I-02 Projektový zámer (projektovy_zamer)

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

36

37

38

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

1.

11. Použité skratky a pojmy

43

44

|**ID**|**SKRATKA**|**POPIS**

45

|1.|API|Application programming interface

46

|2.|BPMN|Business Process Model and Notation

47

|3.|CSRÚ|Centrálna správa referenčných údajov

48

|4.|DevOps|Je skrátený názov pre developer, security alebo aj automatizovaný devops ako súbor procesov medzi vývojom a prevádzkou, skratka z developer operations. Vysvetlenie detail viď [[https:~~/~~/en.wikipedia.org/wiki/DevOps>>url:https://en.wikipedia.org/wiki/DevOps]]

49

|5.|DMS|Document management system

50

|6.|XDR|Endpoint Detection and Response

51

|7.|EÚ|Európska únia

52

|8..|HW|Hardware

53

|9.|HLD|High level dizajn – vysokoúrovňový dizajn napr architektúru, bezpečnosť

54

|10.|IaaS|Infrastructure as a service

55

|11.|IAM|Identity and Access Management

56

|12.|IKT|Informačno-komunikačné technológie

57

|13.|IS|Informačný systém

58

|14.|IS VS|Informačný systém verejnej správy

59

|15.|KPI|Key performance indicator – Kľúčové indikátory, prostredníctvom ktorých sa meria naplnenie cieľov projektu.

60

|16.|LLD|Low level dizajn – nízkoúrovňový dizajn napr. pre architektúru, bezpečnosť. Obsahuje detailné dizajny až na úrovní nastavení parametrov

61

|17.|MDM|Mobile devicemanagement

62

|18.|MIRRI|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

63

|19.|MV SR|Ministerstvo vnútra SR

64

|20.|NKIVS|Národná koncepcia informatizácie verejnej správy

65

|21.|OOÚ|Ochrana osobných údajov

66

|22.|PO|Plán obnovy a odolnosti

67

|23.|OVM|Orgán verejnej moci

68

|24.|PaaS|Platform as a service

69

|25.|PILOT|PILOT - Prevádzka riešenia na vybraných aktéroch na produkčnom prostredí.

70

|26.|PoC|PoC - Implementovaný prototyp riešenia nasadený do produkčnej prevádzky a overený E2E testami minimálne s využitím mockov

71

|27.|PR|Projektové riadenie

72

|28.|ROLLOUT|ROLLOUT - Postupné pripájanie ostatných aktérov na produkčnom prostredí.

73

|29.|RFO|Register fyzických osôb

74

|30.|RPO|Register právnických osôb

75

|31.|SDL|Security development lifecycle

76

|32.|SFTP|SSH File Transfer Protocol

77

|33.|SLA|Service level agreement

78

|34.|SOAP|Simple Object Access Protocol

79

|35.|SOAR|Security orchestration, automation and response

80

|36.|SR|Slovenská republika

81

|37.|MŽP SR|Ministerstvo životného prostredia Slovenskej republiky

82

|38.|ŠÚ SR|Štatistický úrad Slovenskej republiky

83

|39.|VÚC|Vyšší územný celok alebo iný povoľovací orgán

1. DEFINOVANIE PROJEKTU

1.

11. Manažérske zhrnutie

103

104

Tento projekt je vypracovaný v súlade s:

105

106

* Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;

107

* Výzvou č. PSK-MIRRI-616-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“.

108

109

Ministerstvo životného prostredia Slovenskej republiky (ďalej „MŽP SR“) je ústredný orgán štátnej správy zodpovedný za ochranu a zlepšovanie životného prostredia na Slovensku. Ministerstvo sa zaoberá ochranou prírody, správou národných parkov, odpadovým hospodárstvom, vodným hospodárstvom, ovzduším, a ochranou pôdneho a lesného fondu. Zodpovedá tiež za implementáciu environmentálnej legislatívy Európskej únie a medzinárodných dohovorov týkajúcich sa životného prostredia. Medzi hlavné úlohy ministerstva patria:

110

111

* monitorovanie a zlepšovanie kvality ovzdušia, vody a pôdy,

112

* ochrana biodiverzity a prírodných zdrojov,

113

* riešenie problematiky zmeny klímy a znižovanie emisií skleníkových plynov,

114

* správa a dohľad nad environmentálnymi fondami a grantovými programami.

115

116

Ministerstvo tiež spolupracuje s ďalšími štátnymi a medzinárodnými inštitúciami, miestnou samosprávou a neziskovými organizáciami pri tvorbe a realizácii environmentálnych politík. Na čele ministerstva stojí minister životného prostredia, ktorého vymenúva vláda Slovenskej republiky. Ministerstvo životného prostredia Slovenskej republiky si uvedomuje dôležitosť údajov potrebných na efektívny výkon svojich agendových činností, ktoré mu vyplývajú z platnej legislatívy. Údaje sú kľúčovým aktívom, ktoré organizácie vlastnia bez ohľadu na to, či pôsobia vo verejnom alebo komerčnom sektore. MŽP SR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa ([[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/]]). Základná prevádzkovaná služba: webové sídlo a IS Ministerstva životného prostredia SR. MŽP SR je správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

117

118

Projekt „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti MŽP SR“ (ďalej len „Projekt“) bol vytvorený s cieľom posilniť kapacity v oblasti informačnej a kybernetickej bezpečnosti na Ministerstve životného prostredia Slovenskej republiky. Jeho cieľom je tiež zabezpečiť súlad s legislatívou, konkrétne so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení ďalších zákonov (ďalej len „Zákon o KB“), a zaistiť poskytovanie služieb definovaných týmto zákonom, vrátane monitorovania a riešenia bezpečnostných incidentov týkajúcich sa dôležitých informačných systémov rezortu MŽP SR.

119

120

Podľa zákona č. 575/2001 Z. z. o organizácii činnosti vlády a organizácii ústrednej štátnej správy, je Ministerstvo životného prostredia Slovenskej republiky centrálnym orgánom štátnej správy pre rôzne oblasti vrátane ochrany prírody, správy národných parkov, odpadového hospodárstva, vodného hospodárstva, ovzdušia, a ochrany pôdneho a lesného fondu. S touto zodpovednosťou je spojená prevádzka relevantných informačných systémov. MŽP SR je zároveň prevádzkovateľom základnej služby podľa Zákona o KB a patrí do sektora Verejnej správy, podsektora Informačné systémy verejnej správy. Úrad má povinnosť implementovať bezpečnostné opatrenia podľa legislatívy a príslušných predpisov.

121

122

Hlavným zámerom projektu je zvýšiť úroveň kybernetickej a informačnej bezpečnosti na Ministerstve životného prostredia Slovenskej republiky v súlade s legislatívnymi požiadavkami Zákona o KB a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe (ďalej „Zákon o ITVS“), vrátane vykonávacích predpisov a ďalších relevantných legislatívnych rámcov.

123

124

Tento projekt nadväzuje na predchádzajúce investičné aktivity MŽP SR, ktorých cieľom bola modernizácia infraštruktúry s dôrazom na vyššiu úroveň bezpečnosti, zavádzanie bezpečnostných opatrení a implementáciu proaktívneho monitorovania kybernetických bezpečnostných incidentov (KBI). V rámci predkladaného projektu sa plánuje pokračovať v posilňovaní kybernetickej bezpečnosti prostredníctvom rozšírenia bezpečnostných technológií a ochrany informačných systémov Úradu, vrátane zabezpečenia prístupovej infraštruktúry pre organizácie patriace do pôsobnosti MŽP SR.

125

126

Projektové aktivity sú rozdelené na logické moduly:

127

128

1. Bezpečnostný dohľad a riadenie incidentov, zahŕňajúce analytické práce a rozšírenie monitoringu prostredníctvom systému SIEM.

129

1. Implementácia nástroja pre zavedenie zálohovania na obnovu siete a informačného systému vrátane pravidelného testovania obnovy záloh

130

1. Implementácia nástroja na inventarizáciu IT aktív (nástrojom sa taktiež realizuje manažment konfigurácií počítačových sietí a IT aktív, zoznam ich vlastníkov/správcov, vzájomných väzieb, súvisiacej dokumentácie a zoznam a opis prostredí, v ktorom sú aktíva umiestnené a prevádzkované

131

1. Implementácia nástroja na manažment zraniteľností kybernetickej bezpečnosti a riadenie záplat.

132

1. Hodnotenie zraniteľností a bezpečnostné aktualizácie, zamerané na zavedenie nástroja na detekovanie zraniteľností programových a technických prostriedkov.

133

1. Implementácia nástrojov pre zavedenia manažmentu mobilných zariadení

134

1. Implementácia 2FA (dvojfaktorovej autentifikácie)

135

1. Riešenie kybernetických bezpečnostných incidentov rozšírením antivírusovej a XDR ochrany, detailná analýza koncových zariadení s cieľom zvýšenia ochrany pred kybernetickými útokmi z externého prostredia

136

1. Zvyšovanie kompetencií zamestnancov cez rozvoj bezpečnostného povedomia a pravidelné testovanie

137

138

Aktivity projektu budú realizované kombináciou interných kapacít odboru informačnej a kybernetickej bezpečnosti v spolupráci s externými dodávateľmi. Bude tiež zabezpečený nákup softvéru, ktorý bude využívaný v rámci integrácie a konfigurácie bez potreby vlastného vývoja. Projekt reaguje na narastajúce riziká kybernetických útokov. Podľa Správy o kybernetickej bezpečnosti v SR z roku 2023 (NBÚ) počet kybernetických útokov kontinuálne rastie. Medzi najčastejšie hrozby patria útoky prostredníctvom sociálneho inžinierstva, DDoS útoky, malvér a pokusy o zneužitie zraniteľností systémov. Hoci MŽP SR už má zavedené procesy riadenia kybernetickej bezpečnosti a spracovanú bezpečnostnú dokumentáciu, nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi na splnenie všetkých zákonných požiadaviek. Výstupy projektu budú zároveň v súlade s cieľmi Bezpečnostnej stratégie kybernetickej bezpečnosti a internými riadiacimi smernicami MŽP SR. Projekt reflektuje aj výsledky auditu kybernetickej bezpečnosti a analýzy rizík, ktoré definovali prioritné opatrenia a aktivity. Projektový zámer je v súlade so strategickými cieľmi Národnej koncepcie informatizácie verejnej správy (NKIVS 2021), ktorých dosiahnutie podporuje prostredníctvom administratívnych, procesných a technologických opatrení na minimalizáciu kybernetických bezpečnostných incidentov.

139

140

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na MŽP SR v období od 6.12.2023 do 5.2.2024 audit kybernetickej bezpečnosti. Dňa 5.2.2024 bola MŽP SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 MŽP SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. **Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre MŽP SR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.**

141

142

143

Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy:

144

145

146

**Kvantitatívne prínosy v rámci navrhovaného projektu sú:**

147

148

* Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku.

149

* Zabránenie riziku narušenia údajov implementáciou technických opatrení.

150

151

152

**Kvalitatívne prínosy v rámci navrhovaného projektu sú:**

153

154

* Zníženie miery rizika vzniku kybernetického incidentu.

155

* Zvýšenie miery súladu s platnou legislatívou.

156

* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

157

* Zvýšenie detekcie kybernetických bezpečnostných incidentov.

158

* Zvýšená spokojnosť a dôvera používateľov.

159

160

161

Časový harmonogram projektu je nastavený na 24 mesiacov a finálnym termínom dokončenia do 31.12.2027. Začiatok projektu je naplánovaný od 01/2026 a má byť ukončený najneskôr do 12/2027. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 24 mesiacov od začiatku trvania projektu.

162

163

Rámcový rozpočet projektu je stanovený na sumu **999 988,63 EUR s DPH**.

164

165

166

Projekt bude financovaný z Programu Slovensko:

167

168

* špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,

169

* opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,

170

* oblasť B. Kybernetická a informačná bezpečnosť.

171

172

173

Projekt je v súlade s nasledovným typom akcie PSK**: - Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy **s definovanou hlavnou aktivitou: **- Zvýšenie úrovne informačnej a kybernetickej bezpečnosti prostredníctvom nákupu hardvéru a bezpečnostného softvéru.**

1.

11. Motivácia a rozsah projektu

179

180

181

MŽP SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti patrí prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

182

183

* organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

184

* riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

185

* personálnej bezpečnosti,

186

* riadenia prístupov,

187

* riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

188

* bezpečnosti pri prevádzke informačných systémov a sietí,

189

* hodnotenia zraniteľností a bezpečnostných aktualizácií,

190

* ochrany proti škodlivému kódu,

191

* sieťovej a komunikačnej bezpečnosti,

192

* akvizície, vývoja a údržby informačných sietí a informačných systémov,

193

* zaznamenávania udalostí a monitorovania,

194

* fyzickej bezpečnosti a bezpečnosti prostredia,

195

* riešenia kybernetických bezpečnostných incidentov,

196

* kryptografických opatrení,

197

* kontinuity prevádzky,

198

* auditu, riadenia súladu a kontrolných činností.

199

200

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. MŽP SR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu. V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na MŽP SR v období od 6.12.2023 do 5.2.2024 audit kybernetickej bezpečnosti. Dňa 5.2.2024 bola MŽP SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB MŽP SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde MŽP SR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.

**Dotknutý IS VS**:

* Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.

206

207

Dotknuté** úseky, agendy VS a životné situácie:**

208

209

* Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na MŽP SR.

210

211

**Dotknuté prioritné osy v zmysle NKIVS:**

212

213

* Prioritná os 4 – Kybernetická a informačná bezpečnosť

214

215

**Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:**

216

217

Prioritná os 4: Kybernetická a informačná bezpečnosť

218

219

* Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

220

221

Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:

222

223

* **PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: 1**

224

* **PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 700**

225

226

Ukazovateľ PR017 uvádza počet všetkých zamestnancov MŽP SR, ktorí budú primárnou skupinou nových/vylepšených produktov a procesov realizovaných v rámci projektu.

227

228

229

|**P.č.**|**Názov hodnotiaceho kritéria**|**Parametre v projekte**|**Zdroj**

230

|1.|Miera rizík ohrozujúcich úspešnú realizáciu projektu|(((

231

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

)))|(((

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_Projekt_KIB_MZPSR.xlsx, ktorý tvorí aj prílohu ŽoNFP.

)))

|2.|Administratívne, odborné a prevádzkové kapacity žiadateľa|Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.|(((

240

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

245

)))

246

|3.|Miera oprávnenosti výdavkov projektu.|(((

247

Žiadateľ postupoval pri zostavovaní rozpočtu projektu v súlade s pravidlami oprávnenosti výdavkov uvedenými v:

248

249

- Príručke oprávnenosti výdavkov (príloha č. 6 Výzvy) a

250

251

- Osobitných podmienkach oprávnenosti výdavkov projektu (príloha č. 7 Výzvy);

252

253

Žiadateľ zadefinoval v ŽoNFP (časť 10. Aktivity projektu a očakávané merateľné ukazovatele) merateľné ukazovatele projektu uvedené v prílohe č. 4 Výzvy.

254

)))|(((

255

V rámci projektu budú realizované nasledovné podaktivity v súlade s výzvou a hlavnou aktivitou s cieľom z výšiť úroveň kybernetickej a informačnej bezpečnosti Ministerstvu životného prostredia Slovenskej republiky v oblastiach:

256

257

258

Personálna bezpečnosť

259

260

Hodnotenie zraniteľností a bezpečnostné aktualizácie

261

262

Ochrana proti škodlivému kódu

263

264

Zaznamenávanie udalostí a monitorovanie

265

266

Riadenie prístupov zariadení v sieti

267

268

Riešenie kybernetických bezpečnostných incidentov

269

270

Nasadenie nástroja na zálohovanie a uloženie záloh

271

272

273

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

274

275

276

Formulár ŽoNFP (časť 11. Rozpočet projektu)

277

)))

278

|4.|(((

279

Zabezpečenie základných činností

280

281

v oblasti kybernetickej a informačnej bezpečnosti

282

283

v organizácii žiadateľa.

284

)))|(((

285

Žiadateľ splnil bodové hodnotiace kritérium implementáciou základných činností v oblasti kybernetickej a informačnej bezpečnosti v rozsahu:

286

287

* Implementácia nástroja pre zavedenie zálohovania na obnovu siete a informačného systému vrátane pravidelného testovania obnovy záloh.

288

* Implementácia nástroja pre manažment konfigurácií počítačových sietí a IT aktív, zoznam ich vlastníkov/správcov, vzájomných väzieb, súvisiacej dokumentácie a zoznam a opis prostredí, v ktorom sú aktíva umiestnené a prevádzkované.

