Naposledy upravil Adriana Mlynarovicova 2025/05/09 13:13
Z verzie 37.6
upravil Adriana Mlynarovicova
-
Zmeniť komentár: (Autosaved)
Do verzie 35.3
upravil Adriana Mlynarovicova
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -65,7 +65,7 @@
65 65  1*. Postupný rollout na ďalšie obce na základe prejaveného záujmu obcí. Platforma Centrálny portál kybernetickej bezpečnosti ďalej nazývaný ako „kyberportál“, bude slúžiť ako hlavný komunikačný nástroj ohľadom možnej participácie obcí na projekte (nahlasovanie sa do databázy žiadateľov, zasielanie dokumentácie/informácie o AS IS stave obce z pohľadu KB, atď.). Obce si cez katalóg služieb v kyberportáli vyberú záujem o službu (NAS, EDR, Firewall, školenie zamestnancov, konzultačné služby kybernetickej a informačnej bezpečnosti experta, podpora pri implementácii dokumentácií kybernetickej bezpečnosti, dispečing).
66 66  1*. Dispečing a L1/ L2 podpora počas projektu (poskytnutie služieb podpory, bude dodávane dodávateľom), L3 podpora bude dodávaná od MIRRI
67 67  1. Zabezpečenie súladu s legislatívnymi požiadavkami
68 -1*. Táto aktivita bude zameraná na zistenie stavu bezpečnostných opatrení pomocou checklistu pre subjekty kategórie I podľa vyhlášky č. 179/2020 Z.z. Celkovo ide o systematický prístup k hodnoteniu a zlepšovaniu bezpečnosti IT systémov pomocou kontrolného zoznamu a analýzy rozdielov. Zistenie stavu bezpečnostných opatrení pomocou checklistu, základný stav bezpečnosti IT systémov a GAP analýza.
68 +1*. Táto aktivita bude zameraná na zistenie stavu bezpečnostných opatrení pomocou checklistu pre subjekty kategórie I podľa vyhlášky č. 179/2020 Z.z. Celkovo ide o systematický prístup k hodnoteniu a zlepšovaniu bezpečnosti IT systémov pomocou kontrolného zoznamu a analýzy rozdielov. Zistenie stavu bezpečnostných opatrení na pomocou checklistu, základný stav bezpečnosti IT systémov a GAP analýza.
69 69  1*. Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z. o informačných technológiách  vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB).
70 70  1*. Implementácia zavedenia procesov a organizácie kybernetickej bezpečnosti. Celkovo ide o to, aby organizácia mala jasne definované a efektívne fungujúce mechanizmy na ochranu svojich informačných systémov a dát pred kybernetickými hrozbami.
71 71  1*. Zdieľanie pozície IT security experta pre kybernetickú bezpečnosť. Celkovo teda ide o to, že jeden IT bezpečnostný expert bude poskytovať svoje služby viacerým organizáciám alebo oddeleniam, aby im pomohol zabezpečiť ich informačné systémy a dáta pred kybernetickými hrozbami.
... ... @@ -174,6 +174,7 @@
174 174  
175 175  
176 176  
177 +
177 177  [[image:1741949325480-215.png]]
178 178  
179 179  
... ... @@ -230,7 +230,6 @@
230 230  * Flexibilita: Rámcová zmluva umožňuje prispôsobenie dodávok podľa požiadaviek obcí, čo zvyšuje variabilitu projektu.
231 231  * Cielené zameranie kybernetickej bezpečnosti: Na obci bude implementované technológie a služby, ktoré sú potrebné zabezpečenie kybernetickej a informačnej bezpečnosti, čo zvyšuje úroveň ochrany.
232 232  
233 -Vzhľadom na to že predmetom dodávky projektu sú technológie a služby pre časť investičného majetku ktorý bude prevádzkovaný na úrovniach jednotlivých obci, bude medzi poskytovateľom a obcou bude uzavretá vzájomná zmluva o zápožičke investičného majetku.
