Zmeny dokumentu projekt_2524_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/14 18:38

From 3.1 to 2.1

Z verzie 2.1

upravil dusan_mocarnik
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil dusan_mocarnik
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,912 +1,0 @@
--**~ **
--
--(% class="" %)|(((
--Povinná osoba
--)))|(((
--Mesto Liptovský Mikuláš
--)))
--(% class="" %)|(((
--Názov projektu
--)))|(((
--Zvýšenie úrovne kybernetickej bezpečnosti v meste Liptovský Mikuláš
--)))
--(% class="" %)|(((
--Zodpovedná osoba za projekt
--)))|(((
--Ing. Dušan Močarník
--)))
--(% class="" %)|(((
--Realizátor projektu
--)))|(((
--Mesto Liptovský Mikuláš
--)))
--(% class="" %)|(((
--Vlastník projektu
--)))|(((
--Ing. Ján Blcháč, PhD – primátor mesta Liptovský Mikuláš
--)))
--
--**~ **
--
--**Schvaľovanie dokumentu**
--
--**~ **
--
--(% class="" %)|(((
--Položka
--)))|(((
--Meno a priezvisko
--)))|(((
--Organizácia
--)))|(((
--Pracovná pozícia
--)))|(((
--Dátum
--)))|(((
--Podpis
--
--**~ **
--
--(alebo elektronický súhlas)
--)))
--(% class="" %)|(((
--Vypracoval
--)))|(((
--Ing. Dušan Močarník
--)))|(((
--Mesto Liptovský Mikuláš
--)))|(((
--Manažér KIB
--)))|(((
--26.4.2024
--)))|(((
--\\
--)))
--
--**~ **
--
--**~ **
--
--**~ **
--
--= {{id name="projekt_2524_Projektovy_zamer_detailny-1HISTÓRIADOKUMENTU"/}}1  HISTÓRIA DOKUMENTU =
--
--**~ **
--
--(% class="" %)|(((
--Verzia
--)))|(((
--Dátum
--)))|(((
--Zmeny
--)))|(((
--Meno
--)))
--(% class="" %)|(((
--1.0
--)))|(((
--26.4.2024
--)))|(((
--Finálna verzia v súlade so žiadosťou o NFP
--)))|(((
--Ing. Dušan Močarník
--)))
--
--**~ **
--
--**~ **
--
--**~ **
--
--**2.ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE**
--
--**~ **
--
--V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
--
--\\
--
--\\
--
--\\
--
--Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a v zmysle výzvy: Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, číslo výzvy: PSK-MIRRI-611-2024-DV-EFRR (ďalej len „výzva“), na základe ktorej má mesto Liptovský Mikuláš záujem podať žiadosť o nenávratný finančný príspevok (ďalej len ŽoNFP) bude obsahovať: manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov a tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznam rizík a závislostí (ako príloha projektového zámeru).
--
--V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.
--
--**2.1 Použité skratky a pojmy**
--
--**~ **
--
--**~ **
--
--(% class="" %)|(((
--P.
--
--č.
--)))|(((
--SKRATKA
--
--/POJEM
--)))|(((
--POPIS
--)))
--(% class="" %)|(((
--1
--)))|(((
--API
--)))|(((
--Application programming interface
--)))
--(% class="" %)|(((
--2
--)))|(((
--BPMN
--)))|(((
--Business Process Model and Notation
--)))
--(% class="" %)|(((
--3
--)))|(((
--CSRÚ
--)))|(((
--Centrálna správa referenčných údajov
--)))
--(% class="" %)|(((
--4
--)))|(((
--DMS
--)))|(((
--Document management system
--)))
--(% class="" %)|(((
--5
--)))|(((
--EDR
--)))|(((
--Endpoint Detection and Response
--)))
--(% class="" %)|(((
--6
--)))|(((
--EÚ
--)))|(((
--Európska únia
--)))
--(% class="" %)|(((
--7
--)))|(((
--HW a SW
--)))|(((
--Hardware a Software
--)))
--(% class="" %)|(((
--8
--)))|(((
--HLD
--)))|(((
--High level dizajn – vysokoúrovňový dizajn napr architektúru, bezpečnosť
--)))
--
--\\
--
--(% class="" %)|(((
--9
--)))|(((
--IaaS
--)))|(((
--Infrastructure as a service
--)))
--(% class="" %)|(((
--10
--)))|(((
--IAM
--)))|(((
--Identity and Access Management
--)))
--(% class="" %)|(((
--11
--)))|(((
--IKT
--)))|(((
--Informačno-komunikačné technológie
--)))
--(% class="" %)|(((
--12
--)))|(((
--IS RR
--)))|(((
--Informačný systém pre riadenie rizík
--)))
--(% class="" %)|(((
--13
--)))|(((
--IS VS
--)))|(((
--Informačný systém verejnej správy
--)))
--(% class="" %)|(((
--14
--)))|(((
--AD
--)))|(((
--Active directory.