289

* Implementácia nástroja na manažment zraniteľností kybernetickej bezpečnosti a riadenie záplat.

290

)))|Viď dokument Zámer Projektu rozvoja IT a ŽoNFP čast 7.

291

|5.|Zabezpečenie vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa.|(((

292

Žiadateľ splnil bodové hodnotiace kritérium implementáciou vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v rozsahu:

293

294

* Implementácia nástroja pre zavedenie viac- faktorovej autentifikácie.

295

* Implementácia nástrojov pre zavedenia manažmentu mobilných zariadení

296

* Implementácia nástroja, ktorého cieľom je zvýšiť schopnosť detekcie škodlivých aktivít a bezpečnostných incidentov, resp. ochrany koncových bodov, dát, dátových prenosov a sieťovej komunikácie, a ktorého cieľom je zvýšenie ochrany pred kybernetickými útokmi z externého prostredia.

297

)))|Viď dokument Zámer Projektu rozvoja IT a ŽoNFP čast 7.

**Identifikované problémy súčasného stavu**

302

303

Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

304

305

306

Celková **úroveň riadenia kybernetickej a informačnej bezpečnosti Ministerstvu životného prostredia Slovenskej republiky** v zmysle požiadaviek zákona o kybernetickej bezpečnosti **a zavedených opatrení** v zmysle vyhlášky 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) sú považované na základe auditu za **ČIASTOČNE SPLNENÉ**. Ministerstvo životného prostredia Slovenskej republiky ako poskytovateľ základnej služby vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.. Touto vyhláškou Národného bezpečnostného úradu sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. **Stratégia kybernetickej bezpečnosti** obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z.. Zavedený proces **klasifikácie informácií **je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

307

308

309

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oblastiach:

310

311

* Nastaviť proces aktualizácie bezpečnostnej politiky tak, aby zahŕňal aj zapracovanie skúseností získaných z riešenia konkrétnych zaznamenaných incidentov.

312

* Zvážiť pravidelnú revíziu procesu nahlasovania incidentov.

313

* Nasadiť viacfaktorovú autentizáciu pomocou certifikátov pre všetkých používateľov koncových staníc.

314

* Zavedenie nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí.

315

* Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien.

316

* Zavedenie SW nástroja na bezpečné tlačenie dokumentov na ľubovoľnej sieťovej tlačiarni, po autentifikácii kartou alebo PIN kódom.

317

* Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM) ako aj zber a ukladanie logov z jednotlivých informačných systémov.

318

* Implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania.

319

* Implementácia opatrení riadenia prístupov zariadení v sieti.

320

* Riešenie kybernetických bezpečnostných incidentov.

321

* Nasadenie nástroja na zálohovanie a uloženie záloh.

322

323

324

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oblastí kybernetickej a informačnej bezpečnosti:

325

326

327

* Personálna bezpečnosť

328

* Hodnotenie zraniteľností a bezpečnostné aktualizácie

329

* Ochrana proti škodlivému kódu

330

* Zaznamenávanie udalostí a monitorovanie

331

* Riadenie prístupov zariadení v sieti

332

* Riešenie kybernetických bezpečnostných incidentov

333

* Nasadenie nástroja na zálohovanie a uloženie záloh

334

335

336

**Hlavným problémom, ktorému Ministerstvo životného prostredia Slovenskej republiky ako PZS čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne, aby boli technologické náležitosti KIB realizované tak, aby:**

337

338

* **chránili IT systémy, ktoré zabezpečujú prevádzku základnej služby pred kybernetickými útokmi**

339

* **plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,**

340

* **boli pripravené na ďalší rozvoj IT technológií PZS a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.**

341

342

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image001.png]]

343

344

[[image:1755520002568-238.png]]

345

346

Obrázok 1. Motivačná architekúra

**Hlavné ciele:**

Hlavným cieľom projektu je **zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti** zavedením nových bezpečnostných opatrení:

353

354

* Zvýšenie prijatých bezpečnostných opatrení v oblasti personálnej bezpečnosti.

355

* Zvýšenie prijatých bezpečnostných opatrení v oblasti hodnotenia zraniteľností a bezpečnostných aktualizácií.

356

* Zvýšenie prijatých bezpečnostných opatrení v oblasti ochrane proti škodlivému kódu.

357

* Zvýšenie prijatých bezpečnostných opatrení v oblasti zaznamenávaní udalostí a monitorovaní.

358

* Zvýšenie prijatých bezpečnostných opatrení v oblasti riadenia prístupov zariadení v sieti.

359

* Zvýšenie prijatých bezpečnostných opatrení v oblasti riešenia kybernetických bezpečnostných incidentov.

360

* Zvýšenie prijatých bezpečnostných opatrení v oblasti zálohovania.

361

362

363

**Aplikované princípy informatizácie VS (v zmysle NKIVS):**

364

365

Princíp P6: Bezpečnosť

366

367

* Optimálna úroveň bezpečnosti

368

* Včasné riešenie bezpečnosti

369

* Dostupnosť – odolnosť voči výpadkom

1.

11. Zainteresované strany (Stakeholderi)

|**ID**|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

(názov / skratka)

)))|(((

**ROLA**

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

388

)))|(((

389

**Informačný systém**

390

391

(názov ISVS a MetaIS kód)

392

)))

393

|1.|Ministerstvo životného prostredia Slovenskej republiky|(((

MŽP SR

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ/ Užívateľ IS

)))|(((

GEOcloud isvs_10290

SK - Copernicus collaborative ground segment isvs_10289

405

406

Národný Emisný Informačný Systém isvs_9525

407

408

Informačný systém odpadového hospodárstva isvs_8182

409

410

Komplexný informačný a monitorovací systém Štátnej ochrany prírody SR (KIMS) isvs_7480

411

412

Informačný systém nakladania s ťažobným odpadom isvs_7423

413

414

Informačný systém o oprávnených osôbách na vykonávanie oprávnených meraní emisií do ovzdušia isvs_7331

415

416

Elektronický systém nahlasovania vybraných údajov (správ o emisiách skleníkových plynov, správ o úrovni činnosti častí prevádzky a monitorovacích plánov) isvs_6497

417

418

Register priestorových informácií isvs_319

419

420

Informačný systém o vode určenej na ľudskú spotrebu isvs_302

421

422

Informačný systém Integrovaná prevencia a kontrola znečisťovania životného prostredia isvs_297

423

424

Čiastkový monitorovací systém "Rádioaktivita životného prostredia" isvs_311

425

426

Informačný systém posudzovania vplyvov na životné prostredie (EIA/SEA) isvs_294

427

428

Informačný systém Environmentálne záťaže isvs_300

429

430

Geologický informačný systém isvs_314

431

432

Súhrnná evidencia o vodách isvs_310

433

434

Informačný systém prevencie závažných priemyselných havárií isvs_296

435

436

CITES - Informačný systém o medzinárodnom obchode s ohrozenými druhmi voľne žijúcich živočíchov a rastlín isvs_313

437

438

Informačný systém prevencie a nápravy environmentálnych škôd isvs_304

439

440

Informačný systém monitoringu isvs_299

441

442

Informačný systém Kvalita ovzdušia isvs_312

443

444

Národný register znečisťovania z oblasti vody, ovzdušia, odpadov a pôdy isvs_329

445

446

Informačný systém o kvalite vody na kúpanie isvs_303

447

448

Systém elektronickej pošty Ministerstva životného prostredia SR isvs_10027

449

450

Webové sídlo Ministerstvo životného prostredia isvs_9884

451

452

IS Nuntio MŽP SR isvs_9163

453

454

(pre priehľadnosť sme vymenovali len najdôležitejšie ISVS rezortu)

455

)))

456

457

|3.|Zamestnanec MŽP SR|-|Užívateľ|N/A

458

|4.|Národný bezpečnostný úrad|NBÚ| |N/A

459

|5.|Občan|-|Zákazník / Užívateľ|N/A

460

|6.|Podnikateľ|-|Zákazník / Užívateľ|N/A

1.

11. Ciele projektu

Hlavným cieľom projektu je zabezpečenie kybernetickej bezpečnosti Ministerstvu životného prostredia Slovenskej republiky, vrátane včasnej a efektívnej reakcie na kybernetické útoky. Zároveň by sa malo dosiahnuť kvalitnejšie a transparentnejšie riadenie celého životného cyklu identifikovaných kybernetických incidentov a zjednotenie postupov a technologickej úrovne kybernetickej odolnosti informačných systémov. Všeobecnými cieľmi preto sú:

467

468

469

* Kvalitnejšie a rýchlejšie riadenie, monitorovanie a reagovanie na kybernetické hrozby.

470

* Zvýšenie efektívnosti ochrany informačných systémov v oblasti ochrany životného prostredia

471

* Zvýšenie odolnosti informačných systémov voči kybernetickým útokom.

472

* Automatizovaný reporting o vzniku kybernetického bezpečnostného incident.

473

474

475

|**ID**|**Názov cieľa**|**Názov strategického cieľa**|**Spôsob realizácie strategického cieľa**

476

|1|Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti|Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe|Dodržanie legislatívnych požiadaviek, implementácia nových nástrojov

1.

11. Merateľné ukazovatele (KPI)

|**ID**|(((

**ID/Názov cieľa**

)))|**Názov

ukazovateľa **(KPI)|**Popis

490

ukazovateľa**|**Merná jednotka**

|**AS IS

merateľné hodnoty**

(aktuálne)|**TO BE

Merateľné hodnoty**

(cieľové hodnoty)|(((

496

**Spôsob ich merania**

)))

|1.|(% rowspan="3" %)Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti|PO095 / PSKPSOI12 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|(((

501

Počet verejných inštitúcií, ktoré sú podporované za

502

503

účelom rozvoja a modernizácie kybernetických

504

505

služieb, produktov, procesov a zvyšovania

506

507

vedomostnej úrovne napríklad v kontexte opatrení

508

509

smerujúcich k elektronickej bezpečnosti verejnej

správy.

)))|Počet|0|1|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

514

515

Čas plnenia merateľného ukazovateľa projektu:

516

517

Fyzické ukončenie realizácie hlavných aktivít projektu

518

)))

519

|2.|PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov|Ukazovateľ PR017 uvádza počet všetkých zamestnancov MŽP SR, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu|používatelia / rok|0|700|(((

520

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.

521

522

V prípade MŽP SR ide o počet zamestnancov, ktorí využívajú IS MŽP SR alebo akékoľvek elektronické zariadenia v správe MŽP SR.

523

524

Čas plnenia merateľného ukazovateľa projektu:

525

526

v rámci udržateľnosti projektu

527

)))

528

|3.|Počet implementovaných riešení kybernetickej a informačnej bezpečnosti|Ukazovateľ uvádza počet implementovaných riešení kybernetickej a informačnej bezpečnosti projektom|Počet / projekt|0|6|Akceptačný protokol

1.

11. Špecifikácia potrieb koncového používateľa

533

534

Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celého MŽP SR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

1.

11. Vyhodnotenie rizík a závislostí

539

540

Riziká a závislostí sú spracované v Prílohe č. 1 – **Zoznam RIZÍK a ZÁVISLOSTÍ**. Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.

541

542

|**ID**|(((

543

**NÁZOV RIZIKA a ZÁVISLOSTI**

544

545

546

)))|**POPIS / NÁSLEDOK**

547

|**1**|Nebude možné naplniť všetky kvalitatívne požiadavky projektu.|Nebudú plne dosiahnuté očakávané benefity projektu.

548

|**2**|Jednotlivé komponenty projektu nebudú vykazovať známky 100% kompatibility.|Vzhľadom na vytvorenie ekosystému je dôležité, aby jednotlivé prvky boli schopné komunikovať vzájomne a mali rovnaké východiskové požiadavky na obojsmernú programovú komunikáciu.

549

|**3**|Nedostupnosť komponentov novej infraštruktúry|Nedostupnosť komponentov novej infraštruktúry, prípadne ich veľmi dlhé dodacie lehoty môžu mať negatívny vplyv na termín ukončenia projektu.

550

|**4**|Projekt nebude realizovaný a nasadený podľa plánu.|V prípade omeškania dodávok projektu resp. v prípade omeškania nasadenia výstupov projektu, nebude možné efektívne a včas reagovať na bezpečnostné incidenty.

551

|**5**|Nepridelené finančné prostriedky|Predčasné ukončenie projektu, predĺženie doby realizácie projektu.

552

|**6**|Komplikácie s verejným obstarávaním|V prípade neskorého vypísania VO, prípadne komplikácií v procese VO by bol ohrozený začiatok implementačnej fázy.

553

|**7**|Neúplné požiadavky|Neúplné požiadavky môžu spôsobiť predĺženie trvania projektu, navýšenie nákladov, z dôvodu potreby dodatočného obstarávania komponentov.

554

|**8**|Vysoké náklady na prevádzku|Náklady na prevádzku budú vyššie ako plánované. Prekročenie plánovaných nákladov na prevádzku. Potreba dodatočných finančných zdrojov.

555

|**9**|Ohrozenie prevádzky a dostupnosti systému|Ohrozenie prevádzky a dostupnosti systému z dôvodu možných kybernetických útokov.

556

|**10**|Nedostatočné vyhodnotenie kvality|Neodhalenie slabých miest v jednotlivých fázach implementácie projektu.

557

|**11**|Nesúčinnosť a nespoľahlivosť dodávateľa|Predčasné ukončenie projektu, alebo predĺženie doby realizácie projektu.

558

|**12**|Nedostatok ľudských zdrojov|Predĺženie doby realizácie projektu. Výstupy projektu budú dodané v nedostatočnej kvalite.

1.

11. Detailný opis rozpočtu projektu a jeho prínosov

**NÁKLADY**

Sumarizácia nákladov:

567

568

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image002.png]][[image:1755520045479-124.png]]

Sumarizácia nákladov a prínosov riešenia za obdobie 10 rokov:

573

574

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image003.png]][[image:1755520056539-844.png]]

575

576

577

Interpretácia výsledkov:

578

579

580

Ekonomická a finančná efektívnosť projektu je v analýze prínosov a nákladov hodnotená kvantitatívne pomocou nasledujúcich ukazovateľov:

581

582

583

* Pomer prínosov a nákladov (BCR): 4,70

584

* Kumulovaná diskont. návratnosť ENPV: v t3

1.

11.

111. Sumarizácia nákladov a prínosov

590

591

**Rozpočet projektu**:** 999 988,63** **EUR**

592

593

594

Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“ Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená cena s DPH za jednotlivé položky. Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia MŽP SR. Celkové náklady na sluźby 518 -Ostatné služby na zabezpečenie riešenia boli vypočítané prostredníctvom UCP analýzy. Vypočítané náklady projektu a výšku rozpočtu môžeme rozdeliť nasledovne:

**Hlavné aktivity**

**Vývoj aplikácií:**

**~ **

Externé služby: 168 591,18 EUR s DPH

604

605

SW a Licencie: 765 977,63 EUR s DPH

606

607

608

**Podporné aktivity**

609

610

907 - Paušálna sadzba na nepriame výdavky podľa článku 54 písm. a) NSU: 65 419,82 EUR

611

612

613

V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).

614

615

616

**KVANTITATÍVNE PRÍNOSY:**

617

618

**1.) Zníženie % výpadku služieb Ministerstvu životného prostredia Slovenskej republiky a s tým súvisiaceho „prestoja“ zamestnancov ministerstva**

619

620

% zníženia výpadkov infraštruktúry z dôvodu doplnenia kľúčových HW komponentov infraštruktúry. Prínos sme vypočítali ako rozdiel medzi nedostupnosťou infraštruktúry v AS-IS a TO-BE stave.

621

622

623

**2.) Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku**

624

625

Riziko dopadu veľmi závažného incidentu p je v súčasnosti 10%. Aj keď z praxe vyplýva, že periodicita takéhoto incidentu je 1 krát za 10r. Nasadením riešenia dôjde k zníženiu pravdepodobnosti dopadu závažného incidentu o polovicu. Zároveň zmenou bezpečnostnej architektúry zavedením technologických opatrení dôjde k zníženiu doby obnovy z 14 (10 prac.) dní na 2 dni.

626

627

628

**3.) Zabránené riziku narušenia údajov implementáciou XDR**

629

630

Prínos je vypočítaný ako rozdiel medzi sumárom pravdepodobných priemerných nákladov v prípade narušenia údajov medzi prostredím bez implementovaného riešenia XDR a prostredím s implementovaným XDR. Priemerné náklady pre AS_IS sú vypočítané ako úspora na priemerných nákladoch pri úspešnom porušení údajov. Implementácia riešenia XDR počíta so snažením rozsahu dopadu o 97%.

