Naposledy upravil Adriana Mlynarovicova 2025/05/16 11:38
Z verzie 40.1
upravil Adriana Mlynarovicova
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 35.4
upravil Adriana Mlynarovicova
-
Zmeniť komentár: (Autosaved)

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -65,7 +65,7 @@
65 65  1*. Postupný rollout na ďalšie obce na základe prejaveného záujmu obcí. Platforma Centrálny portál kybernetickej bezpečnosti ďalej nazývaný ako „kyberportál“, bude slúžiť ako hlavný komunikačný nástroj ohľadom možnej participácie obcí na projekte (nahlasovanie sa do databázy žiadateľov, zasielanie dokumentácie/informácie o AS IS stave obce z pohľadu KB, atď.). Obce si cez katalóg služieb v kyberportáli vyberú záujem o službu (NAS, EDR, Firewall, školenie zamestnancov, konzultačné služby kybernetickej a informačnej bezpečnosti experta, podpora pri implementácii dokumentácií kybernetickej bezpečnosti, dispečing).
66 66  1*. Dispečing a L1/ L2 podpora počas projektu (poskytnutie služieb podpory, bude dodávane dodávateľom), L3 podpora bude dodávaná od MIRRI
67 67  1. Zabezpečenie súladu s legislatívnymi požiadavkami
68 -1*. Táto aktivita bude zameraná na zistenie stavu bezpečnostných opatrení pomocou checklistu pre subjekty kategórie I podľa vyhlášky č. 179/2020 Z.z. Celkovo ide o systematický prístup k hodnoteniu a zlepšovaniu bezpečnosti IT systémov pomocou kontrolného zoznamu a analýzy rozdielov. Zistenie stavu bezpečnostných opatrení pomocou checklistu, základný stav bezpečnosti IT systémov a GAP analýza.
68 +1*. Táto aktivita bude zameraná na zistenie stavu bezpečnostných opatrení pomocou checklistu pre subjekty kategórie I podľa vyhlášky č. 179/2020 Z.z. Celkovo ide o systematický prístup k hodnoteniu a zlepšovaniu bezpečnosti IT systémov pomocou kontrolného zoznamu a analýzy rozdielov. Zistenie stavu bezpečnostných opatrení na pomocou checklistu, základný stav bezpečnosti IT systémov a GAP analýza.
69 69  1*. Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z. o informačných technológiách  vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB).
70 70  1*. Implementácia zavedenia procesov a organizácie kybernetickej bezpečnosti. Celkovo ide o to, aby organizácia mala jasne definované a efektívne fungujúce mechanizmy na ochranu svojich informačných systémov a dát pred kybernetickými hrozbami.
71 71  1*. Zdieľanie pozície IT security experta pre kybernetickú bezpečnosť. Celkovo teda ide o to, že jeden IT bezpečnostný expert bude poskytovať svoje služby viacerým organizáciám alebo oddeleniam, aby im pomohol zabezpečiť ich informačné systémy a dáta pred kybernetickými hrozbami.
... ... @@ -84,8 +84,6 @@
84 84  
85 85  Operačný program: Program Slovensko
86 86  
87 -Priorita: 1P1. Veda, výskum a inovácie
88 -
89 89  Špecifický cieľ: RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
90 90  
91 91  
... ... @@ -176,6 +176,7 @@
176 176  
177 177  
178 178  
177 +
179 179  [[image:1741949325480-215.png]]
180 180  
181 181  
... ... @@ -311,10 +311,12 @@
311 311  
312 312  * __Zistenie stavu bezpečnostných opatrení pomocou checklistu__: Použije sa kontrolný zoznam (checklist), ktorý je určený pre subjekty kategórie I podľa vyhlášky 179/2020. Tento zoznam obsahuje konkrétne kritériá a otázky, ktoré pomôžu zistiť, aké bezpečnostné opatrenia sú aktuálne zavedené. Daný checklist je k dispozícii na [[Metodické dokumenty pre kategóriu I ~| Centrálny portál kybernetickej bezpečnosti>>url:https://kyberportal.slovensko.sk/znalostna-baza/metodicke-dokumenty-pre-kategoriu-i/]]
313 313  * __Základný stav bezpečnosti IT systémov:__ Checklist umožní získať prehľad o aktuálnom stave bezpečnosti IT systémov. To znamená, že sa identifikujú existujúce bezpečnostné opatrenia a ich účinnosť (napríklad kontrola active directory, firewall-konfigurácia, a pod.).