--)))
--(% class="" %)|(((
--15
--)))|(((
--KPI
--)))|(((
--Key performance indicator – Kľúčové indikátory, prostredníctvom ktorých sa meria naplnenie cieľov projektu.
--)))
--(% class="" %)|(((
--16
--)))|(((
--LLD
--)))|(((
--Low level dizajn – nízkoúrovňový dizajn napr. pre architektúru, bezpečnosť. Obsahuje detailné dizajny až na úrovní nastavení parametrov
--)))
--(% class="" %)|(((
--17
--)))|(((
--BCM
--)))|(((
--Business Continuity Management
--)))
--(% class="" %)|(((
--18
--)))|(((
--MIRRI
--)))|(((
--Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
--)))
--(% class="" %)|(((
--19
--)))|(((
--MV SR
--)))|(((
--Ministerstvo vnútra SR
--)))
--(% class="" %)|(((
--20
--)))|(((
--NKIVS
--)))|(((
--Národná koncepcia informatizácie verejnej správy
--)))
--(% class="" %)|(((
--21
--)))|(((
--OOÚ
--)))|(((
--Ochrana osobných údajov
--)))
--(% class="" %)|(((
--22
--)))|(((
--PO
--)))|(((
--Plán obnovy a odolnosti
--)))
--(% class="" %)|(((
--23
--)))|(((
--OVM
--)))|(((
--Orgán verejnej moci
--)))
--(% class="" %)|(((
--24
--)))|(((
--PaaS
--)))|(((
--Platform as a service
--)))
--(% class="" %)|(((
--25
--)))|(((
--PILOT
--)))|(((
--PILOT - Prevádzka riešenia na vybraných aktéroch na produkčnom prostredí.
--)))
--(% class="" %)|(((
--26
--)))|(((
--PoC
--)))|(((
--PoC - Implementovaný prototyp riešenia nasadený do produkčnej prevádzky a overený E2E testami minimálne s využitím mockov
--)))
--(% class="" %)|(((
--27
--)))|(((
--PR
--)))|(((
--Projektové riadenie
--)))
--(% class="" %)|(((
--28
--)))|(((
--ROLLOUT
--)))|(((
--ROLLOUT - Postupné pripájanie ostatných aktérov na produkčnom prostredí.
--)))
--(% class="" %)|(((
--29
--)))|(((
--RFO
--)))|(((
--Register fyzických osôb
--)))
--(% class="" %)|(((
--30
--)))|(((
--RPO
--)))|(((
--Register právnických osôb
--)))
--(% class="" %)|(((
--31
--)))|(((
--SFTP
--)))|(((
--SSH File Transfer Protocol
--)))
--(% class="" %)|(((
--32
--)))|(((
--SLA
--)))|(((
--Service level agreement
--)))
--(% class="" %)|(((
--33
--)))|(((
--SOAP
--)))|(((
--Simple Object Access Protocol
--)))
--(% class="" %)|(((
--34
--)))|(((
--SOAR
--)))|(((
--Security orchestration, automation and response
--)))
--(% class="" %)|(((
--35
--)))|(((
--SR
--)))|(((
--Slovenská republika
--)))
--(% class="" %)|(((
--36
--)))|(((
--ŠÚ SR
--)))|(((
--Štatistický úrad Slovenskej republiky
--)))
--(% class="" %)|(((
--37
--)))|(((
--VÚC
--)))|(((
--Vyšší územný celok alebo iný povoľovací orgán
--)))
--(% class="" %)|(((
--38
--)))|(((
--PR
--)))|(((
--Projektové riadenie
--)))
--(% class="" %)|(((
--39
--)))|(((
--VÚC
--)))|(((
--Vyšší územný celok alebo iný povoľovací orgán
--)))
--(% class="" %)|(((
--40
--)))|(((
--LMS
--)))|(((
--Log management systém
--)))
--(% class="" %)|(((
--41
--)))|(((
--SIEM
--)))|(((
--Security information and event management
--)))
--(% class="" %)|(((
--42
--)))|(((
--SOC
--)))|(((
--Security Operation Center – dohľadové centrum
--)))
--(% class="" %)|(((
--43
--)))|(((
--AD Tier model
--)))|(((
--Model Active Directory vrstiev
--)))
--(% class="" %)|(((
--44
--)))|(((