631

632

633

**KVALITATÍVNE PRÍNOSY:**

634

635

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti Ministerstvu životného prostredia Slovenskej republiky prináša viaceré významné kvalitatívne prínosy v oblasti kybernetickej bezpečnosti a ochrany kritických informačných systémov:

636

637

638

**Zvýšená kybernetická ochrana - **Projekt prispieva k posilneniu ochrany pred kybernetickými hrozbami a útokmi. Zvýšená schopnosť detekcie a prevencie hrozieb pomáha minimalizovať riziko kybernetických incidentov a znefunkčnenia kritických systémov. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že organizácia bude vystavená menej rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Súčasné kybernetické hrozby neustále evolvujú a stávajú sa čoraz zložitejšími a nebezpečnejšími. Útoky sa objavujú na nových frontoch a využívajú nové techniky na obehnanie existujúcich obranných mechanizmov. Tieto hrozby predstavujú závažné riziká pre organizáciu, ktoré môžu mať vážne dôsledky na jej činnosť a povesť. V rámci projektu investujeme do nových technológií, nástrojov a stratégií, ktoré organizácii umožnia identifikovať a eliminovať tieto hrozby na najvyššej úrovni. Vytvoríme širší a komplexnejší prístup k kybernetickej bezpečnosti, ktorý zabezpečí, že organizácia bude dobre pripravená na kybernetické hrozby všetkých druhov. Rozšírením kybernetickej bezpečnosti na najvyššiu úroveň budeme mať možnosť brániť sa najnáročnejším útokom a minimalizovať ich škodlivé účinky. Tým zabezpečíme ochranu aktív a dôvernosti organizácie, čo je kritické pre našich klientov, zamestnancov a partnerov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť a prosperitu organizácie.

639

640

**Rýchlejšia reakcia na hrozby -** Implementácia technologických riešení a automatizácia procesov umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budeme implementovať najmodernejšie technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k okamžitejšom nasadení potrebných opatrení na minimalizáciu potenciálnych škôd. To znamená, že vďaka implementácii projektu budeme schopní zareagovať na hrozby rýchlejšie a účinnejšie. Výsledkom je nielen zníženie rizika pre organizáciu, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť. Zvýšená rýchlosť a efektivita reakcie na kybernetické hrozby prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesť. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany organizácie pred hrozbami v dnešnom digitálnom svete.

641

642

**Hĺbková analýza hrozieb –** Projektom sa zvýši schopnosť odhaľovať sofistikované hrozby a budúce kybernetické útoky. Hĺbková analýza je kritická v identifikácii a porozumení novým a komplexným hrozbám, ktoré sa vyvíjajú v kybernetickom prostredí. Prostredníctvom projektu investujeme do školenia našich expertov a do moderných nástrojov na analýzu a identifikovanie hrozieb, čo umožní získať hlbší pohľad do štruktúry hrozieb a ich metód. Okrem toho, sledovanie správania útočníkov je ďalším významným prvkom hĺbkovej analýzy. S týmito nástrojmi sme schopní sledovať, ako sa útočníci pohybujú v našej sieti a aké kroky podnikajú na dosiahnutie svojich cieľov. Toto je kľúčové pri rozpoznaní sofistikovaných útokov, ktoré môžu byť skryté a ťažko detekovateľné tradičnými metódami. Zlepšená schopnosť hĺbkovej analýzy hrozieb prinesie organizácii výhody v podobe predchádzania novým, ešte neznámym útokom a rýchlejšiemu vytváraniu ochranných opatrení. Týmto spôsobom projekt prispieva k dlhodobejšiemu zabezpečeniu organizácie pred kybernetickými hrozbami a znižuje pravdepodobnosť závažných incidentov.

643

644

**Spolupráca a komunikácia -** Zlepšená spolupráca a komunikácia medzi rôznymi tímami v organizácii pomáha včasnému zdieľaniu informácií o hrozbách a koordinácii reakcií na kybernetické incidenty. Zlepšená spolupráca znamená, že tímy zamerané na bezpečnosť, IT, a všetky ďalšie príslušné oddelenia budú mať jednoduchší prístup k informáciám o kybernetických hrozbách. To umožní včasné a rýchle zdieľanie informácií o identifikovaných rizikách a aktuálnych situáciách. Týmto spôsobom môžeme predchádzať izolovaným silám a skrátiť čas, ktorý by inak bol stratený na vyhľadávanie dôležitých informácií. V prípade kybernetických incidentov, kedy každá sekunda záleží, umožňuje tento projekt okamžitú komunikáciu a koordináciu reakcií. Rôzne tímy sú schopné okamžite reagovať na situácie, spolupracovať na náprave incidentu a obnoviť normálnu prevádzku bez neprimeraného omeškania. Spolupráca a komunikácia sú kľúčom k efektívnemu kybernetickému bezpečnostnému procesu, a ich zdokonalenie v rámci tohto projektu posilňuje obranu organizácie proti hrozbám. Zabezpečuje to, že organizácia je jednotným tímom, ktorý je schopný reagovať na kybernetické hrozby s jednotným úsilím, čo vedie k zníženiu rizika a minimalizácii škôd.

645

646

**Zvýšená reputácia a dôvera -** Dôsledné opatrenia v oblasti kybernetickej bezpečnosti pomáhajú zvýšiť dôveru v štát a reputáciu krajiny. Zabezpečením integrity, dôvernosti a dostupnosti dôležitých informácií a služieb v kybernetickom priestore sa zlepšuje vnímaná kvalita a spoľahlivosť verejnej správy.

647

648

**Rýchla identifikácia nových hrozieb -** Vďaka zdokonaleným nástrojom môže organizácia rýchlejšie identifikovať nové kybernetické hrozby. S novými technológiami a analýzou správania útočníkov môžeme odhaliť aj rafinovanejšie útoky, ktoré by mohli uniknúť tradičným bezpečnostným systémom.

649

650

**Včasné varovania -** Proaktívna kybernetická bezpečnostná stratégia umožňuje organizácii generovať včasné varovania a upozornenia na potenciálne hrozby. To dáva tímom viac času na prípravu a predchádzanie útokom.

651

652

**Preventívne opatrenia -** Projekt zahŕňa implementáciu preventívnych opatrení na základe včasného rozpoznania hrozieb. Tieto opatrenia môžu zahŕňať aktualizácie zraniteľných systémov, zvýšenú monitorovanie, a iné kroky na minimalizáciu rizika.

653

654

**Znižuje zraniteľnosť organizácie -** Proaktivita v reakcii na kybernetické hrozby robí organizáciu menej zraniteľnou voči novým hrozbám. Tým sa minimalizuje potenciálna škoda, ktorú by organizácia mohla utrpieť v dôsledku kybernetického útoku.

655

656

657

**Projektom sa zabezpečí, že organizácia nebude iba pasívnym príjemcom informácií o hrozbách, ale aktívnym účastníkom v boji proti nim. Tým sa MŽP SR stane schopnou predvídať a čeliť hrozbám s vyššou efektivitou a dôslednosťou, čím sa posilňuje celková kybernetická bezpečnosť. Celkovo projekt prispeje k vytvoreniu moderného a efektívneho systému včasnej reakcie na kybernetické hrozby v oblasti verejnej správy. Zvýšená kybernetická ochrana a reaktívna schopnosť pomôžu minimalizovať riziká, ktoré kybernetický priestor predstavuje pre dôležité informácie a služby, a to nielen v v pôsobnosti MŽP SR, ale aj pre celý štát.**

*

*1.

*11. Zdroj financovania

664

* Zdroj financovania: Európske štrukturálne a investičné fondy

665

* Program Slovensko,

666

* Výzva: Výzvou č. PSK-MIRRI-616-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“.

.

1.

11. Harmonogram projektu

673

674

Časový harmonogram projektu je nastavený na 24 mesiacov a finálnym termínom dokončenia do 12/2027. Začiatok projektu je naplánovaný od 01/2026 a má byť ukončený najneskôr do 12/2027. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 24 mesiacov od začiatku trvania projektu.

675

676

677

|**ID**|**FÁZA/AKTIVITA**|(((

**ZAČIATOK**

(odhad termínu)

)))|(((

**KONIEC**

(odhad termínu)

)))|**POZNÁMKA**

|1.|Prípravná fáza a Iniciačná fáza|04/2024|04/2025|

687

|2.|Realizačná fáza|01/2026|12/2027|

688

|2a|Analýza a Dizajn|01/2026|08/2026|

689

|2b|Nákup technických prostriedkov, programových prostriedkov a služieb|01/2026|08/2026|Je potrebné obstarať dodávateľa riešenia/ licencie[[^^~[1~]^^>>path:#_ftn1]]/ konzultačné služby/ HW a SW

690

|2c|Implementácia a testovanie|09/2026|04/2027|

691

|2d|Nasadenie a PIP|05/2027|12/2027|

692

|3.|Dokončovacia fáza|12/2027|12/2027|

693

|4.|Podpora prevádzky (SLA)|01/2028|12/2032|Potrebné obstarať SLA zmluvu

694

695

696

**Projekt bude realizovaný metódou Waterfall v súlade s **Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou.

697

698

699

[[image:1755520105790-606.png]]

1.

11. Návrh organizačného zabezpečenia projektu (projektový tím)

705

706

**Riadiaci výbor** projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

707

708

709

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

710

711

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

712

713

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

714

715

716

Riadiaci výbor projektu môžu tvoriť:

717

718

1.

719

11. **predseda** Riadiaceho výboru projektu,

720

11. **podpredseda **Riadiaceho výboru projektu,

721

11. **vlastník alebo vlastníci procesov MŽP SR** (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,

722

11. **zástupcu kľúčových používateľov **(end user),

723

11. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.

724

11. projektový manažér prijímateľa PPM.

725

726

727

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

728

729

730

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

731

732

733

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

734

735

736

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

737

738

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

739

740

741

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

|1.|TBD|TBD|TBD|Predseda RV (HP)

746

|2.|TBD|TBD|TBD|Podpredseda RV (HP)

747

|3.|TBD|TBD|TBD|Zástupca vlastníkov procesov (HP)

748

|4.|TBD|TBD|TBD|Zástupca vlastníkov procesov II. (HP)

749

|5.|TBD|TBD|TBD|Zástupcu kľúčových používateľov

750

|6.|TBD|TBD|TBD|Zástupca Dodávateľa

751

|7.|TBD|Projektový manažér|TBD|Projektový manažér prijímateľa

752

753

754

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

755

756

Projektový tím bude pozostávať z pozícií:

* Projektové role:

* Projektový manažér,

761

* Kľúčový používateľ,

762

* Manažér kybernetickej a informačnej bezpečnosti,

763

764

765

* Ďalšie projektové role:

* Finančný manažér

* Asistent PM

V súlade s výzvou MŽP SR zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov MŽP SR.

771

772

773

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

774

775

Projektový manažér Objednávateľa bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

776

777

778

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

779

780

781

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

|1.|TBD|Projektový manažér|TBD|Projektový manažér

786

|2.|TBD|Špecialista v oblasti počítačových sietí|TBD|Kľúčový používateľ

787

|3.|TBD|Manažér kybernetickej a informačnej bezpečnosti|TBD|Manažér kybernetickej a informačnej bezpečnosti

788

|4.|TBD|TBD|TBD|Finančný manažér

789

|5.|TBD|TBD|TBD|Asistent PM

1. LEGISLATÍVA

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

794

795

Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

796

797

Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.

798

799

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

800

801

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

802

803

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

804

805

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

806

807

Zákon č. 218/2013 Z.z. o núdzových zásobách ropy a ropných výrobkov a o riešení stavu ropnej núdze a o zmene a doplnení niektorých zákonov

808

809

Zákon č. 372/2012 Z. z. o štátnych hmotných rezervách a o doplnení zákona č. 25/2007 Z. z. o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

810

811

Smernica č. 1/2021 Postup pri tvorbe, hospodárení a použití mobilizačných rezerv

812

813

Smernica č. 4/2021 Postup pri tvorbe, hospodárení a použití pohotovostných zásob

814

815

Smernica č. 17/2021 Skladová evidencia štátnych hmotných rezerv

816

817

Smernica č. 8/2022 – Financovanie bežných výdavkov ochraňovateľov spojených s ochraňovaním mobilizačných rezerv a pohotovostných zásob hradených zo štátneho rozpočtu

818

819

Smernica č. 15/2019 Stanovenie spôsobu merania a výpočtu množstva skladovaných hmotných rezerv, noriem strát pri skladovaní a manipulácii s materiálmi zásob hmotných rezerv

820

821

822

1. ARCHITEKTÚRA RIEŠENIA PROJEKTU

823

824

Projekt zameraný na zvýšenie kybernetickej bezpečnosti Ministerstvu životného prostredia Slovenskej republiky má za cieľ riešiť komplexné oblasti ochrany infraštruktúry, dát a personálnych kapacít pred kybernetickými hrozbami. Komplexné služby a funkcie budúceho systému sú zachytené v modeli budúceho stavu biznis architektúry. Ďalším dôležitým faktorom je zabezpečenie pripojenia na jednotný informačný systém kybernetickej bezpečnosti, ako aj následné poskytovanie informácii a údajov do jednotného informačného systému kybernetickej bezpečnosti.

825

826

827

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image005.png]][[image:1755520139553-348.png]]

Ministerstvo životného prostredia sa rozhodlo výrazne posilniť svoju kybernetickú bezpečnosť prostredníctvom komplexného súboru technologických riešení, ktoré pokrývajú rôzne aspekty ochrany infraštruktúry, dát a prevádzky. Primárnym cieľom je vybudovanie robustnej architektúry bezpečnostného monitoringu a reakcie na incidenty, ktorá integruje moderné nástroje pre zber, analýzu a koreláciu bezpečnostných udalostí, správu zraniteľností, ochranu koncových zariadení a sieťovej prevádzky, ako aj automatizáciu bezpečnostných procesov. Implementáciou týchto riešení sa výrazne zvýši schopnosť organizácie detegovať, analyzovať a reagovať na kybernetické hrozby, čím sa zabezpečí ochrana kritických systémov a údajov ministerstva pred narastajúcimi bezpečnostnými rizikami. Kľúčovým prvkom tohto zlepšenia je zavedenie systému SIEM, ktorý umožní centralizovaný zber a spracovanie bezpečnostných udalostí z rôznych prvkov IT infraštruktúry, vrátane serverov, sieťových zariadení, koncových staníc, aplikácií, autentifikačných systémov a antivírusových riešení. SIEM riešenie zabezpečí, že všetky udalosti budú agregované, normalizované a analyzované s cieľom odhaliť potenciálne bezpečnostné incidenty a poskytnúť analytikom podklady na rýchlu reakciu. Tento systém bude navyše prepojený so SOAR riešením, ktoré automatizuje proces vyšetrovania a mitigácie incidentov, čím sa podstatne zrýchli a zefektívni odozva na bezpečnostné hrozby.

832

833

834

Dôležitou súčasťou architektúry je aj zavedenie XDR riešenia, ktoré umožní pokročilú detekciu a reakciu na kybernetické útoky na úrovni koncových zariadení. Tento nástroj rozšíri bezpečnostné monitorovanie o analýzu správania užívateľov a aktivity v rámci celej siete, čím umožní rýchlu identifikáciu podozrivých vzorcov a neobvyklých aktivít. XDR integruje viaceré bezpečnostné produkty do jedného systému, čo znamená, že incidenty nebudú vyhodnocované izolovane, ale v širšom kontexte celého IT prostredia. Takáto koordinovaná ochrana výrazne znižuje riziko preniknutia útočníkov do siete a umožňuje proaktívnu obranu pred neznámymi a sofistikovanými útokmi. Okrem samotnej detekcie hrozieb ministerstvo plánuje aj výrazne posilniť správu a riadenie zraniteľností. Implementáciou nástroja na manažment zraniteľností a riadenie záplat sa zabezpečí kontinuálne monitorovanie IT aktív s cieľom identifikácie slabých miest a automatizované riadenie aktualizácií softvéru a systémov. Tento proces pomôže predchádzať zneužitiu známych bezpečnostných dier, čím sa výrazne zníži riziko úspešného kybernetického útoku. Nástroj bude úzko prepojený so SIEM a XDR riešeniami, vďaka čomu budú zraniteľnosti analyzované v kontexte aktuálnych hrozieb a bezpečnostného stavu infraštruktúry.

