Zmeny dokumentu projekt_2306_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/20 14:01

From 2.1 to 2.2

Z verzie 1.1

upravil milica_okaliova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 2.1

upravil milica_okaliova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,0 +1,360 @@
++= {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]] =
++
++== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]] ==
++
++\\
++
++Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb.
++
++\\
++
++Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti.
++
++\\
++
++Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík.
++
++\\
++
++Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.
++
++\\
++
++== {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b)     Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa ==
++
++ÚVO ako prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb využíva na pokrytie týchto základných služieb informačné systémy, aplikačnú a komunikačnú infraštruktúru. Správa a prevádzka týchto systémov je v prevažnej miere zabezpečovaná formou služieb  prostredníctvom zmlúv na prevádzku, údržbu a rozvoj. Bezpečnostné opatrenia v oblasti správy privilegovaných účtov na ÚVO majú teda vysokú prioritu a zatiaľ nie sú implementované v plnom rozsahu požiadaviek pre zabezpečenie a udržanie zákonom požadovanej kybernetickej bezpečnosti v podmienkach ÚVO. V súčasnosti jednou z dôležitých úloh v oblasti kybernetickej bezpečnosti je zabezpečenie centrálnej správy, riadenia a monitorovania privilegovaných používateľov, evidencia informačných aktív, ich klasifikácia, kategorizácia IS a sietí, riadenie a taktiež vyhodnocovanie identifikovaných rizík, hrozieb, incidentov, ktoré nie je podporované nástrojmi IS.
++
++Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď.
++
++\\
++
++V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k:
++
++- Informačným systémom (**Systémy úradu** [[ISVS (gov.sk)>>url:https://metais.vicepremier.gov.sk/cilist/ISVS?page=1&count=30&filter%5BglobalSearch%5D=%257B%2522attributes%2522%253A%255B%255D%252C%2522metaAttributes%2522%253A%257B%2522liableEntity%2522%253A%255B%2522cb45bee5-c165-43dc-b3b1-bb4abc823215%2522%255D%257D%257D||shape="rect"]])
++
++- Operačným systémom  (Windows, RedHat, CentOS,..)
++
++- Databázam (Oracle, SQL, MySQL,..)
++
++- Komunikačným prvkom a firewallom
++
++- atď.
++
++\\
++
++**Riadenie IB a KB**
++
++UVO má definované a schválené základné strategické bezpečnostné ciele pre oblasť' riadenia IB a KyB.  V zmysle platnej legislatívy boli prijaté a sú dodržiavané bezpečnostné opatrenia, jedná sa hlavne o  smernice na riadenie IB a KB na úrade, ale aj ďalšie opatrenia v zmysle legislatívnych požiadaviek.
++
++Organizácia informačnej bezpečnosti ÚVO má tri úrovne:
++
++- Úroveň stratégie a auditu
++
++- Úroveň metodiky a operačného riadenia
++
++- Úroveň implementácie, prevádzky a administrácie
++
++\\
++
++Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení.
++
++=== {{id name="projekt_2306_Projektovy_zamer_detailny-"/}}** ** ===
++
++=== {{id name="projekt_2306_Projektovy_zamer_detailny-Bezpečnostnádokumentácia"/}}**Bezpečnostná dokumentácia** ===
++
++|(((
++P.č.
++)))|(((
++Názov dokumentu
++)))|(((
++Posledná aktualizácia
++)))
++|(((
++1.
++)))|(((
++Stratégia informačnej a kybernetickej bezpečnosti
++)))|(((
++10/2020
++)))
++|(((
++2.
++)))|(((
++Politika informačnej bezpečnosti
++)))|(((
++10/2020
++)))
++|(((
++3.
++)))|(((
++Smernica č. 14-2020 o klasifikácii informačných aktív a kategorizácií sietí a informačných systémov
++)))|(((
++10/2020
++)))
++|(((
++4.