--SOC-as-a- Service
--)))|(((
--Dohľadové centrum kybernetickej bezpečnosti prevádzkované kvalifikovanými bezpečnostnými profesionálmi
--)))
--
--\\
--
--(% class="" %)|(((
--47
--)))|(((
--NGFW
--)))|(((
--Firewall next generation
--)))
--(% class="" %)|(((
--48
--)))|(((
--PZS
--)))|(((
--Prevádzkovateľ základnej služby
--)))
--(% class="" %)|(((
--49
--)))|(((
--MLM
--)))|(((
--Mesto Liptovský Mikuláš
--)))
--(% class="" %)|(((
--50
--)))|(((
--OvZP MLM
--)))|(((
--Organizácia v zriaďovateľskej pôsobnosti Mesta Liptovský Mikuláš
--)))
--(% class="" %)|(((
--51
--)))|(((
--MCA
--)))|(((
--Multikriteriálna analýza
--)))
--(% class="" %)|(((
--52
--)))|(((
--MKB
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))
--(% class="" %)|(((
--53
--)))|(((
--CGISS
--)))|(((
--Informačný systém samosprávy
--)))
--(% class="" %)|(((
--54
--)))|(((
--CGDISS
--)))|(((
--Registratúrny systém
--)))
--(% class="" %)|(((
--55
--)))|(((
--ISCSRU
--)))|(((
--Informačný systém centrálnej správy referenčných údajov
--)))
--(% class="" %)|(((
--56
--)))|(((
--KIB
--)))|(((
--Kybernetická a informačná bezpečnosť
--)))
--
--**~ **
--
--**2.2 Konvencie pre typy požiadaviek (príklady)**
--
--**~ **
--
--**V rámci projektu budú definované tri základné typy požiadaviek:**
--
--**Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:**
--
--**Fxx**
--
--F – funkčná požiadavka IDxx – číslo požiadavky
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-Nefunkčné(kvalitatívne,výkonové-NonFunctionalRequirements-NFR)požiadavkymajúnasledovnúkonvenciu:Nxx"/}}Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: Nxx ==
--
--N – nefukčná požiadavka (NFR) IDxx – číslo požiadavky
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-Technicképožiadavkymajúnasledovnúkonvenciu:"/}}Technické požiadavky majú nasledovnú konvenciu: ==
--
--**Txx**
--
--T – technická požiadavka IDxx – číslo požiadavky
--
--\\
--
--\\
--
--= {{id name="projekt_2524_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =
--
--**~ **
--
--**~ **3.1 Manažérske zhrnutie
--
--**~ **
--
--**~ **
--
--Jedným zo strategickým cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Súčasné kybernetické útoky nie sú už len fiktívnou hrozbou. Prostredníctvom nich sú ohrozované nielen súkromné spoločnosti, ale aj kritická infraštruktúra štátu. Nedostatky v zabezpečení ochrany informácií zvyšujú riziko straty dôvery v štát a znižujú reputáciu krajiny. Je preto nevyhnutné prijať dôsledné opatrenia na zabezpečenie bezpečnosti krajiny v tejto oblasti a ochranu nielen dôležitých informačných systémov, ale aj informácií, ktoré sú vo veľkej miere, v rámci implementácie efektívnej verejnej správy, teda aj v sektore „Verejnej správy" poskytované, ukladané a vymieňané v kybernetickom priestore. Zavedením správnych opatrení je možné minimalizovať riziká, ktoré kybernetický priestor prináša, a to hlavne:
--
--* odcudzenie, zneužitie alebo strata dôvernosti a/alebo dostupnosti osobných a inak citlivých údajov,
--
--\\
--
--* poškodenie dobrého mena,
--
--\\
--
--* znefunkčnenie vybraných služieb, a ďalšie.