234 234  
235 235  
236 236  Projekt bude realizovaný v 3 oblastiach:
... ... @@ -309,10 +309,12 @@
309 309  
310 310  * __Zistenie stavu bezpečnostných opatrení pomocou checklistu__: Použije sa kontrolný zoznam (checklist), ktorý je určený pre subjekty kategórie I podľa vyhlášky 179/2020. Tento zoznam obsahuje konkrétne kritériá a otázky, ktoré pomôžu zistiť, aké bezpečnostné opatrenia sú aktuálne zavedené. Daný checklist je k dispozícii na [[Metodické dokumenty pre kategóriu I ~| Centrálny portál kybernetickej bezpečnosti>>url:https://kyberportal.slovensko.sk/znalostna-baza/metodicke-dokumenty-pre-kategoriu-i/]]
311 311  * __Základný stav bezpečnosti IT systémov:__ Checklist umožní získať prehľad o aktuálnom stave bezpečnosti IT systémov. To znamená, že sa identifikujú existujúce bezpečnostné opatrenia a ich účinnosť (napríklad kontrola active directory, firewall-konfigurácia, a pod.).
312 -* __GAP analýza__: Počas etapy analýzy a dizajn bude vykonaná analýza rozdielov (GAP analýza), ktorá porovná aktuálny stav (as-is) s požiadavkami a osvedčenými postupmi (best practice). Táto analýza pomôže identifikovať slabé miesta a nedostatky v zabezpečení IT systémov. Zároveň budú navrhnuté oblasti zlepšenia tak, aby sa dosiahla požadovaná úroveň bezpečnosti.
312 +* __GAP analýza__: Počas etapy analýzy a dizajn bude vykonaná analýza rozdielov (GAP analýza), ktorá porovná aktuálny stav (as-is) s požiadavkami a osvedčenými postupmi (best practice). Táto analýza pomôže identifikovať slabé miesta a nedostatky v zabezpečení IT systémov. Zároveň budú navrhnuté oblasti zlepšenia tak, aby sa dosiahla požadovaná úroveň bezpečnosti
313 313  
314 -Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z.o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB)
314 +Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z.
315 315  
316 +o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB)
317 +
316 316  ZoKB: Tento zákon stanovuje pravidlá a požiadavky na ochranu informačných systémov a sietí pred kybernetickými hrozbami. Zahŕňa opatrenia na prevenciu, detekciu a reakciu na kybernetické incidenty.
317 317  
318 318  ZoITVS: Tento zákon upravuje používanie informačných technológií v orgánoch verejnej správy. Stanovuje štandardy a postupy na zabezpečenie efektívneho a bezpečného využívania IT systémov v štátnej správe.
... ... @@ -395,7 +395,7 @@
395 395  * Vytvorenie bezpečnostného povedomia a kultúry v rámci obce.
396 396  * Praktické cvičenia a simulácie na zlepšenie reakcií na kybernetické incidenty.
397 397  
398 -Celkovo tieto školenia pomôžu účastníkom získať dôležité znalosti a zručnosti na ochranu svojich digitálnych aktív a aby boli vytvorené jasné a zrozumiteľné pravidlá pre kybernetickú bezpečnosť.
400 +Celkovo tieto školenia pomôžu účastníkom získať dôležité znalosti a zručnosti na ochranu svojich digitálnych aktív a aby boli vytvorené jasné a zrozumiteľné pravidlá pre kybernetickú bezpečnosť
399 399  
400 400  
401 401  **Informácie o oblasti (OBSAH / AGENDA / ŽIVOTNÁ SITUÁCIA), ktorým sa projekt venuje**
... ... @@ -490,7 +490,7 @@
490 490  Merateľné hodnoty
491 491  (cieľové hodnoty)|Spôsob ich merania|Pozn.
492 492  |01|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet podporených obcí|Zvýšenie bezpečnostného štandardu v oblasti kybernetickej a informačnej bezpečnosti pre obce do 6.000 obyvateľov v podobe procesného, technického, hardvérového vybavenia, EDR, NAS, firewall, dokumentácia.|Počet (ks)|0|1500|počet podpísaných zmlúv v CRZ alebo akceptačné alebo preberacie protokoly|...