314 -* __GAP analýza__: Počas etapy analýzy a dizajn bude vykonaná analýza rozdielov (GAP analýza), ktorá porovná aktuálny stav (as-is) s požiadavkami a osvedčenými postupmi (best practice). Táto analýza pomôže identifikovať slabé miesta a nedostatky v zabezpečení IT systémov. Zároveň budú navrhnuté oblasti zlepšenia tak, aby sa dosiahla požadovaná úroveň bezpečnosti.
313 +* __GAP analýza__: Počas etapy analýzy a dizajn bude vykonaná analýza rozdielov (GAP analýza), ktorá porovná aktuálny stav (as-is) s požiadavkami a osvedčenými postupmi (best practice). Táto analýza pomôže identifikovať slabé miesta a nedostatky v zabezpečení IT systémov. Zároveň budú navrhnuté oblasti zlepšenia tak, aby sa dosiahla požadovaná úroveň bezpečnosti
315 315  
316 -Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z.o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB)
315 +Spracovanie bezpečnostnej dokumentácie v súlade s požiadavkami zákona č. 95/2019 Z. z.
317 317  
317 +o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov  (ďalej len ako ZoITVS) a zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ako ZoKB)
318 +
318 318  ZoKB: Tento zákon stanovuje pravidlá a požiadavky na ochranu informačných systémov a sietí pred kybernetickými hrozbami. Zahŕňa opatrenia na prevenciu, detekciu a reakciu na kybernetické incidenty.
319 319  
320 320  ZoITVS: Tento zákon upravuje používanie informačných technológií v orgánoch verejnej správy. Stanovuje štandardy a postupy na zabezpečenie efektívneho a bezpečného využívania IT systémov v štátnej správe.
... ... @@ -465,7 +465,7 @@
465 465  
466 466  - organizácia pravidelných školení pre zamestnancov obecných úradov na zvýšenie ich povedomia a znalostí v oblasti kybernetickej bezpečnosti
467 467  
468 -- vytvorenie vzdelávacích materiálov, ktoré budú dostupné pre všetkých zamestnancov
469 +- vytvorenie vzdelávacích materiálov a online kurzov, ktoré budú dostupné pre všetkých zamestnancov
469 469  
470 470  - zavedenie systémov na neustále monitorovanie bezpečnostných incidentov a hrozieb
471 471  
... ... @@ -492,9 +492,9 @@
492 492  Merateľné hodnoty
493 493  (cieľové hodnoty)|Spôsob ich merania|Pozn.
494 494  |01|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet podporených obcí|Zvýšenie bezpečnostného štandardu v oblasti kybernetickej a informačnej bezpečnosti pre obce do 6.000 obyvateľov v podobe procesného, technického, hardvérového vybavenia, EDR, NAS, firewall, dokumentácia.|Počet (ks)|0|1500|počet podpísaných zmlúv v CRZ alebo akceptačné alebo preberacie protokoly|...