835

836

837

Dôležitým aspektom posilňovania bezpečnosti je aj efektívna správa a monitorovanie mobilných zariadení, čo bude riešené implementáciou MDM riešenia. Tento nástroj umožní centralizovanú správu bezpečnostných politík pre mobilné telefóny a tablety, zabezpečí oddelenie pracovných a súkromných dát a umožní vzdialené riadenie zariadení v prípade ich straty alebo odcudzenia. MDM bude integrované so SIEM riešením, čím sa rozšíri viditeľnosť nad celou bezpečnostnou infraštruktúrou.

838

839

840

V neposlednom rade bude implementovaná viacfaktorová autentifikácia (MFA), ktorá posilní bezpečnosť prístupu do kritických systémov a aplikácií. Táto technológia zabezpečí, že prístup k citlivým údajom a službám bude chránený viacvrstvovou autentifikáciou, čím sa eliminuje riziko neoprávneného prístupu aj v prípade kompromitácie hesla. Celý bezpečnostný ekosystém bude spravovaný a monitorovaný z bezpečnostného operačného centra (SOC), ktoré zabezpečí dohľad nad všetkými bezpečnostnými procesmi, kontinuálnu analýzu hrozieb a rýchlu reakciu na bezpečnostné incidenty. SOC bude vybavené pokročilými analytickými nástrojmi a umožní proaktívne vyhodnocovanie bezpečnostných trendov s cieľom neustáleho zlepšovania bezpečnostného prostredia.

841

842

843

Riešenia MDM a MFA sú súčasťou riešenia XDR.

**~ **

**Bezpečnostná architektúra TO BE STAV **

848

849

**[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image006.png]]**

850

851

[[image:1755520156493-318.png]]

852

853

854

**Popis technologických komponentov budúceho riešenia:**

**SIEM**

Dobudovanie a podpora realizácie technologickej služby bezpečnostného monitoringu SIEM a SOAR si vyžaduje implementáciu nástroja na centralizovaný zber a analýzu bezpečnostných udalostí. SIEM riešenie musí byť integrované so všetkými prvkami virtualizačnej sieťovej infraštruktúry, výstupmi zo systému pre správu a riadenie prístupov, výstupmi a identifikovanými udalosťami forenzného monitoringu, ako aj s údajmi z manažmentu zraniteľností a automatizovaných penetračných testov. Medzi infraštruktúrne prvky, na ktoré je potrebné sa pripojiť, patria serverová infraštruktúra, sieťová infraštruktúra, prevádzkované aplikácie, pracovné stanice a výstupy z ESET antivírusového systému, ako aj Microsoft Active Directory a Microsoft Exchange. Základom SIEM technológie je centrálne získavanie a spracovanie bezpečnostne relevantných udalostí, pričom tieto údaje pochádzajú z rôznych zdrojov, ktoré sú následne agregované, normalizované, indexované a korelované. Tento proces umožňuje identifikáciu súvislostí medzi jednotlivými udalosťami a detekciu potenciálnych bezpečnostných incidentov. V prípade vzniku incidentu je možné prostredníctvom SIEM vykonať podrobné vyšetrovanie a analyzovať udalosti, ktoré mu predchádzali alebo ho sprevádzali. SIEM technológia zohráva kľúčovú úlohu aj v rámci forenznej analýzy bezpečnostných udalostí.

859

860

861

Funkcionalita SIEM zahŕňa zber logov a flow záznamov zo širokej škály zariadení, ich normalizáciu na jednotný formát, koreláciu udalostí na identifikáciu relevantných súvislostí, správu logov vrátane ich archivácie, komprimácie a indexácie, monitoring používateľských aktivít a aplikácií na odhalenie neobvyklého správania, auditné reportovanie pomocou preddefinovaných a konfigurovateľných výstupov pre audítorov a analytikov, a využitie umelej inteligencie na automatické prepojenie súvisiacich incidentov s cieľom zníženia duplicity vyšetrovania a rozšírenia analýzy nad rámec jedného incidentu. Systém musí umožňovať priorizáciu investigácií na základe risk skóre, pričom analytici budú môcť identifikovať najkritickejšie incidenty a efektívnejšie sa zameriavať na ich riešenie. Zároveň musí poskytovať mechanizmy na proaktívne zlepšovanie bezpečnostného prostredia, automatizované eskalačné procesy a využitie externých informačných zdrojov na rozšírenie kontextu vyšetrovaných incidentov. Kognitívne uvažovanie systému musí byť schopné identifikovať hrozby a prepojiť ich s konkrétnymi aktérmi, čo umožní efektívne blokovanie škodlivých aktivít a identifikáciu podozrivých entít, ako sú škodlivé súbory, neznáme IP adresy alebo falošné identity. Architektúra SIEM riešenia pozostáva z viacerých komponentov, ktoré zabezpečujú jeho efektívnu prevádzku. Konzola poskytuje používateľské rozhranie s real-time pohľadmi na udalosti, sieťové toky a hlásenia o identifikovaných bezpečnostných incidentoch. Event kolektor slúži na zber a normalizáciu udalostí zo širokého spektra zdrojov a ich následné zasielanie do Event Procesora, ktorý tieto udalosti vyhodnocuje na základe pravidiel definovaných v Custom Rules Engine (CRE). Data Node komponenty rozširujú kapacity ukladania a spracovania udalostí a App Host zabezpečuje dedikovaný výkon pre špecializované aplikácie. Medzi kľúčové nástroje SIEM riešenia patrí Admin, ktorý umožňuje správu komponentov a konfigurácií, Dashboard poskytujúci analytikom prvý pohľad na bezpečnostnú situáciu, Offense nástroj identifikujúci a vizualizujúci bezpečnostné hrozby, Log Activity pre zobrazovanie prijatých udalostí s možnosťou ich detailného filtrovania a vyhľadávania, a Report umožňujúci generovanie výstupov na účely auditov a prezentácií.

**XDR - Extended Detection and Response**

866

867

XDR je platforma pre pokročilú detekciu a reakciu na hrozby, ktorá integruje rôzne bezpečnostné nástroje a technológie do jedného centralizovaného systému. Tento produkt poskytuje širokú škálu analytických a detekčných schopností, ktoré pomáhajú organizáciám identifikovať, vyšetriť a odpovedať na kybernetické incidenty v reálnom čase. XDR zhromažďuje a analyzuje obrovské množstvo dát z rôznych bezpečnostných zariadení a aplikácií, čím poskytuje hlbšiu a širšiu viditeľnosť o aktuálnych hrozbách. Tento nástroj je schopný detekovať aj neznáme a zložité hrozby pomocou pokročilých analytických techník a strojového učenia. Vďaka integrácii s ďalšími produktmi a službami môže XDR poskytovať komplexné riešenie pre správu incidentov a reakciu na hrozby, ktoré umožňuje bezpečnostným tímom znížiť čas potrebný na zistenie a odstránenie hrozieb. Okrem toho platforma poskytuje robustné možnosti pre automatizované reakcie, čím urýchľuje proces riešenia incidentov a minimalizuje dopad na organizáciu. XDR je veľmi efektívny pri odhaľovaní zraniteľností v sieti a v aplikáciách a pomáha udržiavať bezpečnosť pred neustále sa vyvíjajúcimi hrozbami. XDR integruje viacero bezpečnostných produktov (z celého prostredia do jedného systému. Cieľom implementácie pokročilého riešenia Endpoint Detection and Response (XDR) je zabezpečiť bezpečnosť a ochranu všetkých koncových zariadení a serverov, v správe MŽP SR. Prioritou implemntácie modulu XDR je detekcia, monitorovanie a rýchla reakcia na kybernetické hrozby. Implementáciou modulu XDR sa zabezpečí schopnosť identifikovať a zabrániť rôznym typom hrozieb, vrátane malvéru, ransomvéru a iných škodlivých aktivít, pričom toto riešenie podporuje tkz. „samoučiaci režim“, ochranu pred neznámymi hrozbami a anti-ransomware ochranu. Riešenie umožní monitorovať všetky koncové zariadenia v reálnom čase, ponúknuť centralizovanú správu, vytvárať správy pre bezpečnostných administrátorov a definovať politiky pre jednotlivé skupiny administrátorov. XDR riešenie umožní rýchlu reakciu na incidenty, vrátane izolácie postihnutých zariadení, odstránenia hrozieb a obnovy systémov, a podporí threathunting s funkciou vizualizácie a minimálnou 30-dňovou retenciou dát. Cieľom je zabezpečiť bezpečnosť a ochranu všetkých koncových zariadení a serverov, v správe MŽP SR, s dôrazom na detekciu, monitorovanie a rýchlu reakciu na kybernetické hrozby.

868

869

870

Minimálne požiadavky na riešenie XDR:

871

872

* Detekcia a prevencia hrozieb: Riešenie musí byť schopné identifikovať a zabrániť rôznym typom kybernetických hrozieb, vrátane malvéru, ransomvéru a iných škodlivých aktivít. Riešenie musí podporovať tzv. samoučiaci režim (machine learning), zero-day ochranu pred neznámymi hrozbami, anti-ramsoware ochranu (aktívne blokovanie neoprávneného šifrovania) a tiež skenovanie všetkých bežných súborov vrátane súborov typu obrázok.

873

* Monitorovanie a správa: Zákazník musí mať možnosť monitorovať všetky koncové zariadenia v reálnom čase a sledovať ich bezpečnostný stav. Riešenie musí ponúkať centralizovanú správu, vytváranie správ pre bezpečnostných administrátorov, umožňovať real-time správu klientov (serverov) a možnosti špecifických politík pre jednotlivé skupiny administrátorov.

874

* Rýchla reakcia na incidenty: XDR riešenie musí umožňovať rýchlu reakciu na detegované hrozby, vrátane izolácie postihnutých zariadení, odstránenia hrozieb a obnovy postihnutých systémov. Riešenie musí podporovať schopnosť threathuntingu (vrátane automatizovaného threathuntingu) s funkciou vizualizácie, pričom požadovaná data retention je minimálne 30 dní. Riešenie musí mať schopnosť analyzovať správanie sa administrátora servera a v prípade jeho neštandardného správania odmietnuť overenie.

875

* Kompatibilita a integrácia: Riešenie by malo byť kompatibilné s existujúcimi bezpečnostnými infraštruktúrami a mala by byť možnosť jeho integrovať s ďalšími bezpečnostnými nástrojmi, ako sú firewally, SIEM systémy atď.

876

* Výkonnosť a škálovateľnosť: XDR riešenie musí byť dostatočne výkonné a škálovateľné, aby dokázalo spravovať a chrániť veľký počet koncových zariadení bez degradácie výkonu. V rámci dodávky požadujeme licencie pre 800 koncových zariadení. (Počty licencií vychádzajú z aktuálneho stavu aktívnych účtov v Active Directory.)

877

* Aktualizácie a podpora: Dodávateľ musí poskytovať pravidelné aktualizácie bezpečnostných záplat a signatúr, tak ako aj technickú podporu v prípade problémov. Okrem licencie operačného systému musí riešenie obsahovať všetky licencie potrebné pre plnú funkcionalitu všetkých častí riešenia s platnosťou minimálne 12 mesiacov.

878

* Školenie a dokumentácia: Dodávateľ by mal poskytnúť školenie pre personál zákazníka a podrobnú dokumentáciu o používaní a konfigurácii riešenia.

879

* Dátová ochrana a súlad s reguláciami: Riešenie musí spĺňať všetky relevantné normy a regulácie v oblasti kybernetickej bezpečnosti a ochrany dát.

**RKB**

Nástroj riadenia kybernetickej bezpečnosti (RKB) predstavuje komplexné softvérové riešenie, ktoré integruje kľúčové procesy riadenia bezpečnosti do jedného systému s cieľom zvýšiť efektivitu, konzistentnosť a mieru kontroly nad činnosťami súvisiacimi so zabezpečením informačných aktív organizácie. Tento nástroj podporuje systematické plánovanie, vykonávanie, monitorovanie a zlepšovanie činností v oblasti kybernetickej bezpečnosti, pričom zohľadňuje nielen technické, ale aj procesné a organizačné aspekty riadenia rizík. Riešenie poskytuje funkcionality na riadenie udalostí, vrátane auditu, analýzy rizík a správy výnimiek, čím zabezpečuje, že všetky bezpečnostné udalosti sú riadne zdokumentované, analyzované a riešené v súlade s definovanými postupmi a zodpovednosťami. Významnou súčasťou je aj modul kontinuity činnosti a plánovania obnovy IT po havárii, ktorý umožňuje vykonávať komplexné hodnotenia rizík, vypracúvať a testovať plány obnovy činnosti na úrovni organizácie, procesov, lokalít, aplikácií, infraštruktúry a informačných aktív.

886

887

888

Súčasťou nástroja je aj modul analýzy dopadov (Business Impact Analysis – BIA), ktorý umožňuje organizácii systematicky vyhodnocovať dopady mimoriadnych udalostí na jej funkčnosť a stanovovať priority obnovy. Dôležitým prvkom je riadenie bezpečnostných zraniteľností, ktoré umožňuje efektívne identifikovať, prioritizovať a manažovať hrozby a zraniteľnosti na základe hodnotenia úrovne rizika, čím výrazne prispieva k preventívnej ochrane organizácie. Nástroj obsahuje aj modul manažmentu IT rizík, ktorý poskytuje systematický prístup k správe aktív a organizačnej štruktúry, pričom zabezpečuje dokumentovanie všetkých kritických závislostí a ich vyhodnotenie v kontexte IT rizík. Manažment bezpečnostných incidentov, ako ďalší komponent riešenia, umožňuje efektívnu eskaláciu, vyšetrovanie a riešenie incidentov s cieľom minimalizovať ich dopad na organizáciu. Významnou súčasťou riešenia je manažment súladu, ktorý zabezpečuje, že organizácia plní požiadavky platných právnych a regulačných predpisov. Tento modul automatizuje pracovné postupy, testovanie súladu a poskytuje nástroje na prípravu reportov pre dohliadajúce a regulačné autority, čím znižuje administratívne zaťaženie a riziko nesúladu. Nástroj je koncipovaný tak, aby svojím komplexným záberom, vysokou mierou automatizácie a podporou štandardizovaných procesov výrazne prispel k zvyšovaniu kybernetickej odolnosti organizácie a zároveň umožnil efektívne riadiť plnenie legislatívnych a regulačných požiadaviek v oblasti informačnej a kybernetickej bezpečnosti.

**UEBA**

Nástroj typu UEBA (User and Entity Behavior Analytics) predstavuje pokročilý systém ochrany identít a prístupov v hybridnom prostredí, ktorý kombinuje prvky správy identít a prístupov (IAM) s analytikou správania užívateľov a entít. Tento systém je určený na zabezpečenie ľudských aj strojových identít, pričom pokrýva on-premise infraštruktúru aj cloudové prostredie organizácie. Riešenie poskytuje komplexnú ochranu prístupov na všetkých úrovniach, od bežných používateľských účtov až po vysoko citlivé a privilegované prístupy. Jeho základnou súčasťou je viacfaktorová autentifikácia (MFA), ktorá zabezpečuje, že prístup ku kritickým systémom a dátam je podmienený kombináciou viacerých faktorov overenia, čím sa výrazne znižuje riziko neoprávneného prístupu v prípade kompromitácie prihlasovacích údajov. Kľúčovým prvkom riešenia je zvýšená ochrana privilegovaných prístupov (Privileged Access Management – PAM), ktorá umožňuje detailnú kontrolu, správu a audit prístupov administrátorov a iných používateľov so zvýšenými právami. Tento mechanizmus zabezpečuje nielen ochranu pred vonkajšími hrozbami, ale aj pred vnútornými rizikami spojenými s možným zneužitím oprávnení. Systém obsahuje aj pokročilú schopnosť detekcie a reakcie na anomálie, založenú na strojovom učení a využívaní prvkov umelej inteligencie. V reálnom čase analyzuje správanie používateľov a entít v systéme, identifikuje odchýlky od normálneho správania a na základe toho generuje bezpečnostné upozornenia alebo automatizovane iniciuje obranné opatrenia. Tento prístup umožňuje včasné odhalenie a zmiernenie bezpečnostných incidentov, ktoré by pri tradičných metódach mohli zostať nepovšimnuté. Vďaka svojmu komplexnému prístupu k ochrane identít, vysokej úrovni automatizácie a adaptívnemu správaniu predstavuje riešenie UEBA zásadný nástroj pre posilnenie kybernetickej bezpečnosti organizácie, pričom zohľadňuje aktuálne trendy a požiadavky na modernú ochranu v prostredí rozšíreného využívania cloudových služieb a hybridných infraštruktúr.

