Schvaľovanie dokumentu

1  HISTÓRIA DOKUMENTU

2.ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky a v zmysle výzvy: Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, číslo výzvy: PSK-MIRRI-611-2024-DV-EFRR (ďalej len „výzva“), na základe ktorej má mesto Liptovský Mikuláš záujem podať žiadosť o nenávratný finančný príspevok (ďalej len ŽoNFP) bude obsahovať: manažérske zhrnutie, motiváciu a rozsah projektu, zainteresované strany, ciele projektu a merateľné ukazovatele, návrh organizačného zabezpečenia projektu, alternatívy, opis obmedzení, predpokladov a tolerancií, opis požadovaných výstupov, náhľad architektúry, opis rozpočtu, detailný popis nákladov a prínosov, postup a spôsob nacenenia projektu, harmonogram projektu a zoznam rizík a závislostí (ako príloha projektového zámeru).

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v ŽoNFP) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Rovnako sú v zmysle usmernenia MIRRI SR manažérske produkty napísané všeobecne.

2.1 Použité skratky a pojmy

2.2 Konvencie pre typy požiadaviek (príklady)

V rámci projektu budú definované tri základné typy požiadaviek:

Funkčné (používateľské) požiadavky majú nasledovnú konvenciu:

Fxx

F – funkčná požiadavka IDxx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: Nxx

N – nefukčná požiadavka (NFR) IDxx – číslo požiadavky

Technické požiadavky majú nasledovnú konvenciu:

Txx

T – technická požiadavka IDxx – číslo požiadavky

3. DEFINOVANIE PROJEKTU

 3.1 Manažérske zhrnutie

Jedným zo strategickým cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Súčasné kybernetické útoky nie sú už len fiktívnou hrozbou. Prostredníctvom nich sú ohrozované nielen súkromné spoločnosti, ale aj kritická infraštruktúra štátu. Nedostatky v zabezpečení ochrany informácií zvyšujú riziko straty dôvery v štát a znižujú reputáciu krajiny. Je preto nevyhnutné prijať dôsledné opatrenia na zabezpečenie bezpečnosti krajiny v tejto oblasti a ochranu nielen dôležitých informačných systémov, ale aj informácií, ktoré sú vo veľkej miere, v rámci implementácie efektívnej verejnej správy, teda aj v sektore „Verejnej správy" poskytované, ukladané a vymieňané v kybernetickom priestore. Zavedením správnych opatrení je možné minimalizovať riziká, ktoré kybernetický priestor prináša, a to hlavne:

• odcudzenie, zneužitie alebo strata dôvernosti a/alebo dostupnosti osobných a inak citlivých údajov,

• poškodenie dobrého mena,

• znefunkčnenie vybraných služieb, a ďalšie.

Mesto Liptovský Mikuláš (MLM), ďalej ako PZS vstupuje do tohto projektu v súlade so Zákonom 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len ZoKB) a Zákonom 95/2019 o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len ZoITVS). V IT odvetví sa neustále zvyšuje frekvencia a sofistikovanosť útokov a ako nevyhnutná podmienka pre udržanie zákonmi požadovanej bezpečnosti je udržateľnosť zavedených bezpečnostných opatrení, ktorá sa dá dosiahnuť iba nepretržitým dohľadom a vyhodnocovaním kybernetickej bezpečnosti.

PZS má zavedenú dokumentačnú a základnú procesnú časť v zmysle ZoKB a ZoITVS, ale na zabezpečenie udržateľnosti a dotiahnutie procesov kybernetickej a informačnej bezpečnosti potrebuje implementovať potrebné nástroje, vypracovať detailné dokumenty a nastaviť ďalšie procesy. Vzhľadom na finančné možnosti mesta sa tento projekt javí ako jediná možnosť prostredníctvom, ktorej môže MLM v najbližších rokoch získať v potrebnom rozsahu nástroje a zaviesť procesy pre zabezpečenie súladu so zákonmi.