493 -|02|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet obcí s pravidelným skenovaním zraniteľnosti|Počet obcí kde bude zavedené pravidelné skenovanie zraniteľnosti na koncových bodoch monitorovaných prostredníctvom EDR|Počet (ks)|0|1500|počet podpísaných zmlúv v CRZ alebo akceptačné alebo preberacie protokoly|
495 +|02|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet obcí s pravidelným skenovaním zraniteľnosti|Počet obcí kde bude zavedené pravidelné skenovanie zraniteľnosti na koncových bodoch monitorovaných prostredníctvom EDR|Počet (ks)|0|1500|Údaje z projektu|
494 494  
495 495  Cieľom projektu je zvýšiť úroveň kybernetickej bezpečnosti v prípade viac ako polovice obcí na Slovensku do 6000 obyvateľov. To umožní signifikantné posilnenie kybernetickej a informačnej bezpečnosti samosprávy na Slovensku, ktorá je dohodobo prehliadaná. Podľa § 5 ods. 2 písm. c) ZoITVS (95/2019 Z.z.) je obec orgánom riadenia a zároveň aj správcom ITVS. Do registra prevádzkovateľov základnej služby sa podľa § 17 ods. 1 písm. g) ZoKB (69/2018 Z.z.) zapisuje, každý správca ITVS. Ako poskytovatelia základných služieb štátu, sú obce povinné zabezpečiť kybernetickú bezpečnosť podľa požiadaviek definovaných v príslušnej legislatíve. Vo väčšine obcí s počtom obyvateľov do 6 000 je však táto problematika často zanedbávaná a je na pokraji záujmu obce. Na Slovensku je aktuálne v uvedenej veľkostnej kategórii 2795 obcí (na základe počtu obyvateľov na konci roka 2023). Naplnením cieľa projektu by sa tak kybernetická bezpečnosť zvýšila celkovo v prípade 54 % obcí. Výška cieľovej hodnoty bola zvolená na základe časového a finančného rámca pre úspešne zvládnutie naplnenia cieľa so zachovaním kvality dodaných služieb.
496 496  
... ... @@ -525,18 +525,15 @@
525 525  
526 526   **3.7 Riziká a závislosti**
527 527  
530 +Riziká a závislostí sú spracované v Prílohe č. 1 – **Zoznam RIZÍK a ZÁVISLOSTI.**
528 528  
529 -Na základe zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti sa do registra prevádzkovateľov základnej služby zapisuje správca ITVS § 17 ods. 1 písm. g, je obec orgánom riadenia podľa zákona o ITVS a je aj správcom ITVS. Táto povinnosť vznikla novelou predmetného zákona ktorej účinnosť nadobudla od 1.1.2025. Z toho vyplýva že každá samospráva ktorou je aj samospráva do 6000 obyvateľov je povinná zabezpečiť plnenie všetkých zákonných povinností.
530 530  
533 +*
534 +** 3.8 Stanovenie alternatív v biznisovej vrstve architektúry
531 531  
532 -Riziká a závislosti, ktoré boli identifikované v rámci prípravných etáp projektu sú posa v tzv. Zozname rik a vislosti, ktorý je súčasťou dokumentácie uvedenej v prílohe č.1 **Zoznam RIZÍK a ZÁVISLOSTI.**
536 +Pretože tento projekt nezahŕňa budovanie ani rozvoj informačných systémov verejnej správy (ISVS), alternavy sa nehodnotili tradičným spôsobom podľa biznisovej architektúry. Namiesto toho sa porovnali tri zne možnosti riešenia aktuálnej situácie. Na klade rozsahu problému, ktorý sa identifikoval v projektovom zámere, sa stanovili tri rôzne alternatívne riešenia. Ako najefektívnejšie sa vybrala alternatíva č.3 ktorá komplexne pokrýva procesy a požiadavky všetkých zainteresovaných strán.
