Zmeny dokumentu projekt_2306_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/20 14:01

From 2.2 to 2.1

Z verzie 2.1

upravil milica_okaliova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil milica_okaliova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,360 +1,0 @@
--= {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]] =
--
--== {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a)     Popis projektu[[**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]] ==
--
--\\
--
--Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb.
--
--\\
--
--Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti.
--
--\\
--
--Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík.
--
--\\
--
--Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov.
--
--\\
--
--== {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b)     Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa ==
--
--ÚVO ako prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb využíva na pokrytie týchto základných služieb informačné systémy, aplikačnú a komunikačnú infraštruktúru. Správa a prevádzka týchto systémov je v prevažnej miere zabezpečovaná formou služieb  prostredníctvom zmlúv na prevádzku, údržbu a rozvoj. Bezpečnostné opatrenia v oblasti správy privilegovaných účtov na ÚVO majú teda vysokú prioritu a zatiaľ nie sú implementované v plnom rozsahu požiadaviek pre zabezpečenie a udržanie zákonom požadovanej kybernetickej bezpečnosti v podmienkach ÚVO. V súčasnosti jednou z dôležitých úloh v oblasti kybernetickej bezpečnosti je zabezpečenie centrálnej správy, riadenia a monitorovania privilegovaných používateľov, evidencia informačných aktív, ich klasifikácia, kategorizácia IS a sietí, riadenie a taktiež vyhodnocovanie identifikovaných rizík, hrozieb, incidentov, ktoré nie je podporované nástrojmi IS.
--
--Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď.
--
--\\
--
--V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k:
--
--- Informačným systémom (**Systémy úradu** [[ISVS (gov.sk)>>url:https://metais.vicepremier.gov.sk/cilist/ISVS?page=1&count=30&filter%5BglobalSearch%5D=%257B%2522attributes%2522%253A%255B%255D%252C%2522metaAttributes%2522%253A%257B%2522liableEntity%2522%253A%255B%2522cb45bee5-c165-43dc-b3b1-bb4abc823215%2522%255D%257D%257D||shape="rect"]])
--
--- Operačným systémom  (Windows, RedHat, CentOS,..)
--
--- Databázam (Oracle, SQL, MySQL,..)
--
--- Komunikačným prvkom a firewallom
--
--- atď.
--
--\\
--
--**Riadenie IB a KB**
--
--UVO má definované a schválené základné strategické bezpečnostné ciele pre oblasť' riadenia IB a KyB.  V zmysle platnej legislatívy boli prijaté a sú dodržiavané bezpečnostné opatrenia, jedná sa hlavne o  smernice na riadenie IB a KB na úrade, ale aj ďalšie opatrenia v zmysle legislatívnych požiadaviek.
--
--Organizácia informačnej bezpečnosti ÚVO má tri úrovne:
--
--- Úroveň stratégie a auditu
--
--- Úroveň metodiky a operačného riadenia
--
--- Úroveň implementácie, prevádzky a administrácie
--
--\\
--
--Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení.
--
--=== {{id name="projekt_2306_Projektovy_zamer_detailny-"/}}** ** ===
--
--=== {{id name="projekt_2306_Projektovy_zamer_detailny-Bezpečnostnádokumentácia"/}}**Bezpečnostná dokumentácia** ===
--
--|(((
--P.č.
--)))|(((
--Názov dokumentu
--)))|(((
--Posledná aktualizácia
--)))
--|(((
--1.
--)))|(((
--Stratégia informačnej a kybernetickej bezpečnosti
--)))|(((
--10/2020
--)))
--|(((
--2.
--)))|(((
--Politika informačnej bezpečnosti
--)))|(((
--10/2020
--)))
--|(((
--3.
--)))|(((
--Smernica č. 14-2020 o klasifikácii informačných aktív a kategorizácií sietí a informačných systémov
--)))|(((
--10/2020
--)))
--|(((
--4.