Projekt bude realizovaný s cieľom implementovať nevyhnutnú ochranu pred hrozbami v oblasti informačnej a kybernetickej bezpečnosti a zároveň zavedie dlhodobý systém riadenia informačnej bezpečnosti.

Výsledkom realizácie projektu bude inštalácia, odladenie a zavedenie systému na riadenie rizík, systému na riadenie kontinuity, systému na riadenie kapacít, systému na monitorovanie a auditovanie infraštruktúry IKT, nasadenie LMS, na nástrojov SIEM a zriadenie dohľadového centra ( SOC). Systémy budú úzko naviazané na organizačné opatrenia v zmysle systému pre riadenie bezpečnostných incidentov a opatrení z neho vyplývajúcich a zároveň budú v plnej miere korešpondovať s výsledkami auditu kybernetickej bezpečnosti vykonaného koncom roka 2023 na MLM.

Rovnako ciele projektu v úzkej miere korešpondujú s výsledkami auditu KB, ktorý bol vykonaný v MLM koncom roka 2023. Naplnením cieľov projektu bude zabezpečený súlad so stratégiou kybernetickej bezpečnosti MLM ako PZS a jeho bezpečnostnými politikami. Zároveň implementované opatrenia budú podporené školeniami, vzdelávaním a motivačným navýšením finančného ohodnotenia, odmeňovacím systémom vlastných personálnych kapacít pre udržanie a stabilizáciu personálu.

Výsledky projektu zabezpečia :

 Detailný a spoľahlivý prehľad o bezpečnosti IT prostredia, ktoré je prevádzkované u PZS ( Mesto LM ), na základe implementovaných opatrení a vyhodnocovacieho nástroja, ktorý je nevyhnutný na včasné reakcie na kybernetické bezpečnostné ohrozenia.

 Zabezpečenie kontroly dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov, osôb zastávajúcich niektorú z bezpečnostných rolí a dodávateľov.

 Zabezpečenie vyššej ochrany dátovej infraštruktúry vstupnou bránou, ktorá zabezpečí monitorovanie a filtrovanie prichádzajúcej či odchádzajúcej sieťovej komunikácie na základe vopred stanovených bezpečnostných zásad PZS.

 Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.

 Zabezpečenie procesu detekcie kybernetických bezpečnostných incidentov prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.

 Súlad určených požiadaviek PZS na zabezpečenie kontinuity riadenia kybernetickej bezpečnosti pri vzniku kybernetického bezpečnostného incidentu z vypracovanej stratégie a krízových plánov na zabezpečenie dostupnosti siete a informačného systému po narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu na základe vykonanej analýzy dopadov kybernetického bezpečnostného incidentu na základnú službu.

Ciele projektu

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy (ďalej len „NKIVS“): Zvýšenie kvality organizácie KIB

Zvýšenie kvality riadenia rizík KIB

Zaznamenávanie udalostí a monitorovanie

Riešenie kybernetických bezpečnostných incidentov Zabezpečenie riadenia prístupov

Zabezpečenie bezpečnosti prevádzky IS a sietí vrátane sieťovej a komunikačnej bezpečnosti Zabezpečenie kontinuity prevádzky IS prevádzkovateľa PZS

Dané ciele budú dosiahnuté realizáciou hlavnej aktivity projektu - Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Cieľová skupina – interní zamestnanci mesta Liptovský Mikuláš, obyvatelia mesta Liptovský Mikuláš, podnikateľské subjekty a ostatné právnické osoby pôsobiace na území

mesta Liptovský Mikuláš.

Realizáciou aktivít projektu dosiahne mesto Liptovský Mikuláš naplnenie hlavného cieľa, ktorým je zvýšenie informačnej a kybernetickej bezpečnosti a zabezpečenia

ochrany údajov a elektronických dát, ktoré sú využívané mestom, jeho organizáciami, zamestnancami ako aj občanmi.

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

• súlad projektu so špecifickým cieľom: 2 (opatrenie 1.2.1)
• súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 26
• súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Realizáciou projektu budú naplnené nasledovné merateľné ukazovatele: PO095 / PSKPSOI12 – cieľová hodnota 1

PR017 / PSKPRCR11 – cieľová hodnota 100

Miesto realizácie:

Mesto Liptovský Mikuláš.