533 533  
534 534  
535 -**~ 3.8 Stanovenie alternatív v biznisovej vrstve architektúry**
536 -
537 -Pretože tento projekt nezahŕňa budovanie ani rozvoj informačných systémov verejnej správy (ISVS), alternatívy sa nehodnotili tradičným spôsobom podľa biznisovej architektúry. Namiesto toho sa porovnali štyri rôzne možnosti riešenia aktuálnej situácie. Na základe rozsahu problému, ktorý sa identifikoval v projektovom zámere, sa stanovili štyri rôzne alternatívne riešenia. Ako najefektívnejšie sa vybrala alternatíva č.3 ktorá komplexne pokrýva procesy a požiadavky všetkých zainteresovaných strán.
538 -
539 -
540 540  1.               **Zachovanie súčasného stavu bez realizácie projektu** - stav zostane nezmenený (v kritickom režime), bez dostatočných finančných kapacít a kvalifikovaných ľudských zdrojov dostupných pre potreby obcí, kedy prípadný kybernetický/bezpečnostný incident môže viesť k nedostupnosti časti alebo celého riešenia. Táto alternatíva predstavuje vysoké riziko vzhľadom na citlivosť údajov.
541 541  
542 542  2.               **Kybernetická bezpečnosť  realizovaná obcami  samostatne (decentralizovane)**- alternatíva predstavuje zabezpečenie kybernetickej bezpečnosti zo strany samotných obcí za zvýšenej metodickej a odbornej pomoci MIRRI SR. Toto riešenie si vyžaduje posilnenie personálnych kapacít MIRRI SR, avšak vzhľadom na početnosť individuálnych samospráv predstavuje neefektívne riešenie bez ďalších dokumentačných, SW a HW nástrojov. Samotné zabezpečenie súladu s legislatívnymi požiadavkami KB kategórie I. podľa zákona č. 69/2018 Z.z. naprieč všetkými používanými informačnými systémami a internými procesmi by bolo výlučne na pleciach príslušnej obce. Uvedená alternatíva znamená vysokú heterogenitu z pohľadu aplikačnej vrstvy použitých nástrojov kybernetickej bezpečnosti, čo negatívne ovplyvňuje prevádzkovanie a stabilitu vzájomne prepojených prostredí.
... ... @@ -594,27 +594,27 @@
594 594  |Súlad s legislatívnymi požiadavkami|(% style="width:91px" %)nie|(% style="width:239px" %)alternatíva 1 je zachovanie statusu quo bez realizácie projektu|(% style="width:132px" %)Nie|(% style="width:393px" %)Realizáciou alternatívy 2 sa nezabezpečí súladu s legislatívnymi požiadavkami
595 595  |Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:91px" %)nie|(% style="width:239px" %)alternatíva 1 je zachovanie statusu quo bez realizácie projektu|(% style="width:132px" %)áno|(% style="width:393px" %)Implementáciou alternatívy 2 sa zníži riziko kybernetických útokov, vďaka metodickej a odbornej pomoci MIRRI SR
596 596  
597 -|(% style="width:347px" %)Zoznam kritérií|(% style="width:89px" %)(((
596 +|(% style="width:417px" %)Zoznam kritérií|(% style="width:88px" %)(((
598 598  Alternatíva
599 599  
600 600  3
601 -)))|(% style="width:242px" %)(((
600 +)))|(% style="width:169px" %)(((
602 602  Spôsob
603 603  
604 604  dosiahnutia
605 -)))|(% style="width:132px" %)(((
604 +)))|(% style="width:153px" %)(((
606 606  Alternatíva
607 607  
608 608  4
609 -)))|(% style="width:391px" %)(((
608 +)))|(% style="width:374px" %)(((
610 610  Spôsob
611 611  
612 612  dosiahnutia
613 613  )))
614 -|(% style="width:347px" %)Zjednotenie štandardov, zautomatizovanie a efektivita procesov|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 sa zjednotia štandardy|(% style="width:132px" %)nie|(% style="width:391px" %)Implementáciou alternatívy 4 sa nezabezpečí zjednotenie štandardov a zautomatizovanie procesov