++)))|(((
++Smernica č. 15-2020 pre riadenie bezpečnostných incidentov
++)))|(((
++11/2020
++)))
++|(((
++5.
++)))|(((
++Smernica č. 16-2020 pre riadenie informačnej bezpečnosti
++)))|(((
++12/2020
++)))
++|(((
++6.
++)))|(((
++Smernica č. 17-2020 pre riadenie prístupových práv
++)))|(((
++12/2020
++)))
++|(((
++7.
++)))|(((
++Smernica č. 18-2020 správy a prevádzky informačných systémov a služieb
++)))|(((
++12/2020
++)))
++|(((
++8.
++)))|(((
++Smernica č_1_2021 o informačnej bezpečnosti pre používateľov
++)))|(((
++01/2021
++)))
++|(((
++9.
++)))|(((
++Štatút Výboru pre riadenie informačnej a kybernetickej bezpečnosti Úradu pre verejné obstarávanie
++)))|(((
++10/2020
++)))
++|(((
++10.
++)))|(((
++Analýza rizík a BIA
++)))|(((
++08/2020
++)))
++|(((
++11.
++)))|(((
++Plánovanie kontinuity činnosti (BCM)
++)))|(((
++02/2021
++)))
++
++\\
++
++Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti.
++
++Súčasťou sekundárnych aktivít na ktoré žiadame finančné zdroje prostredníctvom tejto Deklarácie súladu a pripravovanej Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zabezpečenie riešenia pre Riadenie a správa privilegovaných účtov (RaSPU) a zavedenie modulu pre evidenciu informačných aktív (EIA).
++
++Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy)
++
++\\
++
++Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**.
++
++**~ **
++
++**PIM** – Privileged Identity Management - centralizovaná správa, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel
++
++**PAM** – Privileged Access Management - centralizované riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam
++
++Pod pojmom privilegovaný účet označujeme pre tento účel účet v informačnom systéme, ktorý má vysoké oprávnenia, t. j. účty typu/role root v Linux/UNIX systémoch, účty typu/role Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na fyzickú osobu. S týmito účtami pracujú privilegovaní užívatelia. Pojem privilegovaný užívateľ označuje fyzickú osobu, ktorá používa privilegované účty. Ide hlavne o pracovníkov prevádzky, dodávateľov, alebo vývojárov. Cieľový systém označuje systém, na ktorý sa privilegovaný užívateľ pripojuje prostredníctvom privilegovaných účtov.
++
++Riešenie má zaznamenávať činnosť systémového administrátora, ktorý pristupuje k citlivým dátam alebo vykonáva konfiguračnú činnosť a vytvárať auditnú stopu pre potreby možného sledovať udalosti presne tak, ako sa v skutočnosti odohrali.
++
++Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo.
++
++\\
++
++Riešenie by malo zabezpečiť hlavne:
++
++* skenovanie, identifikácia a enrolment privilegovaných účtov zariadení a aplikácií,
++* automatickú zmenu/rotácia hesiel na základe definovaných politík a komplexicity hesla, úložisko hesiel,
++* auditné záznamy o prístupoch k heslám o operáciách nad spravovanými privilegovanými prístupmi, účtami,
++* delegovanie správy prístupov, členenie na logické celky s vymedzenými oprávneniami
++* monitoring, správa a nahrávanie používateľských (administrátorských) session počas prístupu pod privilegovaným účtom,
++* spracovanie metadát o nahrávaných session tak aby bolo možné v nahrávkach vyhľadávať napr. spustené aplikácie a príkazy,
++* správa SSH kľúčov v prostredí UNIX a Linux,
++* podpora využitia jump host (Windows RDP, Unix SSH) na nadviazanie spojenia s koncovým zariadením,
++* zabezpečenie prístupu tak, aby administrátor nevedel heslo k privilegovaného účtu ku koncovému zariadeniu,
++* podpora  dvojfaktorovej autentifikácie,
++* centrálnu autentizáciu a riadenie prístupu,
++* full-textové vyhľadávanie v záznamoch,
++* tvorba black-listov a white-listov,
++* behaviorálnu analýzu správania užívateľov.