--
--\\
--
--Mesto Liptovský Mikuláš (MLM), ďalej ako PZS vstupuje do tohto projektu v súlade so Zákonom 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ZoKB) a Zákonom 95/2019 o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len ZoITVS). V IT odvetví sa neustále zvyšuje frekvencia a sofistikovanosť útokov a ako nevyhnutná podmienka pre udržanie zákonmi požadovanej bezpečnosti je udržateľnosť zavedených bezpečnostných opatrení, ktorá sa dá dosiahnuť iba nepretržitým dohľadom a vyhodnocovaním kybernetickej bezpečnosti.
--
--PZS má zavedenú dokumentačnú a základnú procesnú časť v zmysle ZoKB a ZoITVS, ale na zabezpečenie udržateľnosti a dotiahnutie procesov kybernetickej a informačnej bezpečnosti potrebuje implementovať potrebné nástroje, vypracovať detailné dokumenty a nastaviť ďalšie procesy. Vzhľadom na finančné možnosti mesta sa tento projekt javí ako jediná možnosť prostredníctvom, ktorej môže MLM v najbližších rokoch získať v potrebnom rozsahu nástroje a zaviesť procesy pre zabezpečenie súladu so zákonmi.
--
--Projekt bude realizovaný s cieľom implementovať nevyhnutnú ochranu pred hrozbami v oblasti informačnej a kybernetickej bezpečnosti a zároveň zavedie dlhodobý systém riadenia informačnej bezpečnosti.
--
--Výsledkom realizácie projektu bude inštalácia, odladenie a zavedenie systému na riadenie rizík, systému na riadenie kontinuity, systému na riadenie kapacít, systému na monitorovanie a auditovanie infraštruktúry IKT, nasadenie LMS, na nástrojov SIEM a zriadenie dohľadového centra ( SOC). Systémy budú úzko naviazané na organizačné opatrenia v zmysle systému pre riadenie bezpečnostných incidentov a opatrení z neho vyplývajúcich a zároveň budú v plnej miere korešpondovať s výsledkami auditu kybernetickej bezpečnosti vykonaného koncom roka 2023 na MLM.
--
--\\
--
--Rovnako ciele projektu v úzkej miere korešpondujú s výsledkami auditu KB, ktorý bol vykonaný v MLM koncom roka 2023. Naplnením cieľov projektu bude zabezpečený súlad so stratégiou kybernetickej bezpečnosti MLM ako PZS a jeho bezpečnostnými politikami. Zároveň implementované opatrenia budú podporené školeniami, vzdelávaním a motivačným navýšením finančného ohodnotenia, odmeňovacím systémom vlastných personálnych kapacít pre udržanie a stabilizáciu personálu.
--
--\\
--
--Výsledky projektu zabezpečia :
--
--\\
--
-- Detailný a spoľahlivý prehľad o bezpečnosti IT prostredia, ktoré je prevádzkované u PZS ( Mesto LM ), na základe implementovaných opatrení a vyhodnocovacieho nástroja, ktorý je nevyhnutný na včasné reakcie na kybernetické bezpečnostné ohrozenia.
--
-- Zabezpečenie kontroly dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov.
--
-- Zabezpečenie vyššej ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad PZS.
--
-- Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
--
-- Zabezpečenie procesu detekcie kybernetických bezpečnostných incidentov prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
--
-- Súlad určených požiadaviek PZS na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu z vypracovanej stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonanej analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu.
--
--\\
--
--Ciele projektu
--
--Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“): Zvýšenie kvality organizácie KIB
--
--Zvýšenie kvality riadenia rizík KIB
--
--\\
--
--Zaznamenávanie udalostí a monitorovanie
--
--Riešenie kybernetických bezpečnostných incidentov Zabezpečenie riadenia prístupov
--
--Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti Zabezpečenie kontinuity prevádzky IS prevádzkovateľa PZS
--
--Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
--
--\\
--
--Cieľová skupina – interní zamestnanci mesta Liptovský Mikuláš, obyvatelia mesta Liptovský Mikuláš, podnikateľské subjekty a ostatné právnické osoby pôsobiace na území
--
--mesta Liptovský Mikuláš.
--
--Realizáciou aktivít projektu dosiahne mesto Liptovský Mikuláš naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia
--
--ochrany údajov a elektronických dát, ktoré sú využívané mestom, jeho organizáciami, zamestnancami ako aj občanmi.