--)))|(((
--Smernica č. 15-2020 pre riadenie bezpečnostných incidentov
--)))|(((
--11/2020
--)))
--|(((
--5.
--)))|(((
--Smernica č. 16-2020 pre riadenie informačnej bezpečnosti
--)))|(((
--12/2020
--)))
--|(((
--6.
--)))|(((
--Smernica č. 17-2020 pre riadenie prístupových práv
--)))|(((
--12/2020
--)))
--|(((
--7.
--)))|(((
--Smernica č. 18-2020 správy a prevádzky informačných systémov a služieb
--)))|(((
--12/2020
--)))
--|(((
--8.
--)))|(((
--Smernica č_1_2021 o informačnej bezpečnosti pre používateľov
--)))|(((
--01/2021
--)))
--|(((
--9.
--)))|(((
--Štatút Výboru pre riadenie informačnej a kybernetickej bezpečnosti Úradu pre verejné obstarávanie
--)))|(((
--10/2020
--)))
--|(((
--10.
--)))|(((
--Analýza rizík a BIA
--)))|(((
--08/2020
--)))
--|(((
--11.
--)))|(((
--Plánovanie kontinuity činnosti (BCM)
--)))|(((
--02/2021
--)))
--
--\\
--
--Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti.
--
--Súčasťou sekundárnych aktivít na ktoré žiadame finančné zdroje prostredníctvom tejto Deklarácie súladu a pripravovanej Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zabezpečenie riešenia pre Riadenie a správa privilegovaných účtov (RaSPU) a zavedenie modulu pre evidenciu informačných aktív (EIA).
--
--Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy)
--
--\\
--
--Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**.
--
--**~ **
--
--**PIM** – Privileged Identity Management - centralizovaná správa, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel
--
--**PAM** – Privileged Access Management - centralizované riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam
--
--Pod pojmom privilegovaný účet označujeme pre tento účel účet v informačnom systéme, ktorý má vysoké oprávnenia, t. j. účty typu/role root v Linux/UNIX systémoch, účty typu/role Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na fyzickú osobu. S týmito účtami pracujú privilegovaní užívatelia. Pojem privilegovaný užívateľ označuje fyzickú osobu, ktorá používa privilegované účty. Ide hlavne o pracovníkov prevádzky, dodávateľov, alebo vývojárov. Cieľový systém označuje systém, na ktorý sa privilegovaný užívateľ pripojuje prostredníctvom privilegovaných účtov.
--
--Riešenie má zaznamenávať činnosť systémového administrátora, ktorý pristupuje k citlivým dátam alebo vykonáva konfiguračnú činnosť a vytvárať auditnú stopu pre potreby možného sledovať udalosti presne tak, ako sa v skutočnosti odohrali.
--
--Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo.
--
--\\
--
--Riešenie by malo zabezpečiť hlavne:
--
--* skenovanie, identifikácia a enrolment privilegovaných účtov zariadení a aplikácií,
--* automatickú zmenu/rotácia hesiel na základe definovaných politík a komplexicity hesla, úložisko hesiel,
--* auditné záznamy o prístupoch k heslám o operáciách nad spravovanými privilegovanými prístupmi, účtami,
--* delegovanie správy prístupov, členenie na logické celky s vymedzenými oprávneniami
--* monitoring, správa a nahrávanie používateľských (administrátorských) session počas prístupu pod privilegovaným účtom,
--* spracovanie metadát o nahrávaných session tak aby bolo možné v nahrávkach vyhľadávať napr. spustené aplikácie a príkazy,
--* správa SSH kľúčov v prostredí UNIX a Linux,
--* podpora využitia jump host (Windows RDP, Unix SSH) na nadviazanie spojenia s koncovým zariadením,
--* zabezpečenie prístupu tak, aby administrátor nevedel heslo k privilegovaného účtu ku koncovému zariadeniu,
--* podpora  dvojfaktorovej autentifikácie,
--* centrálnu autentizáciu a riadenie prístupu,
--* full-textové vyhľadávanie v záznamoch,
--* tvorba black-listov a white-listov,
--* behaviorálnu analýzu správania užívateľov.