++
++\\
++
++ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh:
++
++* RFI_Privil_ucty_opis – Príloha k Deklarácií súladu
++
++\\
++
++Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU.
++
++== {{id name="projekt_2306_Projektovy_zamer_detailny-c)Spôsobrealizácieaktivítprojektu"/}}c)      Spôsob realizácie aktivít projektu ==
++
++Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania podľa zákona 343/2015 z. z. o verejnom obstarávaní v súčinnosti s pracovníkmi ÚVO.
++
++|(((
++Harmonogram
++)))|(((
++Od – do
++)))|(((
++Dĺžka v mesiacoch
++)))
++|(((
++Riadenie projektu
++)))|(((
++03/2022-7/2023
++)))|(((
++17
++)))
++|(((
++Verejné obstarávanie
++)))|(((
++03/2022-09/2022
++)))|(((
++7
++)))
++
++\\
++
++**Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:**
++
++Hlavné aktivity[[~[4~]>>path:#_ftn4||name="_ftnref4" shape="rect"]]: - harmonogram realizácie (predpokladaný) od 10/2022 do 5/2023
++
++|(((
++Harmonogram
++)))|(((
++Od – do
++)))|(((
++Dĺžka v mesiacoch
++)))
++|(((
++Aktivita 1 - Analýza a Dizajn
++)))|(((
++10/2022-11/2022
++)))|(((
++2
++)))
++|(((
++Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb
++)))|(((
++\\
++
++10/2022-12/2022
++)))|(((
++\\
++
++3
++)))
++|(((
++Aktivita 3 - Implementácia  a Testovanie
++)))|(((
++12/2022-4/2023
++)))|(((
++5
++)))
++|(((
++Aktivita 4 – Nasadenie
++)))|(((
++5/2023
++)))|(((
++1
++)))
++
++\\
++
++\\
++
++Hlavné aktivity:
++
++Aktivita 1 - Analýza a Dizajn
++
++* Analýzy - v rozsahu potreby projektu pre detailný návrh riešenia RasPU a modulu EIA , dátová, bezpečnostná, architektúra, integrácia, analýza prístupov, účtov, návrh procesov, katalógu rolí...
++* DNR - detailný návrh riešenia - funkčný, architektúra technická, aplikačná, bezpečnosť, integrácia, testovanie - plán testov, školenia, dokumentácia, detailný harmonogram...
++
++Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb pre potreby projektu
++
++Aktivita 3 - Implementácia  a Testovanie
++
++* Implementácia, alebo kastomizácia funkcionality RaSPU, príprava inštalačného prostredia, vytvorenie rolí,..
++* Implementácia, kastomizácia offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia prispôsobí na potreby ÚVO.
++* Testovanie, vrátane akceptačnéh testovania
++* Vyhotovenie dokumentácie
++
++Aktivita 4 – Nasadenie
++
++* Tvorba detailných plánov nasadenia do prevádzky (Cut-over)
++* Nasadenie riešení do prevádzkového prostredia (inštalácie, konfigurácie, priradenie rolí, ...) podľa Cut-over
++
++QA manažér bude vykonávať **riadenie kvality projektu** - realizácia aktivít projektu v oblasti Quality Assurance podľa aktuálne platnej Metodiky riadenia QAMPR  z gescie MIRRI SR.
++
++Ďalšie pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby úrad realizoval projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.).
++
++Podporné aktivity:
++
++Riadenie projektu:
++
++* Projektový manažér: bude vykonávať činností spojené s riadením projektového tímu a samotné projektové riadenie v zmysle metodík pre riadenie projektov a v súlade s aktuálnymi Príručkami EŠIF platnými pre OPII PO7. PM je interný zamestnanec úradu.