--
--\\
--
--**Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:**
--
--* **súlad projektu so špecifickým cieľom: 2 (opatrenie 1.2.1)**
--* **súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 26**
--* **súlad s definovanými typmi oprávnených aktivít v rámci výzvy.**
--
--Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele: PO095 / PSKPSOI12 – cieľová hodnota 1
--
--PR017 / PSKPRCR11 – cieľová hodnota 100
--
--Miesto realizácie:
--
--Mesto Liptovský Mikuláš.
--
--Predpokladaný rozpočet projektu (oprávnené priame výdavky) je: 441 644,97 EUR s DPH
--
--V prípade, že by malo mesto Liptovský Mikuláš investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.
--
--S ohľadom na to, že inštitúcie verejnej správy majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o kybernetickej bezpečnosti vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako mestu Liptovský Mikuláš získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.
--
--Sumarizácia hlavných parametrov hodnotenia predkladaného hodnotenia projektu:
--
--\\
--
--(% class="" %)|(((
--**P**
--
--**.**
--
--**č.**
--)))|(((
--**Názov hodnotiaceho kritéria**
--)))|(((
--**Parametre v projekte**
--)))|(((
--**Zdroj**
--)))
--(% class="" %)|(((
--**1**
--)))|(((
--Miera rizík ohrozujúcich úspešnú realizáciu projektu.
--)))|(((
--V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
--)))|(((
--viď príloha č. 1 projektového zámeru
--
--\\
--
--I_01_PRILOHA_1_REGISTER_RIZIK-
--
--aZAVISLOSTI_Projekt_KIBLM.xlsx, ktorý tvorí aj prílohu ŽoNFP.
--)))
--(% class="" %)|(((
--**2**
--)))|(((
--Administratívne, odborné a prevádzkové kapacity žiadateľa
--)))|(((
--Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti.
--
--Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ
--
--disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.
--)))|(((
--Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.
--
--Prílohou ŽoNFP sú:
--
--\\
--
--- Skeny pracovných zmlúv
--
--\\
--
--- Životopisy
--)))
--(% class="" %)|(((
--**3**
--)))|(((
--Miera oprávnenosti výdavkov
--
--\\
--
--projektu.
--)))|(((
--Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.
--)))|(((
--V rámci projektu budú realizované nasledovné oprávnené podaktivity:
--
--- organizácia KIB,
--
--\\
--
--- riadenie rizík KIB,
--
--\\
--
--- riadenie prístupov,
--
--\\
--
--- riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
--
--\\
--
--- bezpečnosť pri prevádzke informačných systémov a sietí,
--
--\\
--
--- sieťová a komunikačná bezpečnosť,
--
--\\
--
--- zaznamenávanie udalostí a monitorovanie,
--
--\\
--
---riešenie kybernetických bezpečnostných incidentov,
--
--\\
--
--- kontinuita prevádzky.
--
--\\
--
--Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumu trhu. Dokumentácia prieskumu trhu tvorí prílohy ŽoNFP.
--)))
--(% class="" %)|(((
--**4**
--)))|(((
--Dôležitosť kybernetickej
--
--\\
--
--bezpečnosti u žiadateľa a
--
--\\
--
--potenciálny dopad
--
--\\
--
--kybernetických incidentov.
--)))|(((
--V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ
--
--ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.
--)))|(((
--§ 24 ods. 2 písm. a) – kategória: I.
--
--\\
--
--§ 24 ods. 2 písm. b) a c) – kategória: II.
--
--\\
--
--§ 24 ods. 2 písm. d) – kategória: III.
--
--\\
--
--§24 ods. 2 písm. e) – kategória: I.
--)))
--
--\\
--
--**~ **
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==
--
--**~ **
--
--Mesto Liptovský Mikuláš je právnickou osobou (IČO: 00315524) zapísanou v registri organizácií vedenom Štatistickým úradom Slovenskej republiky v zmysle § 3 ods. 1 písmena b) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, t.j. ide o subjekt vo verejnej správe, konkrétne územnej samospráve. Zároveň je mesto Liptovský Mikuláš zaradené v registri prevádzkovateľov základných služieb podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len
--
--„zákon o kybernetickej bezpečnosti“) v sektore Verejná správa (viď: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]]), t.j. je poskytovateľom základnej služby (ďalej len PZS).