495 -|02|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet obcí s pravidelným skenovaním zraniteľnosti|Počet obcí kde bude zavedené pravidelné skenovanie zraniteľnosti na koncových bodoch monitorovaných prostredníctvom EDR|Počet (ks)|0|1500|počet podpísaných zmlúv v CRZ alebo akceptačné alebo preberacie protokoly|
496 +|02|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti v prostredí samosprávy|Počet obcí s pravidelným skenovaním zraniteľnosti|Počet obcí kde bude zavedené pravidelné skenovanie zraniteľnosti na koncových bodoch monitorovaných prostredníctvom EDR|Počet (ks)|0|1500|Údaje z projektu|
496 496  
497 -Cieľom projektu je zvýšiť úroveň kybernetickej bezpečnosti v prípade viac ako polovice obcí na Slovensku do 6000 obyvateľov. To umožní signifikantné posilnenie kybernetickej a informačnej bezpečnosti samosprávy na Slovensku, ktorá je dohodobo prehliadaná. Podľa § 5 ods. 2 písm. c) zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, je obec orgánom riadenia a zároveň aj správcom informačných technológií vo verejnej správe. Do registra prevádzkovateľov základnej služby sa podľa § 17 ods. 1 písm. g) zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov, zapisuje každý správca informačných technológií vo verejnej správe. Ako poskytovatelia základných služieb štátu, sú obce povinné zabezpečiť kybernetickú bezpečnosť podľa požiadaviek definovaných v príslušnej legislatíve. Vo väčšine obcí s počtom obyvateľov do 6 000 je však táto problematika často zanedbávaná a je na pokraji záujmu obce. Na Slovensku je aktuálne v uvedenej veľkostnej kategórii 2795 obcí (na základe počtu obyvateľov na konci roka 2023). Naplnením cieľa projektu by sa tak kybernetická bezpečnosť zvýšila celkovo v prípade 54 % obcí. Výška cieľovej hodnoty bola zvolená na základe časového a finančného rámca pre úspešne zvládnutie naplnenia cieľa so zachovaním kvality dodaných služieb.
498 +Cieľom projektu je zvýšiť úroveň kybernetickej bezpečnosti v prípade viac ako polovice obcí na Slovensku do 6000 obyvateľov. To umožní signifikantné posilnenie kybernetickej a informačnej bezpečnosti samosprávy na Slovensku, ktorá je dohodobo prehliadaná. Podľa § 5 ods. 2 písm. c) ZoITVS (95/2019 Z.z.) je obec orgánom riadenia a zároveň aj správcom ITVS. Do registra prevádzkovateľov základnej služby sa podľa § 17 ods. 1 písm. g) ZoKB (69/2018 Z.z.) zapisuje, každý správca ITVS. Ako poskytovatelia základných služieb štátu, sú obce povinné zabezpečiť kybernetickú bezpečnosť podľa požiadaviek definovaných v príslušnej legislatíve. Vo väčšine obcí s počtom obyvateľov do 6 000 je však táto problematika často zanedbávaná a je na pokraji záujmu obce. Na Slovensku je aktuálne v uvedenej veľkostnej kategórii 2795 obcí (na základe počtu obyvateľov na konci roka 2023). Naplnením cieľa projektu by sa tak kybernetická bezpečnosť zvýšila celkovo v prípade 54 % obcí. Výška cieľovej hodnoty bola zvolená na základe časového a finančného rámca pre úspešne zvládnutie naplnenia cieľa so zachovaním kvality dodaných služieb.
498 498  
499 499  
500 500  Tento projekt by tak umožnil obciam s najnižšími rozpočtami aspoň čiastočne pokryť investície do kybernetickej a informačnej bezpečnosti. Aby sme tento cieľ dosiahli, plánujeme uskutočniť verejnú prezentáciu projektu, ktorá bude zameraná na zvýšenie povedomia a informovanosti o dôležitosti kybernetickej bezpečnosti. Okrem toho budeme realizovať cielenú komunikáciu na obce prostredníctvom centrálneho portálu kybernetickej bezpečnosti, známeho ako 'kyberportál'.