1.

11. Stanovenie alternatív architektúry riešenia

1.

11.

111. Stanovenie alternatív v biznisovej vrstve architektúry

905

906

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a celú životnú situáciu rieši komplexne.

907

908

909

=== Alternatíva 1 - Ponechanie súčasného stavu ===

910

911

Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z.

912

913

914

**Alternatíva 2 – Plošná implementácia opatrení**

915

916

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve. Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom. Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady na zefektívnenie poskytovaných. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Alternatíva uvažuje s implementáciou opatrení na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

917

918

919

**Alternatíva 3 – Postupná implementácia opatrení**

920

921

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

922

923

[[image:1755520264350-284.png]]

924

Obrázok 5 Znázornenie alternatív riešenia v biznis vrstve architektúry

925

926

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

927

928

929

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej).

|(% rowspan="6" %)(((

934

STANOVENÉ ALTERNATÍVY

)))|(((

Kritérium A (KO) Kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti,

939

940

Monitorovanie kritických informačných systémov.

941

)))|Nový systém by mal výrazne skvalitniť poskytovanie služieb kybernetickej ochrany pre IS ministerstva.| |X|X|X

942

|Kritérium B (KO) Zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.|Automatizácia výkonu kybernetickej ochrany a hĺbková detekcia.| |X|X|X

|(((

Kritérium C (KO)

Integrácia všetkých používaných systémov.

947

)))|Zjednotenie kybernetickej ochrany v rámci ministerstva.|X|X|X|X

948

|(((

949

Kritérium D (KO) Jednotnosť procesov a používaných

950

951

Aplikácií.

952

)))|Jednotnosť procesov a postupov je základným cieľom efektívneho riadenia kybernetickej a informačnej bezpečnosti.|X|X|X|X

953

|Kritérium E (KO) . Zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS|(((

954

Kvalitné a efektívne riadenie kybernetickej bezpečnosti sa dá

955

956

zabezpečiť iba pomocou existencie

957

958

štruktúrovaných informácií na základe ktorých sa dajú prijímať

959

960

rýchle a kvalifikované rozhodnutia.

961

)))|X| |X|X

962

|(((

963

Kritérium F Bezpečné prepojenie so

systémami MŽP SR

)))|(((

Systematické zvýšenie úrovne zabezpečenia prenosu citlivých

Údajov.

)))|X|X|X|X

|**ZOZNAM KRITÉRIÍ**|(((

**ALTER-NATÍVA**

**1**

)))|(((

**SPÔSOB**

**DOSIAHNUTIA**

)))|**ALTER-NATÍVA 2**|(((

**SPÔSOB**

**DOSIAHNUTIA**

)))|**ALTERNATÍVA 3**|(((

**SPÔSOB**

**DOSIAHNUTIA**

)))

|Kritérium A|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementáciou alternatívy 2 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.|áno|Implementáciou alternatívy 3 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.

993

|Kritérium B|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementácia alternatívy 2 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.|áno|Implementácia alternatívy 3 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

994

|Kritérium C|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementácia alternatívy 2 zabezpečí zjednotenie kybernetickej ochrany v rámci ministerstva.|nie|Implementácia alternatívy 3 nezabezpečí zjednotenie kybernetickej ochrany v rámci ministerstva.

995

|Kritérium D|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|(((

996

Implementácia alternatívy 2 prispeje k jednotnosti procesov a používaných

aplikácií.

)))|nie|(((

Implementácia alternatívy 3 neprispeje k jednotnosti procesov a používaných

aplikácií.

)))

|Kritérium E|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementácia alternatívy 2 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.|áno|Implementácia alternatívy 3 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.

1005

|Kritérium F|nie|alternatíva 1 je zachovanie statusu quo bez realizácie projektu|áno|Implementácia alternatívy 2 zabezpečí bezpečné prepojenie IS na elektronický prenos informácií.|nie|Implementácia alternatívy 3 sa nezabezpečí prepojenie IS na elektronický prenos informácií.

1006

1007

1008

**Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 2 ako jediná, ktorá spĺňa všetky požiadavky**.

1.

11.

111. Stanovenie alternatív v aplikačnej vrstve architektúry

1015

1016

Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 2. Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry.

1.

11.

111. Stanovenie alternatív v technologickej vrstve architektúry

1022

1023

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy. Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

1.

11. Náhľad architektúry a popis budúceho cieľového produktu

1028

1029

Projektom nevytvárame produkt ministerstva.

1.

11. Biznis vrstva

1.

11.

111. Návrh riešenia v biznis vrstve architektúry

1038

1039

Súčasný stav kybernetickej a informačnej bezpečnosti Ministerstva životného prostredia Slovenskej republiky (ďalej len „MŽP SR“) odráža čiastočné splnenie legislatívnych požiadaviek vyplývajúcich zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a vykonávacej vyhlášky č. 362/2018 Z. z., ktorá ustanovuje obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. MŽP SR má zavedenú základnú bezpečnostnú dokumentáciu vrátane bezpečnostnej politiky, stratégie kybernetickej bezpečnosti a kategorizácie informačných systémov, ktoré boli v rámci interných procesov aktualizované v súlade s príslušnými legislatívnymi rámcami. V oblasti prevádzky a správy informačných systémov disponuje MŽP SR čiastočne implementovanými opatreniami na ochranu siete a koncových zariadení. Ministerstvo realizuje monitoring niektorých kritických systémov a služieb, využíva štandardné antivírusové riešenia, základné mechanizmy na správu identít a prístupov (IAM) a má implementované bežné bezpečnostné mechanizmy v oblasti perimetra siete. Napriek týmto opatreniam však v súčasnosti chýba centralizované bezpečnostné riešenie na zber a koreláciu bezpečnostných udalostí naprieč celým IT prostredím. Z výsledkov auditu kybernetickej bezpečnosti vyplynulo, že MŽP SR zatiaľ neprevádzkuje systém pre komplexné zaznamenávanie a spracovanie logovacích a sieťových údajov (SIEM), absentujú automatizované nástroje na detekciu a správu zraniteľností (Vulnerability Management), ako aj pokročilé riešenia na detekciu a reakciu na bezpečnostné hrozby na úrovni koncových bodov (XDR) a sieťovej vrstvy (NDR).

1040

1041

Ďalším identifikovaným nedostatkom je absencia technologickej a procesnej podpory pre bezpečnostné dohľadové činnosti, vrátane nedostatočne zavedených procesov pre správu kybernetických incidentov a ich eskaláciu. Incident management procesy sú zatiaľ riešené prevažne manuálne a s obmedzenou kapacitou pre detailnú forenznú analýzu. Chýba tiež centralizovaná správa aktualizácií a záplat pre jednotlivé IT aktíva, čo zvyšuje riziko zneužitia známych zraniteľností. Z pohľadu personálnych kapacít je odbor kybernetickej bezpečnosti limitovaný v oblasti dostupných zdrojov pre kontinuálne pokrytie monitoringu a incident managementu. Rovnako bol v rámci auditu identifikovaný nedostatok v oblasti pravidelného testovania pripravenosti zamestnancov a preverovania bezpečnostného povedomia (napr. simulované phishingové testy). Súčasný stav tak predstavuje len základnú úroveň bezpečnostnej ochrany, pričom v kontexte narastajúcich kybernetických hrozieb a legislatívnych požiadaviek je potrebné realizovať technologické, organizačné a procesné zlepšenia, ktoré zabezpečia vyššiu odolnosť infraštruktúry MŽP SR voči kybernetickým incidentom. Identifikované nedostatky a riziká tvoria základ pre plánované aktivity v rámci projektu na zvýšenie úrovne kybernetickej a informačnej bezpečnosti MŽP SR. MŽP SR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa (https:~/~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/). Základná prevádzkovaná služba: webové sídlo a IS Ministerstva životného prostredia SR. MŽP SR je správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov. V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na MŽP SR v období od 6.12.2023 do 5.2.2024 audit kybernetickej bezpečnosti. Dňa 5.2.2024bola MŽP SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 MŽP SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre MŽP SR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti. V rámci poskytovaných služieb poskytuje služby prostredníctvom rôznych prístupových kanálov: elektronicky, listinne, osobne ako aj telefonicky. Pre poskytované služby MŽP SR poskytuje a realizuje viaceré biznis funkcie, kde v rámci tohto projektu je primárne relevantná biznis funkcia **Bezpečnosť**.

1042

1043

MŽP SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“). Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

1044

1045

* organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

1046

* riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

1047

* personálnej bezpečnosti,

1048

* riadenia prístupov,

1049

* riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

1050

* bezpečnosti pri prevádzke informačných systémov a sietí,

1051

* hodnotenia zraniteľností a bezpečnostných aktualizácií,

1052

* ochrany proti škodlivému kódu,

1053

* sieťovej a komunikačnej bezpečnosti,

1054

* akvizície, vývoja a údržby informačných sietí a informačných systémov,

1055

* zaznamenávania udalostí a monitorovania,

1056

* fyzickej bezpečnosti a bezpečnosti prostredia,

1057

* riešenia kybernetických bezpečnostných incidentov,

1058

* kryptografických opatrení,

1059

* kontinuity prevádzky,

1060

* auditu, riadenia súladu a kontrolných činností.

1061

1062

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. MŽP SR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

1063

1064

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na MŽP SR audit kybernetickej bezpečnosti. V súlade s § 29 ods. 5 MŽP SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Konkrétne sa jedná o vybrané opatrenia, ktoré budú realizované týmto projektom:

1065

1066

* Bezpečnostný dohľad a riadenie incidentov, zahŕňajúce analytické práce a rozšírenie monitoringu prostredníctvom systému SIEM a SOAR.

1067

* Implementácia nástroja pre zavedenie zálohovania na obnovu siete a informačného systému vrátane pravidelného testovania obnovy záloh

1068

* Implementácia nástroja na inventarizáciu IT aktív (nástrojom sa taktiež realizuje manažment konfigurácií počítačových sietí a IT aktív, zoznam ich vlastníkov/správcov, vzájomných väzieb, súvisiacej dokumentácie a zoznam a opis prostredí, v ktorom sú aktíva umiestnené a prevádzkované

1069

* Implementácia nástroja na manažment zraniteľností kybernetickej bezpečnosti a riadenie záplat.

1070

* Hodnotenie zraniteľností a bezpečnostné aktualizácie, zamerané na zavedenie nástroja na detekovanie zraniteľností programových a technických prostriedkov.

1071

* Implementácia nástrojov pre zavedenia manažmentu mobilných zariadení

1072

* Implementácia 2FA (dvojfaktorovej autentifikácie)

1073

* Riešenie kybernetických bezpečnostných incidentov rozšírením antivírusovej a XDR ochrany, detailná analýza koncových zariadení s cieľom zvýšenia ochrany pred kybernetickými útokmi z externého prostredia

1074

* Zvyšovanie kompetencií zamestnancov cez rozvoj bezpečnostného povedomia a pravidelné testovanie

1075

* Implementácia dohľadu SOC as a service

1076

* V nadväznosti na projekt bude aktualizovaná bezpečnostná dokumentácie.

1077

1078

V rámci kategorizácií aktív z pohľadu dôvernosti bol vyhodnotený dopad prípadného kybernetického incidentu (najhoršieho možného scenára a dopadov na MŽP SR podľa § 24 ods. 2, písm. a) až e) ZoKB v závislosti od kategórie bezpečnostného incidentu nasledovne:

1079

1080

* 24 ods. 2 písm. a) zákona - **Kategória III.**

1081

* 24 ods. 2 písm. b) a c) zákona - **Kategória III.**

1082

* 24 ods. 2 písm. d) zákona - **Kategória III.**

1083

* 24 ods. 2 písm. e) zákona - **Kategória III.**

1084

1085

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image007.png]][[image:1755520396040-487.png]]

1086

1087

Obrázok 1: Model biznis architektúry (vychádza zo strategickej architektúry VS) – AS IS

1088

1089

**Biznis vrstva – budúci stav:**

1090

1091

MŽP SR identifikovala najvyššiu mieru rizika a najvyššie dopady kybernetických incidentov v sieťovej a komunikačnej bezpečnosti a v rámci zaznamenávania udalostí a monitorovania. Tieto oblasti mali aj najvyššiu mieru nesúladu s legislatívnymi požiadavkami z vykonaného auditu kybernetickej bezpečnosti.

1092

1093

1094

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image008.png]][[image:1755520408054-789.png]]

1095

1096

Obrázok 2: Model biznis architektúry (vychádza zo strategickej architektúry VS) – TO BE

1.

11.

111. Organizačné zmeny a Procesy dotknuté navrhovaným riešením

1102

1103

Jedná sa o projekt kybernetickej bezpečnosti, projektom nedôjde k zmene procesov.

1.

11.

111. Jazyková podpora lokalizácia

1109

1110

Požiadavky na jazykovú lokalizáciu riešenia a používateľské prostredie služieb bude implementované v slovenskom jazyku//.//

1.

11. Aplikačná vrstva

111. Návrh riešenia v aplikačnej vrstve architektúry

1116

1117

Aplikačná vrstva MŽP SR pozostáva z viacerých informačných systémov podporujúcich výkon funkcií a činností definovaných na úrovni biznis architektúry. Je rozdelené primárne do nasledujúcich oblastí.

1118

1119

**Moduly front-endu**: predstavujú špecifické, najmä rezortné komponenty pre interakciu s používateľmi, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými inštitúciami (napr. rezortné portály).

1120

1121

**Externé systémy**: externé systémy integrované so systémami MŽP SR

1122

1123

**Spoločné moduly front-endu**: združujú spoločné komponenty, ktoré riešia interakciu s používateľmi (občanmi, podnikateľmi a zamestnancami verejnej správy)

1124

1125

**Integrácia a orchestrácia**: rieši integráciu a vzájomnú interoperabilitu informačných systémov verejnej správy SR na úrovni aplikačnej a dátovej integrácie a zabezpečuje služby orchestrácie najmä pre životné situácie.

1126

1127

**Agendové informačné systémy**: podporujú výkon konkrétnej agendy a realizujú kľúčové aplikačné služby.

1128

1129

**Moduly back-endu**: predstavujú špecifické, najmä rezortné komponenty pre podporu špecifických back office činností, čiže komponenty, ktoré nie sú spoločné a zdieľané viacerými organizáciami. Tu patria aj nástroje pre kybernetickú a informačnú bezpečnosť.

1130

1131

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image009.png]][[image:1755520422751-797.png]]

1132

1133

Obrázok 3: Aplikačná architektúra budúceho stavu

1.

11.

111. Rozsah informačných systémov – budúci stav (TO BE)

1139

1140

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1141

1142

1143

V rámci projektu budú implementované nové nástroje pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

1.

11.

111. Využívanie nadrezortných a spoločných ISVS – AS IS

1149

1150

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Prehľad plánovaných integrácií na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 Z.z. o e-Governmente – budúci stav (TO BE)

1156

1157

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Prehľad plánovaných integrácií na iné ISVS – budúci stav (TO BE)

1162

1163

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Aplikačné služby pre Koncové služby – budúci stav (TO BE)

1168

1169

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Aplikačné služby na integráciu – budúci stav (TO BE)

1174

1175

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11. Dátová architektúra

1180

1181

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Objekty evidencie

1187

1188

Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Referenčné údaje

1194

1195

Projektom nie sú plánované žiadne nové referenčné údaje ani údaje, ktoré je možné vyhlásiť za referenčné. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Poskytovanie údajov z ISVS do IS CPDI – budúci stav (TO BE)

1201

1202

Projektom nie je plánované poskytovanie údajov do IS CSRÚ. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Konzumovanie údajov z IS CPDI – budúci stav (TO BE)

1208

1209

Nie je relevantné pre projekt. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Identifikácia údajov a subjektov pre konzumovanie alebo poskytovanie údajov do/z CPDI (CSRÚ)

1215

1216

Projektom nie je plánované konzumovanie/poskytovanie údajov do IS CSRÚ. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Kvalita a čistenie údajov

1221

1222

Cieľom projektu nie je systematický manažment údajov z hľadiska citlivosti kvality údajov a čistenia údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Otvorené údaje

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Otvorené údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Analytické údaje

1233

1234

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Analytické údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Moje údaje

Nie je relevantné pre projekt, nebudú poskytované žiadne nové Moje údaje. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11.

111. Prehľad jednotlivých kategórií údajov

1246

1247

Projekt nie je zameraný na systematický manažment údajov, nemení štruktúru ani obsah údajov. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov.

1.

11. Technologická architektúra

1.

11.