--
--Z uvedeného vyplýva o.i. skutočnosť, že mesto Liptovský Mikuláš má povinnosť realizovať a financovať opatrenia kybernetickej a informačnej bezpečnosti (ďalej len KIB) definované najmä v zákonoch o kybernetickej bezpečnosti a v zákone 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ISVS“) a ďalších súvisiacich predpisoch.
--
--MLM ako správca a prevádzkovateľ informačného systému samosprávy je povinný okrem iného zaistiť aj primeranú ochranu spracúvaných informácií voči kybernetickým hrozbám aj v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
--
--Pri rozhodovaní o potrebe implementovaných opatrení v prostredí MLM je potrebné zohľadniť fakt morálnej a fyzickej opotrebovanosti existujúcich bezpečnostných technológií a samozrejme aj výsledky auditu KB z konca roka 2023. Nevyhnutnosť dobudovania pracoviska dohľadového centra odôvodňuje aj skutočnosť pretrvávajúcich a systematických kybernetických útokov na systémy prevádzkované samosprávami.
--
--Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v samosprávach tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.
--
--\\
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-3.2.1Hlavnýpopisproblému"/}}3.2.1 Hlavný popis problému ==
--
--**~ **
--
--Mesto Liptovský Mikuláš má ku dňu spracovania tohto projektového zámeru realizovaný interný audit kybernetickej bezpečnosti, ktorý bol vypracovaný na základe overení koncom roka 2023 a má spracované samohodnotenie. Z uvedeného auditu vyplýva nevyhnutnosť realizácie opatrení kybernetickej bezpečnosti,
--
--nakoľko Mesto Liptovský Mikuláš nedosahuje požadovaný súlad s požiadavkami zákona o kybernetickej bezpečnosti, vyhlášky 362/2018 Z. z. Mesto Liptovský Mikuláš ako poskytovateľ základnej služby vykonáva iba niektoré procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.
--
--Hlavným problémom, ktorému mesto Liptovský Mikuláš ako PZS čelí je teda vyriešenie problému s nedostatočnou úrovňou zabezpečenia v oblasti informačnej a kybernetickej bezpečnosti tak, aby po realizovaní potrebných opatrení KIB bol dosiahnutý čo najvyšší súlad v oblasti príslušných predpisov KIB a súčasne aby boli administratívne a technologické náležitosti KIB realizované tak, aby plnili svoje úlohy v čo najväčšom rozsahu nie len v rámci implementácie projektu, ale aj v rámci jeho rutinnej prevádzky (t.j. v rámci udržateľnosti projektu i po nej). Rovnako je potrebné, aby opatrenia KIB boli realizované tak, že budú pripravené na ďalší rozvoj IT technológií PZS, a aby ich bolo možné flexibilne rozširovať bez ohrozenia prevádzkovaných i zamýšľaných IT systémov.
--
--Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:
--
--\\
--
--1. **Nedostatočná **identifikácia zraniteľnosti, identifikácia hrozieb, identifikácia a analýzy rizík s ohľadom na aktívum, určenia vlastníka rizika
--1. **Nedostatočné **určenie cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb
--1. **Nedostatočné **riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, spôsobom podľa § 6.
--1. **Nedostatočné **zaznamenávanie a vyhodnocovanie prevádzkových záznamov
--1. Technické zraniteľnosti informačných systémov ako celku **sa nedostatočne identifikujú **prostredníctvom nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí.
--1. Procesy riadenia záplat a aktualizácií **nie sú pravidelne **zdokumentované.
--1. Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa **neuskutočňuje **implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
--1. **Neexistuje nástroj **na automatizované zaznamenávanie činnosti sietí a informačných systémov a ich používateľov, ktorý umožňuje vytvárať prevádzkové záznamy a zaznamenávať rizikové udalosti.
--1. Prevádzkové záznamy nie sú zabezpečené podľa štandardu SIEM.
--1. Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia podozrivej aktivity **nie je jednoznačne zodpovedný **na to poverený zamestnanec prevádzkovateľa základnej služby alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
--1. Proces detekcie kybernetických bezpečnostných incidentov **sa nezabezpečuje **prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
--1. Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov **sa nezabezpečuje **prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí.
--
--S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:
--
--* organizácia KIB,
--* riadenie rizík KIB,
--* riadenie prístupov,
--* riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
--* bezpečnosť pri prevádzke informačných systémov a sietí,
--* sieťová a komunikačná bezpečnosť,
--* zaznamenávanie udalostí a monitorovanie,
--* riešenie kybernetických bezpečnostných incidentov,
--* kontinuita prevádzky.