--
--\\
--
--ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh:
--
--* RFI_Privil_ucty_opis – Príloha k Deklarácií súladu
--
--\\
--
--Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU.
--
--== {{id name="projekt_2306_Projektovy_zamer_detailny-c)Spôsobrealizácieaktivítprojektu"/}}c)      Spôsob realizácie aktivít projektu ==
--
--Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania podľa zákona 343/2015 z. z. o verejnom obstarávaní v súčinnosti s pracovníkmi ÚVO.
--
--|(((
--Harmonogram
--)))|(((
--Od – do
--)))|(((
--Dĺžka v mesiacoch
--)))
--|(((
--Riadenie projektu
--)))|(((
--03/2022-7/2023
--)))|(((
--17
--)))
--|(((
--Verejné obstarávanie
--)))|(((
--03/2022-09/2022
--)))|(((
--7
--)))
--
--\\
--
--**Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:**
--
--Hlavné aktivity[[~[4~]>>path:#_ftn4||name="_ftnref4" shape="rect"]]: - harmonogram realizácie (predpokladaný) od 10/2022 do 5/2023
--
--|(((
--Harmonogram
--)))|(((
--Od – do
--)))|(((
--Dĺžka v mesiacoch
--)))
--|(((
--Aktivita 1 - Analýza a Dizajn
--)))|(((
--10/2022-11/2022
--)))|(((
--2
--)))
--|(((
--Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--\\
--
--10/2022-12/2022
--)))|(((
--\\
--
--3
--)))
--|(((
--Aktivita 3 - Implementácia  a Testovanie
--)))|(((
--12/2022-4/2023
--)))|(((
--5
--)))
--|(((
--Aktivita 4 – Nasadenie
--)))|(((
--5/2023
--)))|(((
--1
--)))
--
--\\
--
--\\
--
--Hlavné aktivity:
--
--Aktivita 1 - Analýza a Dizajn
--
--* Analýzy - v rozsahu potreby projektu pre detailný návrh riešenia RasPU a modulu EIA , dátová, bezpečnostná, architektúra, integrácia, analýza prístupov, účtov, návrh procesov, katalógu rolí...
--* DNR - detailný návrh riešenia - funkčný, architektúra technická, aplikačná, bezpečnosť, integrácia, testovanie - plán testov, školenia, dokumentácia, detailný harmonogram...
--
--Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb pre potreby projektu
--
--Aktivita 3 - Implementácia  a Testovanie
--
--* Implementácia, alebo kastomizácia funkcionality RaSPU, príprava inštalačného prostredia, vytvorenie rolí,..
--* Implementácia, kastomizácia offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia prispôsobí na potreby ÚVO.
--* Testovanie, vrátane akceptačnéh testovania
--* Vyhotovenie dokumentácie
--
--Aktivita 4 – Nasadenie
--
--* Tvorba detailných plánov nasadenia do prevádzky (Cut-over)
--* Nasadenie riešení do prevádzkového prostredia (inštalácie, konfigurácie, priradenie rolí, ...) podľa Cut-over
--
--QA manažér bude vykonávať **riadenie kvality projektu** - realizácia aktivít projektu v oblasti Quality Assurance podľa aktuálne platnej Metodiky riadenia QAMPR  z gescie MIRRI SR.
--
--Ďalšie pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby úrad realizoval projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.).
--
--Podporné aktivity:
--
--Riadenie projektu:
--
--* Projektový manažér: bude vykonávať činností spojené s riadením projektového tímu a samotné projektové riadenie v zmysle metodík pre riadenie projektov a v súlade s aktuálnymi Príručkami EŠIF platnými pre OPII PO7. PM je interný zamestnanec úradu.