++
++Publicita a informovanosť:
++
++* Bude uskutočnená s aktuálne platným Manuálom pre informovanie a komunikáciu.
++
++**Zoznam produktov, ktoré projekt dodáva je nasledovný:**
++
++- Analýza celkových nákladov na vlastníctvo (TCO)
++
++- Funkčná a technická špecifikácia
++
++- Projektový iniciálny dokument (PID)
++
++- Detailný návrh riešenia (DNR)
++
++- Plán Testov
++
++- Dokumentácia (Aplikačná, Používateľská, Inštalačná a Konfiguračná, Prevádzková)
++
++- Klientsky modul evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov
++
++- Informačný systém RaSPU
++
++\\
++
++Aktivity Implementácia a Testovanie, Nasadenie  prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB.
++
++Informačný systém RaSPU plánujeme realizovať obstaraním dodávateľa na realizáciu IS, vrátane softvérových produktov.
++
++Z realizovaného prieskumu trhu, podľa vyššie uvedenej špecifikácie, nám vyšla sumu 149 660,80  EUR s DPH, celková suma v Žiadosti o NFP spolu s internými výdavkami (priame a nepriame) je 164 234,71 EUR s DPH.
++
++Analýzu a implementáciu modulu EIA plánujeme realizovať internými kapacitami zapojenými do projektu.
++
++== {{id name="projekt_2306_Projektovy_zamer_detailny-d)Situáciaporealizáciiprojektuaudržateľnosť"/}}d)     Situácia po realizácii projektu a udržateľnosť ==
++
++ÚVO bude mať k dispozícii IS, ktorý mu zabezpečí dostatočnú podporu pre riadenie prístupov privilegovaných používateľov k IS ÚVO a jeho infraštruktúre, vrátane modulu EIA na evidenciu informačných aktív, ich klasifikáciu, kategorizáciu, riadenia rizík a incidentov. Tým zabezpečí primeranú kybernetickú a informačnú bezpečnosť vo vzťahu k poskytovaniu základných služieb.  Zabezpečenie prevádzky, údržby a podpory IS RaSPU bude zabezpečené prostredníctvom SLA zmluvy financovanej z vlastných finančných zdrojov, ktorá pokryje prevádzku IS a budúci rozvoj.
++
++V rámci udržateľnosti ÚVO plánuje nasledovné riešenie:
++
++1. Realizáciu diela – implementáciu RaSPU (do majetku) a licencií
++1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline)
++1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti.
++
++\\
++
++[[//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]]//   //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
++
++[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]]  Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy.
++
++[[~[3~]>>path:#_ftnref3||name="_ftn3" shape="rect"]] Žiadateľ je povinný vypracovať Deklaráciu súladu a predložiť ju na posúdenie Ministerstvu investícií, regionálneho rozvoja a informatizácie SR (ďalej ako „MIRRI“), sekcii kybernetickej bezpečnosti, ktorá vydá k Deklarácii súladu stanovisko. Následne žiadateľ predkladá Stanovisko a Deklaráciu súladu ako prílohu Žiadosti o NFP v rámci konania o Žiadosti o NFP na MIRRI, sekcii sprostredkovateľského orgánu informatizácie spoločnosti v súlade s podmienkou poskytnutia príspevku „**Podmienka súladu Žiadosti o NFP s horizontálnym projektom a s minimálnymi obsahovými a formálnymi náležitosťami definovanými Prílohou č. 9. výzvy**“.
++
++[[~[4~]>>path:#_ftnref4||name="_ftn4" shape="rect"]] V súlade s [[Vyhláškou Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o riadení projektov>>url:https://www.slov-lex.sk/vyhladavanie-pravnych-predpisov?text=85%2F2020||shape="rect"]]

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--134159907
++134159903

Zmeny dokumentu projekt_2306_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?