... ... @@ -536,7 +536,7 @@
536 536  
537 537  **~ 3.8 Stanovenie alternatív v biznisovej vrstve architektúry**
538 538  
539 -Pretože tento projekt nezahŕňa budovanie ani rozvoj informačných systémov verejnej správy (ISVS), alternatívy sa nehodnotili tradičným spôsobom podľa biznisovej architektúry. Namiesto toho sa porovnali štyri rôzne možnosti riešenia aktuálnej situácie. Na základe rozsahu problému, ktorý sa identifikoval v projektovom zámere, sa stanovili štyri rôzne alternatívne riešenia. Ako najefektívnejšie sa vybrala alternatíva č.3 ktorá komplexne pokrýva procesy a požiadavky všetkých zainteresovaných strán.
540 +Pretože tento projekt nezahŕňa budovanie ani rozvoj informačných systémov verejnej správy (ISVS), alternatívy sa nehodnotili tradičným spôsobom podľa biznisovej architektúry. Namiesto toho sa porovnali tri rôzne možnosti riešenia aktuálnej situácie. Na základe rozsahu problému, ktorý sa identifikoval v projektovom zámere, sa stanovili tri rôzne alternatívne riešenia. Ako najefektívnejšie sa vybrala alternatíva č.3 ktorá komplexne pokrýva procesy a požiadavky všetkých zainteresovaných strán.
540 540  
541 541  
542 542  1.               **Zachovanie súčasného stavu bez realizácie projektu** - stav zostane nezmenený (v kritickom režime), bez dostatočných finančných kapacít a kvalifikovaných ľudských zdrojov dostupných pre potreby obcí, kedy prípadný kybernetický/bezpečnostný incident môže viesť k nedostupnosti časti alebo celého riešenia. Táto alternatíva predstavuje vysoké riziko vzhľadom na citlivosť údajov.
... ... @@ -596,27 +596,27 @@
596 596  |Súlad s legislatívnymi požiadavkami|(% style="width:91px" %)nie|(% style="width:239px" %)alternatíva 1 je zachovanie statusu quo bez realizácie projektu|(% style="width:132px" %)Nie|(% style="width:393px" %)Realizáciou alternatívy 2 sa nezabezpečí súladu s legislatívnymi požiadavkami
597 597  |Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:91px" %)nie|(% style="width:239px" %)alternatíva 1 je zachovanie statusu quo bez realizácie projektu|(% style="width:132px" %)áno|(% style="width:393px" %)Implementáciou alternatívy 2 sa zníži riziko kybernetických útokov, vďaka metodickej a odbornej pomoci MIRRI SR
598 598  
599 -|(% style="width:347px" %)Zoznam kritérií|(% style="width:89px" %)(((
600 +|(% style="width:417px" %)Zoznam kritérií|(% style="width:88px" %)(((
600 600  Alternatíva
601 601  
602 602  3
603 -)))|(% style="width:242px" %)(((
604 +)))|(% style="width:169px" %)(((
604 604  Spôsob
605 605  
606 606  dosiahnutia
607 -)))|(% style="width:132px" %)(((
608 +)))|(% style="width:153px" %)(((
608 608  Alternatíva
609 609  
610 610  4
611 -)))|(% style="width:391px" %)(((
612 +)))|(% style="width:374px" %)(((
612 612  Spôsob
613 613  
614 614  dosiahnutia
615 615  )))
616 -|(% style="width:347px" %)Zjednotenie štandardov, zautomatizovanie a efektivita procesov|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 sa zjednotia štandardy|(% style="width:132px" %)nie|(% style="width:391px" %)Implementáciou alternatívy 4 sa nezabezpečí zjednotenie štandardov a zautomatizovanie procesov
617 -|(% style="width:347px" %)Zvýšenie odolnosti voči kybernetickým incidentom a zabezpečenie kontinuity prevádzky|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 a dodania firewallu, EDR a NAS sa zvýši odolnosť procesov a zabezpečí sa kontinuita prevádzky a prípade incidentu|(% style="width:132px" %)nie|(% style="width:391px" %)Realizáciou alternatívy 4 sa nezabezpečí zvýšenie odolnosti