--
--Publicita a informovanosť:
--
--* Bude uskutočnená s aktuálne platným Manuálom pre informovanie a komunikáciu.
--
--**Zoznam produktov, ktoré projekt dodáva je nasledovný:**
--
--- Analýza celkových nákladov na vlastníctvo (TCO)
--
--- Funkčná a technická špecifikácia
--
--- Projektový iniciálny dokument (PID)
--
--- Detailný návrh riešenia (DNR)
--
--- Plán Testov
--
--- Dokumentácia (Aplikačná, Používateľská, Inštalačná a Konfiguračná, Prevádzková)
--
--- Klientsky modul evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov
--
--- Informačný systém RaSPU
--
--\\
--
--Aktivity Implementácia a Testovanie, Nasadenie  prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB.
--
--Informačný systém RaSPU plánujeme realizovať obstaraním dodávateľa na realizáciu IS, vrátane softvérových produktov.
--
--Z realizovaného prieskumu trhu, podľa vyššie uvedenej špecifikácie, nám vyšla sumu 149 660,80  EUR s DPH, celková suma v Žiadosti o NFP spolu s internými výdavkami (priame a nepriame) je 164 234,71 EUR s DPH.
--
--Analýzu a implementáciu modulu EIA plánujeme realizovať internými kapacitami zapojenými do projektu.
--
--== {{id name="projekt_2306_Projektovy_zamer_detailny-d)Situáciaporealizáciiprojektuaudržateľnosť"/}}d)     Situácia po realizácii projektu a udržateľnosť ==
--
--ÚVO bude mať k dispozícii IS, ktorý mu zabezpečí dostatočnú podporu pre riadenie prístupov privilegovaných používateľov k IS ÚVO a jeho infraštruktúre, vrátane modulu EIA na evidenciu informačných aktív, ich klasifikáciu, kategorizáciu, riadenia rizík a incidentov. Tým zabezpečí primeranú kybernetickú a informačnú bezpečnosť vo vzťahu k poskytovaniu základných služieb.  Zabezpečenie prevádzky, údržby a podpory IS RaSPU bude zabezpečené prostredníctvom SLA zmluvy financovanej z vlastných finančných zdrojov, ktorá pokryje prevádzku IS a budúci rozvoj.
--
--V rámci udržateľnosti ÚVO plánuje nasledovné riešenie:
--
--1. Realizáciu diela – implementáciu RaSPU (do majetku) a licencií
--1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline)
--1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti.
--
--\\
--
--[[//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]]//   //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]].
--
--[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]]  Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy.
--
--[[~[3~]>>path:#_ftnref3||name="_ftn3" shape="rect"]] Žiadateľ je povinný vypracovať Deklaráciu súladu a predložiť ju na posúdenie Ministerstvu investícií, regionálneho rozvoja a informatizácie SR (ďalej ako „MIRRI“), sekcii kybernetickej bezpečnosti, ktorá vydá k Deklarácii súladu stanovisko. Následne žiadateľ predkladá Stanovisko a Deklaráciu súladu ako prílohu Žiadosti o NFP v rámci konania o Žiadosti o NFP na MIRRI, sekcii sprostredkovateľského orgánu informatizácie spoločnosti v súlade s podmienkou poskytnutia príspevku „**Podmienka súladu Žiadosti o NFP s horizontálnym projektom a s minimálnymi obsahovými a formálnymi náležitosťami definovanými Prílohou č. 9. výzvy**“.
--
--[[~[4~]>>path:#_ftnref4||name="_ftn4" shape="rect"]] V súlade s [[Vyhláškou Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o riadení projektov>>url:https://www.slov-lex.sk/vyhladavanie-pravnych-predpisov?text=85%2F2020||shape="rect"]]

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--134159903
++134159907

Zmeny dokumentu projekt_2306_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?