mať vážne právne a etické dôsledky.
--11. **Negatívna medializácia** – medializované prípady bezpečnostných incidentov môžu poškodiť povesť MPRV SR, oslabiť dôveru verejnosti a ovplyvniť vzťahy so strategickými partnermi.
++1. **Finančné dôsledky kybernetického útoku**
++Kybernetické útoky môžu viesť k významným finančným stratám pre MPRV SR, ktoré môžu zahŕňať:
++
++1. **Straty spôsobené prerušeniami činnosti** vrátane výpadkov základných služieb a nákladov spojených s obnovou prevádzky boli použité na výpočet  Pre vypočítanie prínosov projektu boli použité nasledovné premenné:
++
++1. Počet zamestnancov MPRV SR = 470
++1. Počet zamestnancov na dohodu MPRV SR = 100
++1. Priemerná mesačná hrubá mzda vo verejnej správe za 1.Q. a 1.Q. 2024 (prvý 6 mesiacov roku 2024 mal fond pracovného času spolu 990 hodín pri 7,5 hodinovom úväzku) je vo výške 2 048,50 €
++1. Priemerná hodinová mzda vo verejnej správe za 1.Q. a 1.Q. 2024 ((6 mesiacov roku 2024 x 2 048,50 €) / 990 fond pracovného času za prvých 6 mesiacov roku 2024) 12,42 €
++1. Celkový ročný predpokladaný výpadok služieb MPRV SR = 10 pracovných dní
++1. Sumár predpokladaných nákladov prenesených do **prínosov projektu je 530 955,00 €** ((470 + 100) x (10 x 7,5) x 12,42)
++
++Do prínosov projektu neboli započítané náklady spojené s odstránením vzniknutej situácie, práca nad rámec fondu pracovného času a rovnako neboli počítané náklady spojené s dopracovaním úloh za obdobie výpadku, čo môže tak isto viesť k zvýšenej miere prácnosti nad rámec fondu pracovného času. Vypočítané prínosy projektu sú zakomponované do Analýzy nákladov a prínosov.
++
++
++1. **Sankcie vyplývajúce z legislatívy** ako sú napríklad pokuty za nedodržiavanie zákona o kybernetickej bezpečnosti alebo GDPR, najmä v prípade úniku osobných údajov.
++1. **Náklady na súdne spory**, potenciálne právne konania zo strany dotknutých osôb alebo inštitúcií.
++1. **Náklady na sanáciu incidentov** vrátane forenzných analýz, obnovy systémov, implementácie nových bezpečnostných opatrení a následného testovania.
++
++Finančné dôsledky kybernetického útoku a dopady pre body 1.b), 1.c) a 1.d)  sú vopred ťažko kvantifikovateľné, no v prípade veľkého kybernetického incidentu môžu niekoľkonásobne presiahnuť aktuálne interné finančné prostriedky dostupné pre MPRV SR. Proaktívne opatrenia na posilnenie kybernetickej bezpečnosti preto predstavujú významnú ochranu pred takýmito finančnými dôsledkami.
++
++
++1. **Reputačné riziká, spoločenský a prevádzkový dopad**
++
++Vzhľadom na významné postavenie MPRV SR v oblasti spoločenskej dôležitosti a jeho zákonné povinnosti je reputačné riziko spojené s kybernetickými incidentmi veľmi vysoké. Kľúčové hrozby zahŕňajú:
++
++1. **Neplnenie legislatívnych požiadaviek** – nedodržanie povinností vyplývajúcich zo zákona o kybernetickej bezpečnosti alebo zákona o ITVS môže ohroziť dôveryhodnosť organizácie.
++1. **Výpadky základných služieb** – akékoľvek prerušenie prevádzky môže narušiť plynulosť poskytovania kľúčových služieb, čo negatívne ovplyvní verejnosť a partnerov.
++1. **Únik citlivých údajov** – strata alebo zneužitie údajov môže mať vážne právne a etické dôsledky.
++1. **Negatívna medializácia** – medializované prípady bezpečnostných incidentov môžu poškodiť povesť MPRV SR, oslabiť dôveru verejnosti a ovplyvniť vzťahy so strategickými partnermi.
++
  Riziko reputačných škôd je obzvlášť významné, keďže obnovenie dôvery verejnosti a partnerov si vyžaduje nielen čas, ale aj značné úsilie a zdroje. Pre MPRV SR je preto nevyhnutné klásť dôraz na prevenciu kybernetických incidentov, aby ochránilo svoju povesť, finančnú stabilitu a zákonnú integritu.
--== 7.1 Sumarizácia nákladov a prínosov ==
++1.
++11. (((
++=== 7.1 Sumarizácia nákladov a prínosov ===
++)))
  |Náklady|Spolu|Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring|Nástroj na detegovanie zraniteľností (Vulnerability scanner)|Sieťová a komunikačná bezpečnosť a riadenie prístupov|Správa mobilných zariadení (MDM)|Bezpečnostné testovanie a zavedenie služby SOC (SOCaaS)
  |Všeobecný materiál|2 959 969 €|1 692 231 €|593 327 €|383 245 €|155 444 €|135 722 €
@@ -1300,10 +1300,8 @@
  Tabuľka 7 Interpretácia CBA
--(((
--==   ==
--
--= 8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =
++1. (((
++== 8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA ==
  )))
  Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), vzhľadom na absenciu vývoja „diela na mieru“, ktoré by mohlo byť rozdelené do niekoľkých inkrementov s cieľom ich priebežného nasadenia do produkčnej prevádzky. Predmetom projektu je zabezpečenie:
@@ -1371,8 +1371,8 @@
  Tabuľka 8 HighLevel harmonogram projektu
--(((
--= 9. PROJEKTOVÝ TÍM =
++1. (((
++== 9. PROJEKTOVÝ TÍM ==
  )))
  Riadiaci výbor projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

Zmeny dokumentu I-02 Projektový zámer (projektovy_zamer)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?