111. Návrh riešenia technologickej architektúry

1257

1258

Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými nástrojmi prevádzkovanými na viacerých technológiách.

1259

1260

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image010.png]][[image:1755520440953-490.png]]

1261

1262

Obrázok 4: Návrh riešenia technologickej architektúry MŽP SR

1.

11.

111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – budúci stav (TO BE)

1268

1269

V rámci navrhovaného riešenia sa predpokladá zachovanie súčasných výkonnostných požiadaviek a kapacitných požiadaviek.

1.

11.

111. Využívanie služieb z katalógu služieb vládneho cloudu

1275

1276

Projekt nebude využívať služby z katalógu vládneho cloudu. Cieľom projektu sa realizuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci celej organizácie. Nedochádza k rozširovaniu koncových alebo aplikačných služieb, funkcionalít v rámci agendových systémov, ani k zmene evidovaných a poskytovaných údajov. Implementované nástroje budú prevádzkované v infraštruktúre MŽP SR bez potreby jej rozšírenia.

1.

11. Bezpečnostná architektúra

1.

11.

111. Návrh riešenia bezpečnosti

1286

1287

Vzhľadom na verejný charakter projektovej dokumentácie nie je možné poskytnúť detailnú špecifikáciu súčasného technologického stavu a mieru zraniteľnosti z pohľadu kybernetickej a informačnej bezpečnosti. Navrhované opatrenia v budúcom stave majú za cieľ zabezpečiť súlad aplikačnej a technologickej infraštruktúry s požiadavkami zákona o kybernetickej bezpečnosti, súvisiacich legislatívnych noriem a výsledkov samohodnotenia v zmysle zákona o kybernetickej bezpečnosti.

1288

1289

Za účelom zvýšenia úrovne zavedených postupov a opatrení týkajúcich sa kybernetickej a informačnej bezpečnosti je potrebné konsolidovať existujúcu bezpečnostnú architektúru a dobudovať ekosystému riadenia informačnej bezpečnosti implementáciou nových a inováciou existujúcich bezpečnostných nástrojov a procesov, a to najmä v nasledovných oblastiach a v súlade s nálezmi sebahodnotenia. Riešenie zabezpečenia prevádzkovaných ISVS v správe MŽP SR je rozdelené do viacerých častí, pričom každá časť komplexne pokrýva danú oblasť. Jedná sa o nasledovné hlavné oblasti:

1290

1291

1292

**Popis jednotlivých blokov implementovanej bezpečnostnej architektúry, realizovaných oprávnených aktivít a požiadaviek na jednotlivé technológie:**

1293

1294

1295

Projekt teda poskytne komplexnú ochranu na viacerých úrovniach a výrazne zvýši schopnosti verejného obstarávateľa odolávať moderným kybernetickým hrozbám, chrániť citlivé údaje a efektívne riadiť prístupy a oprávnenia v rámci celej organizácie. Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom.

Náhľad technologickej to be vrstvy architektúry:

1300

1301

[[image:file:///C:/Users/SONA~~1.SAT/AppData/Local/Temp/msohtmlclip1/01/clip_image006.png]][[image:1755520452851-517.png]]

1302

1303

Obrázok 5: Návrh riešenia bezpečnostnej a technologickej architektúry MŽP SR – TO-BE

1304

1305

1306

Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:

**XDR**

Navrhované riešenie v oblasti pokročilej detekcie a reakcie na incidenty (XDR) predstavuje moderný bezpečnostný systém na ochranu koncových zariadení a dátových tokov v prostredí Ministerstva životného prostredia SR. Riešenie je navrhnuté tak, aby dokázalo pokryť potreby kontinuálneho monitorovania a pokročilej analýzy bezpečnostných udalostí na úrovni jednotlivých koncových bodov, serverov a ďalších komponentov infraštruktúry. XDR platforma zabezpečí detekciu sofistikovaných kybernetických hrozieb, vrátane neznámych alebo tzv. zero-day útokov, s využitím pokročilých heuristických a behaviorálnych analýz. Systém je schopný korelovať dáta z viacerých zdrojov a tým poskytovať vyššiu úroveň viditeľnosti a kontextu k jednotlivým incidentom. Súčasťou riešenia je tiež automatizované reagovanie na incidenty (tzv. response funkcie), ktoré umožňuje systémom izolovať kompromitované zariadenia, blokovať podozrivé procesy alebo sieťové spojenia a zároveň informovať bezpečnostný tím o realizovaných opatreniach.** **Riešenie zahŕňa aj správu a optimalizáciu politiky endpoint zabezpečenia, pravidelné aktualizácie detekčných mechanizmov a poskytovanie analytických reportov. Cieľom nasadenia XDR je nielen zlepšiť detekciu a odozvu na incidenty, ale aj konsolidovať ochranu rôznych vrstiev infraštruktúry do jednotného riešenia, čím sa zjednoduší správa a zvýši efektivita bezpečnostného dohľadu.

1312

1313

1314

**Hlavné vlastnosti XDR riešenia:**

1315

1316

* Na všetky koncové zariadenia budú nasadené XDR senzory s minimálnym dopadom na výkon systémov. Agenty zabezpečia zber údajov o aktivitách v reálnom čase (procesy, spustené služby, pripojenia, prenosy dát, zmeny v registroch a pod.).

1317

* Riešenie disponuje pokročilými detekčnými mechanizmami schopnými analyzovať správanie užívateľov a systémov, pričom vyhodnocuje odchýlky od bežných vzorcov správania a identifikuje tak pokusy o laterálny pohyb, exfiltráciu dát alebo iné aktivity typické pre pokročilé hrozby (APT).

1318

* Automatizované preskúmanie podozrivých súborov alebo procesov v izolovanom prostredí bez rizika narušenia produkčných systémov.

1319

* Okrem detekcie poskytuje XDR riešenie aj funkcie automatizovanej odozvy – blokovanie škodlivých procesov, odpojenie kompromitovaných zariadení od siete, izolácia systémov a obnova zariadenia do bezpečného stavu.

1320

* Systém uchováva všetky relevantné údaje o aktivitách na koncových bodoch, čo umožní hlbokú forenznú analýzu incidentov vrátane časovej osi udalostí.

1321

1322

**Technické parametre riešenia:**

1323

1324

* Podpora priepustnosti 500 Mbps na koncových senzoroch.

1325

* Zber a spracovanie minimálne 500 enriched flow záznamov za sekundu.

1326

* Plná funkcionalita vrátane detekčných pravidiel pre malware, ransomware, phishing, exploity a iné formy útokov.

1327

* Centrálna správa agentov a udalostí prostredníctvom bezpečnostnej konzoly s webovým rozhraním.

**RKB**

Nástroj riadenia kybernetickej bezpečnosti (RKB) predstavuje komplexné softvérové riešenie, ktoré integruje kľúčové procesy riadenia bezpečnosti do jedného systému s cieľom zvýšiť efektivitu, konzistentnosť a mieru kontroly nad činnosťami súvisiacimi so zabezpečením informačných aktív organizácie. Tento nástroj podporuje systematické plánovanie, vykonávanie, monitorovanie a zlepšovanie činností v oblasti kybernetickej bezpečnosti, pričom zohľadňuje nielen technické, ale aj procesné a organizačné aspekty riadenia rizík. Riešenie poskytuje funkcionality na riadenie udalostí, vrátane auditu, analýzy rizík a správy výnimiek, čím zabezpečuje, že všetky bezpečnostné udalosti sú riadne zdokumentované, analyzované a riešené v súlade s definovanými postupmi a zodpovednosťami. Významnou súčasťou je aj modul kontinuity činnosti a plánovania obnovy IT po havárii, ktorý umožňuje vykonávať komplexné hodnotenia rizík, vypracúvať a testovať plány obnovy činnosti na úrovni organizácie, procesov, lokalít, aplikácií, infraštruktúry a informačných aktív.

1333

1334

1335

Súčasťou nástroja je aj modul analýzy dopadov (Business Impact Analysis – BIA), ktorý umožňuje organizácii systematicky vyhodnocovať dopady mimoriadnych udalostí na jej funkčnosť a stanovovať priority obnovy. Dôležitým prvkom je riadenie bezpečnostných zraniteľností, ktoré umožňuje efektívne identifikovať, prioritizovať a manažovať hrozby a zraniteľnosti na základe hodnotenia úrovne rizika, čím výrazne prispieva k preventívnej ochrane organizácie. Nástroj obsahuje aj modul manažmentu IT rizík, ktorý poskytuje systematický prístup k správe aktív a organizačnej štruktúry, pričom zabezpečuje dokumentovanie všetkých kritických závislostí a ich vyhodnotenie v kontexte IT rizík. Manažment bezpečnostných incidentov, ako ďalší komponent riešenia, umožňuje efektívnu eskaláciu, vyšetrovanie a riešenie incidentov s cieľom minimalizovať ich dopad na organizáciu. Významnou súčasťou riešenia je manažment súladu, ktorý zabezpečuje, že organizácia plní požiadavky platných právnych a regulačných predpisov. Tento modul automatizuje pracovné postupy, testovanie súladu a poskytuje nástroje na prípravu reportov pre dohliadajúce a regulačné autority, čím znižuje administratívne zaťaženie a riziko nesúladu. Nástroj je koncipovaný tak, aby svojím komplexným záberom, vysokou mierou automatizácie a podporou štandardizovaných procesov výrazne prispel k zvyšovaniu kybernetickej odolnosti organizácie a zároveň umožnil efektívne riadiť plnenie legislatívnych a regulačných požiadaviek v oblasti informačnej a kybernetickej bezpečnosti.

1336

1337

Nástroj, ktorým je možné riadiť a monitorovať procesy a činnosti nevyhnutné pre efektívne riadenie kybernetickej bezpečnosti obsahuje nasledovné moduly: -

* Riadenie udalostí

* Modul umožňuje riadiť audit, analýzu rizík stanovením zodpovedností, riadiaceho procesu, reportovania výnimiek,

1342

* Kontinuita a plánovanie obnovy IT po havárii,

1343

* Modul umožňuje vykonať hodnotenie rizík a dokumentovať a testovať plány obnovy činnosti a plány kontinuity činnosti, ktoré sú zamerané na organizáciu, vrátane procesov, lokalít, IT aplikácií, infraštruktúry a informačných aktív,

1344

* Analýza dopadov (BIA),

1345

* Modul umožňuje vyhodnotiť dopad mimoriadnej udalosti na organizáciu,

1346

* Riadenie bezpečnostných zraniteľností,

1347

* Modul podporuje systematické identifikovanie a priorizovanie hrozieb a zraniteľností na základe úrovne rizika pre organizáciu a riadiť ich odstraňovanie,

1348

* Manažment IT rizík,

1349

* Modul umožňuje systematicky riadiť organizačnú štruktúru a aktíva IT a zabezpečiť aby všetky kritické závislosti boli zdokumentované, pochopené v správnom kontexte IT rizík,

1350

* Manažment bezpečnostných incidentov,

1351

* Modul umožňuje efektívnu eskaláciu, vyšetrovanie a riešenie identifikovaných incidentov,

1352

* Manažment súladu,

1353

* Modul konsoliduje súlad organizácie s požadovanými regulačnými štandardmi,

1354

* Automatizuje pracovné postupy dodržiavania predpisov a kontroluje testovanie s cieľom znížiť časové zaťaženie zdrojov a minimalizuje riziko nedodržiavanie predpisov,

1355

* Umožňuje vytváranie reportov deklarujúcich súlad pre autority dohľadu a regulácie.

**UEBA**

Nástroj typu UEBA (User and Entity Behavior Analytics) predstavuje pokročilý systém ochrany identít a prístupov v hybridnom prostredí, ktorý kombinuje prvky správy identít a prístupov (IAM) s analytikou správania užívateľov a entít. Tento systém je určený na zabezpečenie ľudských aj strojových identít, pričom pokrýva on-premise infraštruktúru aj cloudové prostredie organizácie. Riešenie poskytuje komplexnú ochranu prístupov na všetkých úrovniach, od bežných používateľských účtov až po vysoko citlivé a privilegované prístupy. Jeho základnou súčasťou je viacfaktorová autentifikácia (MFA), ktorá zabezpečuje, že prístup ku kritickým systémom a dátam je podmienený kombináciou viacerých faktorov overenia, čím sa výrazne znižuje riziko neoprávneného prístupu v prípade kompromitácie prihlasovacích údajov. Kľúčovým prvkom riešenia je zvýšená ochrana privilegovaných prístupov (Privileged Access Management – PAM), ktorá umožňuje detailnú kontrolu, správu a audit prístupov administrátorov a iných používateľov so zvýšenými právami. Tento mechanizmus zabezpečuje nielen ochranu pred vonkajšími hrozbami, ale aj pred vnútornými rizikami spojenými s možným zneužitím oprávnení. Systém obsahuje aj pokročilú schopnosť detekcie a reakcie na anomálie, založenú na strojovom učení a využívaní prvkov umelej inteligencie. V reálnom čase analyzuje správanie používateľov a entít v systéme, identifikuje odchýlky od normálneho správania a na základe toho generuje bezpečnostné upozornenia alebo automatizovane iniciuje obranné opatrenia. Tento prístup umožňuje včasné odhalenie a zmiernenie bezpečnostných incidentov, ktoré by pri tradičných metódach mohli zostať nepovšimnuté. Vďaka svojmu komplexnému prístupu k ochrane identít, vysokej úrovni automatizácie a adaptívnemu správaniu predstavuje riešenie UEBA zásadný nástroj pre posilnenie kybernetickej bezpečnosti organizácie, pričom zohľadňuje aktuálne trendy a požiadavky na modernú ochranu v prostredí rozšíreného využívania cloudových služieb a hybridných infraštruktúr.

1361

1362

1363

Funkcionality riešenia UEBA:

1364

1365

* Ochrana pre ľudské ale aj strojové identity

1366

* Ochrana pristupov

1367

* Zvýšená ochrana privilegovaných prístupov

1368

* Viacfaktorová autentifikácia

1369

* Detekcia a reakcia na hrozby s využitím strojového učenia a prvkov AI

**SIEM**

V rámci riešenia bezpečnostného monitoringu je navrhnutá implementácia systému SIEM (Security Information and Event Management), ktorý predstavuje základný kameň centralizovaného zberu a vyhodnocovania bezpečnostných udalostí. Tento systém bude zbierať logy a udalosti z rôznych zdrojov IT infraštruktúry MŽP SR vrátane serverov, sieťových zariadení, koncových staníc, autentifikačných služieb, bezpečnostných systémov a aplikácií.** **Hlavným prínosom SIEM riešenia je agregácia a korelácia dát s cieľom odhalenia neštandardných vzorcov správania, anomálií a indikátorov kompromitácie. Systém umožňuje normalizáciu a spracovanie dát v reálnom čase, pričom poskytuje bezpečnostným analytikom prístup k prehľadným dashboardom, reportovacím mechanizmom a nástrojom na forenznú analýzu incidentov. Výsledkom je schopnosť včasnej detekcie bezpečnostných incidentov a podpora ich efektívneho riešenia. Súčasťou nasadenia SIEM je tiež definovanie sady detekčných pravidiel, ktoré budú vychádzať zo známych hrozieb, najnovších hrozbových feedov a špecifických bezpečnostných potrieb MŽP SR. SIEM riešenie bude plne integrovateľné s ostatnými bezpečnostnými komponentmi vrátane XDR a systémov pre správu zraniteľností, čím sa zabezpečí centralizovaná kybernetická ochrana a efektívna podpora rozhodovania v bezpečnostnom tíme.

1376

1377

1378

**Hlavné vlastnosti SIEM riešenia:**

1379

1380

* SIEM systém bude zbierať udalosti z rôznych zdrojov vrátane serverov, sieťových zariadení, bezpečnostných systémov (firewally, NDR, XDR), databáz, aplikácií, MS Active Directory a ďalších infraštruktúrnych komponentov.

1381

* Všetky získané dáta budú automaticky konvertované do jednotného formátu na účely efektívnej korelácie a analýzy.

1382

* Implementácia pokročilého korelačného engine-u umožní identifikáciu komplexných bezpečnostných incidentov na základe kombinácie viacerých zdrojov dát (napr. pokusy o brute-force útoky v kombinácii s anomálnym pohybom dát v sieti).

1383

* SIEM poskytne živý prehľad o aktuálnych udalostiach, ich vizualizáciu a okamžité notifikácie pri identifikácii podozrivých aktivít.

1384

* Administrátori budú môcť využívať množstvo predpripravených detekčných pravidiel, ako aj vytvárať vlastné korelačné pravidlá šité na mieru bezpečnostným politikám MŽP SR.