618 -|(% style="width:347px" %)Súlad s legislatívnymi požiadavkami|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 kde im bude dodaná bezpečnostnej dokumentácie|(% style="width:132px" %)áno|(% style="width:391px" %)Realizáciou alternatívy 4 sa čiastočne zabezpečí súlad s legislatívnymi požiadavkami
619 -|(% style="width:347px" %)Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:89px" %)áno|(% style="width:242px" %)Implementáciou alternatívy 3 kde im budú poskytnuté školenia na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel|(% style="width:132px" %)nie|(% style="width:391px" %)Implementáciou alternatívy 4 sa nezníži riziko kybernetických útokov
617 +|(% style="width:417px" %)Zjednotenie štandardov, zautomatizovanie a efektivita procesov|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 sa zjednotia štandardy|(% style="width:153px" %)nie|(% style="width:374px" %)Implementáciou alternatívy 4 sa nezabezpečí zjednotenie štandardov a zautomatizovanie procesov
618 +|(% style="width:417px" %)Zvýšenie odolnosti voči kybernetickým incidentom a zabezpečenie kontinuity prevádzky|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 a dodania firewallu, EDR a NAS sa zvýši odolnosť procesov a zabezpečí sa kontinuita prevádzky a prípade incidentu|(% style="width:153px" %)nie|(% style="width:374px" %)Realizáciou alternatívy 4 sa nezabezpečí zvýšenie odolnosti
619 +|(% style="width:417px" %)Súlad s legislatívnymi požiadavkami|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 kde im bude dodaná bezpečnostnej dokumentácie|(% style="width:153px" %)áno|(% style="width:374px" %)Realizáciou alternatívy 4 sa čiastočne zabezpečí súlad s legislatívnymi požiadavkami
620 +|(% style="width:417px" %)Zníženie rizika kybernetických útokov v rámci samosprávy|(% style="width:88px" %)áno|(% style="width:169px" %)Implementáciou alternatívy 3 kde im budú poskytnuté školenia na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel|(% style="width:153px" %)nie|(% style="width:374px" %)Implementáciou alternatívy 4 sa nezníži riziko kybernetických útokov
620 620  
621 621   **3.10 Stanovenie alternatív v aplikačnej vrstve architektúry**
622 622  
... ... @@ -689,7 +689,7 @@
689 689  ** zdieľaná pozícia IT security experta pre kybernetickú bezpečnosť, ide o to aby poskytoval svoje služby viacerým organizáciám alebo oddeleniam, aby im pomohol zabezpečiť ich informačné systémy a dáta pred kybernetickými hrozbami
690 690  * Zvýšenie povedomia o kybernetických hrozbách
691 691  ** školenia technológiou čo bude inštalovaná na obciach úrovni používateľov (NAS, EDR, firewall), v rámci projektu budú zapojení aj do fázy testovania navrhovaných opatrení
692 -** Hlavnou náplňou školenia, bude implementácia a podrobné vysvetlenie pravidiel a princípov obsiahnutých v bezpečnostnej dokumentácií, ktoré je potrebne dodržiavať pri dennom výkone činnosti na každej obci v spolupráci s manažérom kybernetickej bezpečnosti. Bezpečnostná dokumencia bude obsahov najmä základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel a oboznámenie zamestnancov so základnými zásadami z pohľadu KB
693 +** školenia pre zamestnancov a štatutárov na základy kybernetickej bezpečnosti, phishingové útoky, bezpečné používanie hesiel a súčasťou bude aj predstavenie spracovanej bezpečnostnej dokumentácie a oboznámenie zamestnancov so základnými zásadami z pohľadu kybernetickej bezpečnosti
693 693  
694 694  **5.NÁHĽAD ARCHITEKTÚRY**
695 695