615 -|(% style="width:347px" %)Zvýšenie odolnosti voči kybernetickým incidentom a zabezpečenie kontinuity prevádzky|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 a dodania firewallu, EDR a NAS sa zvýši odolnosť procesov a zabezpečí sa kontinuita prevádzky a prípade incidentu|(% style="width:132px" %)nie|(% style="width:391px" %)Realizáciou alternatívy 4 sa nezabezpečí zvýšenie odolnosti
616 -|(% style="width:347px" %)Súlad s legislatívnymi požiadavkami|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 kde im bude dodaná bezpečnostnej dokumentácie|(% style="width:132px" %)áno|(% style="width:391px" %)Realizáciou alternatívy 4 sa čiastočne zabezpečí súlad s legislatívnymi požiadavkami
617 -|(% style="width:347px" %)Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 kde im budú poskytnuté školenia na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel|(% style="width:132px" %)nie|(% style="width:391px" %)Implementáciou alternatívy 4 sa nezníži riziko kybernetických útokov
613 +|(% style="width:417px" %)Zjednotenie štandardov, zautomatizovanie a efektivita procesov|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 sa zjednotia štandardy|(% style="width:153px" %)nie|(% style="width:374px" %)Implementáciou alternatívy 4 sa nezabezpečí zjednotenie štandardov a zautomatizovanie procesov
614 +|(% style="width:417px" %)Zvýšenie odolnosti voči kybernetickým incidentom a zabezpečenie kontinuity prevádzky|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 a dodania firewallu, EDR a NAS sa zvýši odolnosť procesov a zabezpečí sa kontinuita prevádzky a prípade incidentu|(% style="width:153px" %)nie|(% style="width:374px" %)Realizáciou alternatívy 4 sa nezabezpečí zvýšenie odolnosti
615 +|(% style="width:417px" %)Súlad s legislatívnymi požiadavkami|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 kde im bude dodaná bezpečnostnej dokumentácie|(% style="width:153px" %)áno|(% style="width:374px" %)Realizáciou alternatívy 4 sa čiastočne zabezpečí súlad s legislatívnymi požiadavkami
616 +|(% style="width:417px" %)Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 kde im budú poskytnuté školenia na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel|(% style="width:153px" %)nie|(% style="width:374px" %)Implementáciou alternatívy 4 sa nezníži riziko kybernetických útokov
618 618  
619 619   **3.10 Stanovenie alternatív v aplikačnej vrstve architektúry**
620 620  
... ... @@ -687,7 +687,7 @@
687 687  ** zdieľaná pozícia IT security experta pre kybernetickú bezpečnosť, ide o to aby poskytoval svoje služby viacerým organizáciám alebo oddeleniam, aby im pomohol zabezpečiť ich informačné systémy a dáta pred kybernetickými hrozbami
688 688  * Zvýšenie povedomia o kybernetických hrozbách
689 689  ** školenia technológiou čo bude inštalovaná na obciach úrovni používateľov (NAS, EDR, firewall), v rámci projektu budú zapojení aj do fázy testovania navrhovaných opatrení
690 -** Hlavnou náplňou školenia, bude implementácia a podrobné vysvetlenie pravidiel a princípov obsiahnutých v bezpečnostnej dokumentácií, ktoré je potrebne dodržiavať pri dennom výkone činnosti na každej obci v spolupráci s manažérom kybernetickej bezpečnosti. Bezpečnostná dokumencia bude obsahov najmä základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel a oboznámenie zamestnancov so základnými zásadami z pohľadu KB
689 +** školenia pre zamestnancov a štatutárov na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel a súčasťou bude aj predstavenie spracovanej bezpečnostnej dokumentácie a oboznámenie zamestnancov so základnými zásadami z pohľadu kybernetickej bezpečnosti
691 691  
692 692  **5.NÁHĽAD ARCHITEKTÚRY**
693 693