1385

1386

**Podporné moduly SIEM riešenia:**

1387

1388

* Intuitívne a konfigurovateľné dashboardy pre bezpečnostných analytikov a manažérov s možnosťou exportu pravidelných reportov v požadovaných formátoch.

1389

* Funkcie na spätné vyhľadávanie a detailnú analýzu historických udalostí v prostredí.

1390

* Napojenie na automatizačné nástroje (SOAR) pre efektívnejšiu odozvu na incidenty vrátane playbookov.

1391

1392

**Technické parametre riešenia:**

1393

1394

* Podpora spracovania vysokého počtu EPS (Events per second).

1395

* Rozšíriteľnosť úložiska prostredníctvom modulárnej architektúry (Data Node).

1396

* Podpora úložiska v redundantnej konfigurácii (RAID) pre zabezpečenie dostupnosti dát.

1397

* Administratívna a analytická konzola dostupná cez zabezpečené webové rozhranie.

1398

1399

Projektom sa zvyšuje úroveň kybernetickej a informačnej bezpečnosti nasadením resp. rozšírením nástrojov pre pokrytie kompletnej organizácie MŽP SR. V nadväznosti na projekt bude aktualizovaná bezpečnostná dokumentácia pre jednotlivé oblasti, ktorá vyplýva zo systému riadenia informačnej (a kybernetickej) bezpečnosti v súlade s vyhlášku Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

1.

11.

111. Určenie obsahu bezpečnostných opatrení

1405

1406

1407

|Obsah bezpečnostných opatrení podľa vyhlášky ÚPVII č. 179/2020 Z. z|Aplikované opatrenia|Aplikovaná legislatíva

1408

|Minimálne bezpečnostné opatrenia Kategórie I|Áno|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva

1409

|Minimálne bezpečnostné opatrenia Kategórie II|Áno|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva

1410

|Minimálne bezpečnostné opatrenia Kategórie III|Áno|Uveďte aplikovateľný odsek §3 vyhlášky 179/2020 vzťahujúci sa na vašu organizáciu, projekt a budované aktíva

1411

|Bezpečnostný projekt|Áno|§ 23 ods. 1 a 2 zákona 95/2019 Z.z.

1412

1413

Tabuľka 33 Určenie zdrojov a obsahu minimálnych bezpečnostných opatrení

1.

11.

111. Legislatívne, právne, štatutárne, regulačné a zmluvné požiadavky,

1419

1420

Bezpečnostná musí byť v súlade s dotknutými právnymi normami a zároveň s technickými normami, ktoré stanovujú úroveň potrebnej bezpečnosti IS, pre manipuláciu so samotnými dátami, alebo technické/technologické/personálne zabezpečenie samotnej výpočtovej techniky. Ide najmä o nasledovnú **legislatívu**:

1421

1422

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

1423

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

1424

* Vyhláška 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

1425

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

1426

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

1427

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1428

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

1429

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1430

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

1431

1432

1433

1. PREVÁDZKA A ÚDRŽBA VÝSTUPOV PROJEKTU

1.

11. Návrh riešenia prevádzky a údržby

1438

1439

Prevádzka a údržba navrhnutého riešenia projektu bude zabezpečená internými personálnymi kapacitami na úrovni podpory L1 až L3 (L3 externe). Pre hlásenie problémov bude využívaný Helpdesk. Predpoklad riešenia problémov a požiadaviek bude od nahlásenia problému alebo požiadavky prostredníctvom helpdesku (e-mailom, telefonicky, formulárom), identifikácia a preverenie problému/požiadavky, vykonanie opravy/podpory.

1440

1441

MŽP SR v súčasnosti disponuje interným zamestnancom: Manažér kybernetickej a informačnej bezpečnosti.

1.

11. Zabezpečenie podpory používateľov a prevádzky

1446

1447

Help Desk bude realizovaný cez 3 úrovne podpory s nasledujúcim označením:

1448

1449

* **L1 podpora** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

1450

* **L2 podpora** - riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

1451

* **L3 podpora** - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobťažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov, ktorú bude zabezpečovať výrobca implementovaných nástrojov.

1452

1453

Prevádzka implementovaných nástrojov v rámci projektu L1 až L3 bude zabezpečená internými zamestnancami MŽP SR. V prípade nevyhnutnej potreby bude zabezpečená L3 podpora výrobcu implementovaných nástrojov, ktorá bude financovaná z vlastných zdrojov MŽP SR.

1454

1455

1.

1456

11. Riešenie incidentov v prevádzke - parametre úrovní služby

1457

1458

1459

Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby Vládneho cloudu alebo komunikačnej infraštruktúry.

1460

1461

1462

Označenie naliehavosti incidentu:

1463

1464

|**Označenie naliehavosti incidentu**|**Závažnosť incidentu**|**Popis naliehavosti incidentu**

1465

|**A**|**Kritická**|Je to vada spôsobená vážnou chybou a/alebo nedostatkom dodávanej softvérovej aplikácie, pričom táto chyba a/alebo nedostatok zabraňuje používaniu dodávanej softvérovej aplikácie. Nie je možné poskytnúť požadovaný výstup z IS.

1466

|**B**|**Vysoká**|(((

1467

Je vada, spôsobená chybou a/alebo nedostatkom dodávanej softvérovej aplikácie, pričom táto chyba a/alebo nedostatok obmedzuje používanie dodávanej softvérovej aplikácie nasledovne:

1468

1469

Niektoré aplikačné funkcie (moduly, komponenty, objekty, programy) dodávanej softvérovej aplikácie nie sú funkčné alebo nie je umožnený prístup k niektorej aplikačnej funkcii (modulu, komponentu, objektu, programu) dodávanej softvérovej aplikácie

alebo

(ii) Nie je možné vykonať výber niektorých údajov alebo nie je možné vyhotoviť niektorý výstup z databázy údajov dodávanej softvérovej aplikácie alebo nie je možné vykonať prístup k niektorým údajom v databáze údajov dodávanej softvérovej aplikácie.

1474

1475

napr. tlač pomocných výstupov, zostavy, funkčnosť nesúvisiaca s vyrubením a pod.

1476

)))

1477

|**C**|**Stredná**|(((

1478

Do tejto kategórie spadajú všetky chyby a/alebo nedostatky spojené s používaním dodávanej softvérovej aplikácie, ktoré nie sú klasifikované ako závažné alebo kritické vady, pričom však čiastočne obmedzujú používanie dodávanej softvérovej aplikácie a vyžadujú si:

1479

1480

Nastavenie parametrov systému Poskytovateľom alebo

1481

1482

(ii) Vzniknutá vada a/alebo nedostatok má za príčinu miernu nepohodlnosť pri práci so softvérovou aplikáciou, ktorá je však funkčná.

)))

možný dopad:

|**Označenie závažnosti incidentu**|(((

**Dopad**

)))|**Popis dopadu**

|**1**|**katastrofický**|katastrofický dopad, priamy finančný dopad alebo strata dát,

1495

|**2**|**značný**|značný dopad alebo strata dát

1496

|**3**|**malý**|malý dopad alebo strata dát

* Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

1501

1502

1503

|(% colspan="2" rowspan="2" %)**Matica priority incidentov**|(% colspan="3" %)**Dopad**

1504

|**Katastrofický - 1**|**Značný - 2**|**Malý - 3**

1505

|(% rowspan="3" %)**Naliehavosť**|**Kritická - A**|1|2|3

1506

|**Vysoká - B**|2|3|3

1507

|**Stredná - C**|2|3|4

1508

1509

1510

**Vyžadované reakčné doby:**

1511

1512

1513

|**Označenie priority incidentu**|**Reakčná doba^^(1)^^ od nahlásenia incidentu po začiatok riešenia incidentu**|**Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI) ^^(2)^^**|(((

1514

**//Spoľahlivosť ^^(3)^^//**

1515

1516

//(počet incidentov za mesiac)//

1517

)))

1518

|**1**|0,5 hod.|4 hodín|//1//

1519

|**2**|1 hod.|12 hodín|//2//

1520

|**3**|1 hod.|24 hodín|//10//

1521

|**4**|1 hod.|(% colspan="2" %)Vyriešené a nasadené v rámci plánovaných releasov

1522

1523

1524

* (1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

1525

1526

1527

* (2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

1528

1529

1530

* (3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

1.

1*.

1**.

1***. (4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia

1537

1. Majú prioritu 3 a nižšiu

1538

1. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia

1539

1. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

1540

1541

1542

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

1543

1544

* Služby systémovej podpory na požiadanie (nad paušál)

1545

* Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

1546

1547

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

1.

11. Požadovaná dostupnosť informačného systému:

1552

1553

|**Popis**|**Parameter**|**Poznámka**

1554

|**Prevádzkové hodiny**|8 hodín|Po – Pia, 8:00 - 16:00

1555

|(% rowspan="2" %)**Servisné okno**|14 hodín|od 17:00 hod. - do 7:00 hod. počas pracovných dní

1556

|24 hodín|od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov Servis a údržba sa bude realizovať mimo pracovného času.

1557

|**Dostupnosť produkčného prostredia IS**|97%|(((

1558

* 97% z 24/7/365 t.j. max ročný výpadok je 10,95 dňa. Maximálny mesačný výpadok je 21,9 hodiny.

1559

* Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

1560

* Nedostupnosť IS sa počíta od nahlásenia incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t.j. nahlásenie incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

1561

* V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia vady alebo incidentu.

)))

=== Dostupnosť (Availability) ===

1567

1568

Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. V projekte sa uvažuje 97% dostupnosť znamená výpadok 10,95 dňa.

1569

1570

1571

=== RTO (Recovery Time Objective) ===

1572

1573

V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni.

1574

1575

1576

=== RPO (Recovery Point Objective) ===

1577

1578

V rámci projektu sa očakáva tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni.

1.

11. Požiadavky na ľudské zdroje potrebné pre zabezpečenie prevádzky

1584

1585

**Riadiaci výbor** projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

1586

1587

1588

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

1589

1590

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

1591

1592

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

1593

1594

1595

Riadiaci výbor projektu môžu tvoriť:

1596

1597

1.

1598

11. **predseda** Riadiaceho výboru projektu,

1599

11. **podpredseda **Riadiaceho výboru projektu,

1600

11. **vlastník alebo vlastníci procesov MŽP SR** (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,

1601

11. **zástupcu kľúčových používateľov **(end user),

1602

11. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.

1603

11. projektový manažér prijímateľa.

1604

1605

1606

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

1607

1608

1609

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

1610

1611

1612

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

1613

1614

1615

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

1616

1617

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

1618

1619

1620

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

|1.|TBD|TBD|TBD|Predseda RV (HP)

1625

|2.|TBD|TBD|TBD|Podpredseda RV (HP)

1626

|3.|TBD|TBD|TBD|Zástupca vlastníkov procesov (HP)

1627

|4.|TBD|TBD|TBD|Zástupca vlastníkov procesov II. (HP)

1628

|5.|TBD|TBD|TBD|Zástupcu kľúčových používateľov

1629

|6.|TBD|TBD|TBD|Zástupca Dodávateľa

1630

|7.|TBD|Projektový manažér|TBD|Projektový manažér prijímateľa

1631

1632

1633

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

1634

1635

1636

Projektový tím bude pozostávať z pozícií:

* Projektové role:

* Projektový manažér,

1641

* Kľúčový používateľ,

1642

* Manažér kybernetickej a informačnej bezpečnosti,

1643

1644

1645

* Ďalšie projektové role:

* Finančný manažér

* Asistent PM

V súlade s výzvou MŽP SR zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov MŽP SR.

1651

1652

1653

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

1654

1655

Projektový manažér Objednávateľa bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

1656

1657

1658

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

1659

1660

1661

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

|4.|TBD|TBD|TBD|Finančný manažér

1669

|5.|TBD|TBD|TBD|Asistent PM

1670

1671

1672

RV je riadiaci orgán projektu, ktorý zodpovedá najmä za splnenie stanovených cieľov projektu, rozhoduje o zmenách, ktoré majú zásadný význam a prejavujú sa hlavne dopadom na časový harmonogram a finančné prostriedky projektu. Reprezentuje najvyššiu akceptačnú autoritu projektu. Štatút Riadiaceho výboru projektu upravuje najmä úlohy, zloženie a pôsobnosť RV, ako aj práva a povinnosti členov RV pri riadení a realizácii predmetného projektu.

1673

1674

Projektový manažér riadi projekt, kvalitu a riziká projektu a zabezpečuje plnenie úloh uložených RV. Členovia projektového tímu zabezpečujú plnenie úloh uložených projektovým manažérom, alebo RV.

1675

1676

Ďalšie povinnosti členov RV, projektového manažéra a členov projektového tímu sú uvedené vo Vyhláške č. 401/2023 Z. z. a v doplňujúcich vzoroch a šablónach zverejnených na webovom sídle MIRRI SR.

1677

1678

1679

|**Projektová rola:**|**PROJEKTOVÝ MANAŽÉR**

1680

|Detailný popis rozsahu zodpovedností, povinností a kompetencií:|(((

1681

- zodpovedá za každodenné riadenie projektu v mene RV, za monitorovanie projektu, za plánovanie aktivít, za informovanie o projekte, atď.,

1682

1683

- zodpovedá za určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory RV pre riadenie, plánovanie a kontrolu projektu a efektívne využívanie projektových zdrojov (ľudských a finančných),

1684

1685

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR), metodických požiadaviek súvisiacich s implementáciou projektu a formálnu administráciu projektu súvisiacu s riadením, organizovaním, finančným zúčtovaním, sledovaním čiastkových a celkových výsledkov (monitorovaním) a hodnotením výsledkov,

1686

1687

- integrovane riadi prípravu a uskutočnenie projektu, nasadenie disponibilných prostriedkov, zabezpečuje koordináciu dodávateľov a zhotoviteľov jednotlivých výstupov projektu, zabezpečuje koordináciu partnerov, časový priebeh a kvalitu výstupov projektu, zmeny projektu a rieši konflikty s okolím projektu,

1688

1689

- prijíma rozhodnutia a riadi projekt tak, aby sa splnili stanovené ciele projektu, a aby projekt dodával dohodnuté produkty v dohodnutej kvalite, v čase, a v rámci rozpočtu,

1690

1691

- zodpovedá RV za plnenie cieľov projektu a celkový postup prác v projekte,

1692

1693

- informuje RV o stave a priebehu projektu, predkladá návrhy na zlepšenie,

1694

1695

- riadi strategické a projektové riziká, vrátane vývojových a rezervných plánov,

1696

1697

- zodpovedá za identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii,

1698

1699

- aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1700

1701

- zabezpečuje kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1702

1703

- zabezpečuje vecnú administráciu zúčtovania dodávateľských faktúr,

1704

1705

- predkladá požiadavky dodávateľa na rokovanie RV,

1706

1707

- zodpovedá za koordináciu a zabezpečenie podkladov pre oddelenie komunikačné pre potreby medializácie projektu,

1708

1709

- zodpovedá za informovanie zamestnancov a verejnosti o začatí a ukončení projektu v závislosti od jeho charakteru,

1710

1711

- zodpovedá za zabezpečenie vypracovania, priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie a produktov,

1712

1713

- pripravuje a predkladá stanovené dokumenty na schválenie RV,

1714

1715

- navrhuje zaradiť projekt alebo jeho časť do režimu utajenia,

1716

1717

- zabezpečuje permanentný dohľad a zvýšenú mieru kontroly a ochrany tokov informácií pri realizácii utajovaného projektu alebo utajovanej časti projektu,

1718

1719

- zodpovedá za vypracovanie požiadaviek na zmenu, návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV,

1720

1721

- zabezpečuje podanie žiadosti o rozpočtové opatrenie MF SR cez Rozpočtový informačný systém na projekt IT podľa potreby,

1722

1723

- zodpovedá za riadenie zmeny a prípadné požadované riadenie konfigurácií,

1724

1725

- navrhuje členov projektového tímu po dohode s líniovým vedúcim a tímovým manažérom a tiež navrhuje rozsah ich zodpovedností a činností,

1726

1727

- organizuje, riadi, motivuje projektový tím a deleguje úlohy členom projektového tímu,

1728

1729

- hodnotí členov projektového tímu,

1730

1731

- udeľuje pokyny na výkon činností projektovej kancelárie,

1732

1733

- podľa potreby deleguje svoje povinnosti a práva na tímových manažérov a koordinuje ich činnosť,

1734

1735

- plní úlohy tímového manažéra (vedúceho projektového tímu), ak takáto rola v projekte nie je obsadená –viď činnosť projektovej role „Tímový manažér“,

1736

1737

- monitoruje výkonnosť projektu, to znamená, že sleduje pokrok vo vybraných ukazovateľoch (KPI) projektu a predkladá ho na schválenie RV,

1738

1739

- zabezpečuje evidenciu v informačných systémoch pre štandardizované procesy programové a projektového riadenia, napr. IT monitorovací systém pre európske štrukturálne a investičné fondy,

1740

1741

- zodpovedá za publikovanie RV schválených projektových výstupov v MetaIS chronologicky, z každej fázy životného cyklu projektu,

1742

1743

- zodpovedá za publikovanie zápisov RV v MetaIS,

1744

1745

- počas celej doby realizácie projektu štandardne zabezpečuje nasledovné prierezové činnosti:

1746

1747

~1. kontinuálne zdôvodňovanie projektu, ktoré zahŕňa posúdenie, či je projekt požadovaný a dosiahnuteľný, potrebné na rozhodovanie o pokračovaní vynakladania prostriedkov počas všetkých fáz projektu, vypracované aspoň po ukončení každej fázy projektu,

1748

1749

2. plánovanie a operatívne riadenie dodávania projektových produktov,

1750

1751

3. riadenie rizík a závislostí, ktoré zahŕňa identifikáciu, hodnotenie a riadenie rizík, závislostí a hrozieb na úspešnú realizáciu projektu,

1752

1753

- zabezpečuje dodržiavanie legislatívno-metodických zásad pre riadenie projektov,

1754

1755

- zodpovedá za formálnu administráciu projektu, riadenie centrálneho úložiska projektovej dokumentácie MŽP SR, správu a archiváciu projektovej dokumentácie,

1756

1757

- sleduje dodržiavanie interných riadiacich aktov.