--
--\\
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-3.2.2Biznisprocesy"/}}3.2.2 Biznis procesy ==
--
--**~ **
--
--Zvýšenie spôsobilosti dohľadového centra je kľúčové pre zabezpečenie informačnej bezpečnosti a ochranu pred kybernetickými hrozbami pre samosprávy ako centrálneho bodu zberu a spracovania citlivých dát, ktorý predstavuje základ celého procesu poskytovanie štandardných služieb a elektronických služieb pre PO a FO v pôsobnosti MLM. Realizáciou projektu dôjde k zvýšeniu spôsobilosti v nasledujúcich oblastiach:
--
-- Rýchlejšia detekcia a reakcia na hrozby: Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu logov, monitorovanie udalostí a upozornení, a automatizáciu procesov pre rýchlejšiu identifikáciu a potlačenie hrozieb.
--
-- Rozšírená analýza hrozieb: Vytvorenie a zdokonalenie analytických schopnosti pre hĺbkovú analýzu kybernetických hrozieb implementáciou nástrojov na analýzu malvéru, rozpoznávanie správania útočníkov a predikcia budúcich hrozieb.
--
-- Lepšie využitie technológií: Integrácia a efektívne využívanie nových technológii a nástrojov, ako sú strojové učenie a automatizácia. To umožní rýchlejšie a presnejšie identifikovať hrozby a zároveň zníženie manuálnych úkonov.
--
--Zlepšenie spolupráce a komunikácia:
--
--\\
--
-- Posilnenie spolupráce medzi tímami v rámci organizácie, vrátane oddelení IT, prevádzky a vedenia, aby sa lepšie zdieľali informácie o hrozbách a koordinovali sa reakcie na incidenty.
--
-- Odbornosť a školenia: Posilnenie spôsobilosti tímu dohľadového centra prostredníctvom odborných školení a certifikácií. Udržiavanie členov tímu oboznámených s najnovšími hrozbami a postupmi, a dobudovanie interného tímu náborom odborníkov na kybernetickú bezpečnosť.
--
-- Kontinuálne zlepšovanie procesov: Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných po implementácií opatrení a počas detekcie a riešenia incidentov, implementáciou nástrojov a zvyšovaním znalostného štandardu členov tímu.
--
-- Zabezpečenie finančných a personálnych zdrojov: Zabezpečenie dostatočného financovania, personálnych a technických zdrojov pre efektívne fungovanie implementovaných opatrení.
--
-- Kontinuálna analýza úspešnosti: Monitorovanie úspešnosti dohľadového centra v detekcii, reakcii a prevencii kybernetických hrozieb pomocou merateľných ukazovateľov výkonu. Tieto údaje sa potom môžu použiť na ďalšie zlepšenie schopností dohľadového centra.
--
-- Pripravenosť na nové technológie a trendy: Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať sa im v čo najkratšom čase.
--
-- Sledovanie právnych a regulačných požiadaviek: Zabezpečiť, aby činnosti po implementácii opatrení boli v súlade s platnými právnymi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej bezpečnosti.
--
--Tieto aktivity pomôžu interného tímu a dohľadovému centru k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany organizácie pred potenciálnymi útokmi.
--
--\\
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-3.2.3Oblastizameraniaprojektu"/}}3.2.3 Oblasti zamerania projektu ==
--
--**~ **
--
--Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 326/2018 Z. z.. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy (viď prístup k projektu), ktoré sú určené na poskytovanie základnej služby mesta Liptovský Mikuláš, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.
--
--\\
--
--== {{id name="projekt_2524_Projektovy_zamer_detailny-3.2.4Rozsahprojektu"/}}3.2.4 Rozsah projektu ==
--
--**~ **__Zoznam jednotlivých komponentov projektu__ __:__
--
--1. __Riadenie kontinuity činností (BCM)__
--1. __Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov__
--1. __SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností + implementácia__
--1. __SW pre LMS a eArchiv SW + implementácia__
--1. __SW nástroj pre zber dát 200 Mbps + implementácia__
--1. __Dodávka Firewall - ového riešenia__
--1. __Migrácia FW a vertikálna segmentácia siete__
--1. __AD Tier model (PAM)__
--1. __Základné školenie obsluhy__
--
--**~ **

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155321669
++155321666

Zmeny dokumentu projekt_2524_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?