)))

|**Projektová rola:**|**KĹÚČOVÝ POUŽÍVATEĽ**

1764

|Stručný popis:|(((

1765

* reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov,

1766

* poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT,

1767

* aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

1768

* plní pokyny PM a dohody zo stretnutí projektového tímu.

)))

|Detailný popis rozsahu zodpovedností, povinností a kompetencií|(((

1773

* návrh a špecifikáciu funkčných, nefunkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť,

1774

* jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy,

1775

* návrh a definovanie rizík, rozhraní a závislostí,

1776

* vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania) a za finálne odsúhlasenie používateľského rozhrania,

1777

* návrh a definovanie akceptačných kritérií,

1778

* akceptačné testovanie (UAT) a návrh na akceptáciu projektových produktov alebo projektových výstupov a finálny návrh na spustenie do produkčnej prevádzky,

1779

* 7. predkladanie požiadaviek na zmenu funkcionalít produktov,

)))

|**Projektová rola:**|**PROJEKTOVÁ KANCELÁRIA („PMO“)**

1784

|Projektovou kanceláriou je príslušný organizačný útvar MŽP SR v zmysle organizačného poriadku MŽP SR, ktorý zabezpečuje podporu riadenia projektu, najmä:|(((

1785

- administratívnu a technickú podporu v jednotlivých fázach životného cyklu projektu,

1786

1787

- vypracovanie a odovzdanie menovacích dekrétov a odvolacích dekrétov

1788

1789

pre predsedu RV, členov RV, PM a podpísaných predsedom RV pre členov projektového tímu a PMO,

1790

1791

- zabezpečenie oboznámenia predsedu RV, členov RV, a členov projektového tímu s projektom, ich

1792

1793

úlohami a rozsahom ich zodpovedností, atď. podľa pokynu PM,

1794

1795

- organizačné zabezpečenie zasadnutí RV, spracovanie zápisov zo zasadnutí RV a zabezpečenie ich

1796

1797

zverejnenia prostredníctvom MetaIS, ak je to potrebné,

1798

1799

- organizačné zabezpečenie stretnutí realizovaných v rámci projektu, spracovanie zápisov z týchto

stretnutí,

- vykonávanie úloh na základe pokynov PM,

1804

1805

- vypracovanie a aktualizácia zoznamov úloh, rizík, otvorených otázok a iných manažérskych správ,

1806

1807

reportov, zoznamov a požiadaviek,

1808

1809

- organizačné zabezpečenie pripomienkového konania projektovej dokumentácie,

1810

1811

- správu projektov, monitorovanie stavu projektu, udržiavanie aktuálnosti a hodnovernosti údajov

1812

1813

o projektoch a podľa potreby optimalizáciu projektov,

1814

1815

- prípravu informácií o stave realizácie projektu podľa potreby,

1816

1817

- zhromaždenie, analyzovanie a vyhodnotenie poznatkov z implementácie projektov a definovanie

1818

1819

ponaučenia za účelom predchádzania a opakovania chýb z minulosti,

1820

1821

- zabezpečenie zverejnenia projektových výstupov jednotlivých fáz životného cyklu projektu na centrálnom

1822

1823

úložisku projektovej dokumentácie MŽP SR a v MetaIS, ak je to potrebné,

1824

1825

- poskytuje súčinnosť PM pri predkladaní projektových produktov na posúdenie ekonomickej výhodnosti

1826

1827

a súladu s programovým riadením MIRRI SR, ak je to potrebné,

1828

1829

- organizáciu procesov súvisiacich s výkazmi práce členov projektových tímov jednotlivých projektov,

1830

1831

- vytvorenie a spravovanie centrálneho úložiska projektovej dokumentácie MŽP SR,

1832

1833

- vytvorenie komunikačnej platformy v rámci projektu a medzi projektami navzájom,

1834

1835

- zabezpečenie interakcie medzi zainteresovanými stranami, ich spokojnosť a realizáciu požiadaviek

1836

1837

spojených s implementáciou projektu,

1838

1839

- spoluprácu s metodickou podporou projektového riadenia,

1840

1841

- zabezpečenie uloženia originálov projektovej dokumentácie.

)))

|**Projektová rola:**|**MANAŽÉR KYBERNETICKEJ A INFORMAČNEJ BEZPEČNOSTI („KIB“)**

1846

|Stručný popis:|(((

1847

- má neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných,

1848

1849

- má sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a v zmysle ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,

1850

1851

- zodpovedá za posúdenie možných alternatív realizácie projektu za oblasť IB a KB,

1852

1853

- zodpovedá za posúdenie požiadaviek agendy IB a KB na rozhrania a spoločné komponenty, na integrácie a procesy konverzie a migrácie, identifikácia nesúladu a návrh riešenia,

1854

1855

- poskytuje konzultácie a súčinnosť pre problematiku IB a KB,

1856

1857

- poskytuje konzultácie pri tvorbe šablón a vzorov dokumentácie pre oblasť IB a KB,

1858

1859

- poskytuje konzultácie a vykonáva kontrolnú činnosť zameranú na obsah a komplexnosť dokumentácie z hľadiska IB a KB,

1860

1861

- dohliada na zosúladenie projektu s princípmi definovanými v interných riadiacich aktoch MŽP SR a dokumentoch týkajúcich sa bezpečnosti MŽP SR,

1862

1863

- zabezpečuje získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti IB a KB,

1864

1865

- aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

1866

1867

- plní pokyny PM a dohody zo stretnutí projektového tímu.

1868

1869

- komunikuje s dodávateľom riešenia

1870

)))

1871

|Detailný popis rozsahu zodpovedností, povinností a kompetencií|(((

1872

* zodpovedá́ za špecifikovanie:

1873

* štandardov, princípov a stratégií v oblasti informačnej bezpečnosti („IB“) a kybernetickej bezpečnosti („KB“) a ich dodržiavanie,

1874

* funkčných, nefunkčných a technických požiadaviek na IB a KB a za ich analýzu,

1875

* požiadaviek na IB a KB, kontroluje ich implementáciu v realizovanom projekte,

1876

* požiadaviek na bezpečnosť̌ vývojového, testovacieho a produkčného prostredia,

1877

* požiadaviek na bezpečnosť̌ v rámci bezpečnostnej vrstvy,

1878

* požiadaviek na školenia pre oblasť̌ IB a KB,

1879

* požiadaviek na bezpečnostnú́ architektúru riešenia a technickú́ infraštruktúru pre oblasť̌ IB a KB,

1880

* požiadaviek na dostupnosť̌, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na IB a KB,

1881

* požiadaviek na IB a KB, bezpečnostný́ projekt a riadenie prístupu,

1882

* požiadaviek na opis vývojového, testovacieho a produkčného prostredia za oblasť̌ IB a KB,

1883

* požiadaviek na testovanie z hľadiska IB a KB, realizáciu kontroly zapracovania a retestu,

1884

* požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť̌ IB a KB, ako aj v zmysle "best practies",

1885

* požiadaviek na dodanie potrebnej dokumentácie súvisiacej s IBaKB kontroluje ich implementáciu v realizovanom projekte,

1886

* požiadaviek a konzultácie pri návrhu riešenia za agendu IB a KB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný́ návrh riešenia (DNR)“,

1887

* požiadaviek nabezpečnosť ITaKB v rámci procesu "akceptácie, odovzdania a správy zdrojových kódov“,

1888

* akceptačných kritérií́ za oblasť̌ IB a KB,

1889

* pravidiel pre publicitu a informovanosť̌ s ohľadom na IB a KB,

1890

* podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť̌ IB a KB,

1891

* požiadaviek na bezpečnostný́ projekt pre oblasť̌ IB a KB,

1892

1893

1894

* zodpovedá́ za realizáciu kontroly:

1895

* zameranej na naplnenie požiadaviek definovaných v bezpečnostnom projekte za oblasť̌ IB a KB,

1896

* zameranú́ na správnosť̌ nastavení́ a konfigurácii bezpečnosti jednotlivých prostredí́,

1897

* zameranú́ na realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť̌ a kompletný́ popis rozhraní́, správnu identifikácia závislostí,

1898

* naplnenia definovaných požiadaviek pre oblasť̌ IB a KB,

1899

* zameranú́ na implementovaný́ proces v priamom súvise s IB a KB,

1900

* súladu s platnou legislatívou v oblasti IB a KB (obsahuje aj kontrolu legislatívnych požiadaviek),

1901

* zameranú́ na zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní́ a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

)))

|**Projektová rola:**|**ČLEN PROJEKTOVÉHO TÍMU**

1908

|Stručný popis:|(((

1909

- vykonáva odbornú prácu v projekte a poskytuje odborné stanoviská a konzultácie za príslušnú oblasť,

1910

1911

- aktívne sa zúčastňuje odborných stretnutí tímu, ako aj konzultácií,

1912

1913

- zabezpečuje vypracovanie, priebežnú aktualizáciu a verzionovanie manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice v súčinnosti a podľa pokynov tímového manažéra a PM,

1914

1915

- plní úlohy uložené tímovým manažérom a PM v požadovanej kvalite a v stanovených termínoch,

1916

1917

- plní dohody zo stretnutí projektového tímu,

1918

1919

- odpočtuje plnenie úloh tímovému manažérovi a PM,

1920

1921

- predkladá námety, podnety, požiadavky a upozorňuje na problémy a riziká súvisiace s projektom tímovému manažérovi a PM,

1922

1923

- spolupracuje s projektovým tímom na strane dodávateľa,

1924

1925

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR a EK) a metodických a administratívnych požiadaviek súvisiacich s implementáciou projektu.

)))

1.

11. Požiadavky na zdrojové kódy

1933

1934

Projektom bude zvýšená úroveň kybernetickej a informačnej bezpečnosti, ktorý pozostáva z nákupu krabicových balíkov, ktoré budú dodávateľom nasadené do prevádzky. Vzhľadom na to, že predmetom nie je vývoj na mieru informačného systému je táto kapitola irelevantná.

1935

1936

1937

1. OPIS IMPLEMENTÁCIE PROJEKTU A PREBERANIA VÝSTUPOV PROJEKTU

1938

1939

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Výstupom bude aj dodanie používateľskej príručky, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (Havarijný plán) a bezpečnostný projekt. Na dodržanie štandardov sa použije M-04 Audit kvality zameraný na výstupy z iniciačnej, realizačnej a dokončovacej fázy projektu.

1940

1941

1942

Realizácia projektu bude v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. pozostávať z uvedených etáp:

* Analýza a dizajn,

* Nákup technických prostriedkov, programových prostriedkov a služieb

1947

* Implementácia a testovanie,

* Nasadenie.

MŽP SR bude pri implementácii postupovať v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre a požadované výstupy budú dodávane primerane vzhľadom na charakter projektu.

1952

1953

1954

|Etapa|Požadované výstupy

1955

|Analýza a dizajn|(((

1956

Úvodná správa (Projektový iniciálny dokument, ďalej ako „PID“) pre všetky funkčné oblasti

- Zoznam požiadaviek

- Akceptačné kritériá

1961

1962

- Rámcová špecifikácia riešenia (Popis produktu, Dekompozícia produktu, Vývojový diagram

produktu)

- Biznis architektúra

1967

1968

- Aplikačná architektúra

1969

1970

- Technologická architektúra – časť systémová architektúra

1971

1972

- Bezpečnostná architektúra

1973

1974

- Stratégia testovania

- Plán testovania

- Testovacie scenáre a prípady

1979

1980

Detailná funkčná špecifikácia riešenia

1981

1982

- detailný popis funkcionality a biznis požiadaviek,

1983

1984

- Blokové a dátové modely finálneho produktu

1985

1986

Detailná technická špecifikácia, pre všetky systémy samostatne

1987

1988

- technická architektúra – časť fyzická architektúra

1989

1990

- špecifikácia správy používateľov a používateľských profilov (vrátane rolí a práv)

1991

1992

- špecifikácia podpory identifikácie používateľov a autentifikácie vykonávaných činností

1993

1994

- špecifikácia technologických riešení a predpokladov na dosiahnutie výkonnostných požiadaviek

- Plán testovania

- Testovacie scenáre a prípady

- Plán Implementácie

)))

|Nákup technických prostriedkov, programových prostriedkov a služieb|Obstaranie programových prostriedkov a služieb (R2-2)

2003

|Implementácia a testovanie|(((

2004

Implementácia:

2005

2006

Implementačný plán pre všetky funkčné oblasti samostatne:

2007

2008

- Implementácia systémov pre všetky funkčné oblasti samostatne

2009

2010

- Implementácia integrácií systémov pre všetky funkčné oblasti samostatne

2011

2012

- Úvodná konfigurácia systému podľa reálnych biznis procesov pre testovacie účely

2013

2014

- Vybudovanie testovacieho prostredia, jeho nasadenie a oživenie diela pre všetky systémy a pre všetky funkčné oblasti samostatne

2015

2016

- Implementácia procesov

Testovanie:

Zrealizovanie testovania minimálne v nasledovnom rozsahu:

- Funkčné testy

- Bezpečnostné testy - v rozsahu dokumentu „Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti“ (dostupná na https:~/~/www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf)

- Záťažové testy

- Systémové integračné testy

2029

2030

- Testy použiteľnosti

2031

2032

- Používateľské akceptačné testovanie

2033

)))

2034

|Nasadenie|(((

2035

Nasadenie do produkcie:

2036

2037

- Príprava produkčného prostredia

2038

2039

- Administratívna príprava produkčného prostredia (procesy, dokumentácia)

2040

2041

- Inštalácia riešenia do produkčného prostredia

2042

2043

- Sprístupnenie riešenia v produkčnom prostredí vybraným používateľom

)))

|(((

Dokončovacia fáza projektu

)))|(((

Manažérsky produkt

- M-02 Správa o dokončení projektu

2053

2054

- M-02 Plán kontroly po odovzdaní projektu

2055

2056

- M-02 Odporúčanie nadväzných krokov

2057

2058

- M-02 Plán monitorovania a hodnotenia po odovzdaní projektu

2059

)))

2060

|Služby projektového riadenia|(((

Manažérsky produkt

- M-01 Plán etapy

- M-02 Manažérske správy, plány, reporty, zoznamy a požiadavky

2066

2067

- M-03 Akceptačný protokol

- M-04 Audit kvality

- M-05 Analýza nákladov a prínosov

)))

Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:

2076

2077

* Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.

2078

* Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre MŽP SR.

2079

* Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre MŽP SR.

2080

* Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.

1. ODKAZY

1. PRÍLOHY

**Príloha 1: **Zoznam rizík a závislostí (Excel): [[//https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html//>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html]]

// //

Koniec dokumentu

----

[[^^~[1~]^^>>path:#_ftnref1]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf]]

Wiki zdrojový kód pre I-02 Projektový zámer (projektovy_zamer)

Vitajte

Linky

Navigácia