Predpokladaný rozpočet projektu (oprávnené priame výdavky) je: 441 644,97 EUR s DPH

V prípade, že by malo mesto Liptovský Mikuláš investovať do dobudovania kybernetickej bezpečnosti vlastné finančné prostriedky, je prakticky nereálne zrealizovať všetky povinnosti podľa zákona o kybernetickej bezpečnosti a zákona o informačných systémoch verejnej správy, nakoľko ide o pomerne vysoké náklady v krátkom časovom období.

S ohľadom na to, že inštitúcie verejnej správy majú limitované finančné zdroje na boj s kyberútokmi, a súčasne je ich povinnosťou dodržiavať ustanovenia zákona o kybernetickej bezpečnosti vyhlásilo MIRRI SR Výzvu, ktorá má umožniť aj inštitúciám ako mestu Liptovský Mikuláš získať prostriedky na ochranu informačných systémov a dosiahnutie kybernetickej bezpečnosti na najvyššej úrovni pri minimálnych nákladoch.

Sumarizácia hlavných parametrov hodnotenia predkladaného hodnotenia projektu:

3.2 Motivácia a rozsah projektu

Mesto Liptovský Mikuláš je právnickou osobou (IČO: 00315524) zapísanou v registri organizácií vedenom Štatistickým úradom Slovenskej republiky v zmysle § 3 ods. 1 písmena b) zákona č. 523/2004 Z. z. o rozpočtových pravidlách verejnej správy a o zmene a doplnení niektorých zákonov v znení neskorších predpisov, t.j. ide o subjekt vo verejnej správe, konkrétne územnej samospráve. Zároveň je mesto Liptovský Mikuláš zaradené v registri prevádzkovateľov základných služieb podľa zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len

„zákon o kybernetickej bezpečnosti“) v sektore Verejná správa (viď: https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/), t.j. je poskytovateľom základnej služby (ďalej len PZS).

Z uvedeného vyplýva o.i. skutočnosť, že mesto Liptovský Mikuláš má povinnosť realizovať a financovať opatrenia kybernetickej a informačnej bezpečnosti (ďalej len KIB) definované najmä v zákonoch o kybernetickej bezpečnosti a v zákone 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ISVS“) a ďalších súvisiacich predpisoch.

MLM ako správca a prevádzkovateľ informačného systému samosprávy je povinný okrem iného zaistiť aj primeranú ochranu spracúvaných informácií voči kybernetickým hrozbám aj v súlade s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Pri rozhodovaní o potrebe implementovaných opatrení v prostredí MLM je potrebné zohľadniť fakt morálnej a fyzickej opotrebovanosti existujúcich bezpečnostných technológií a samozrejme aj výsledky auditu KB z konca roka 2023. Nevyhnutnosť dobudovania pracoviska dohľadového centra odôvodňuje aj skutočnosť pretrvávajúcich a systematických kybernetických útokov na systémy prevádzkované samosprávami.

Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v samosprávach tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Okrem legislatívnych požiadaviek je nevyhnutné brať do úvahy aj aktuálny stav, ktorá je z časti spôsobený neschopnosťou včasnej detekcie možného kybernetického útoku z dôvodu absentujúcich bezpečnostných opatrení, chýbajúcich analytických nástrojov a nedostatku kvalitných zdrojov bezpečnostne relevantných záznamov.

3.2.1 Hlavný popis problému

Mesto Liptovský Mikuláš má ku dňu spracovania tohto projektového zámeru realizovaný interný audit kybernetickej bezpečnosti, ktorý bol vypracovaný na základe overení koncom roka 2023 a má spracované samohodnotenie. Z uvedeného auditu vyplýva nevyhnutnosť realizácie opatrení kybernetickej bezpečnosti,

nakoľko Mesto Liptovský Mikuláš nedosahuje požadovaný súlad s požiadavkami zákona o kybernetickej bezpečnosti, vyhlášky 362/2018 Z. z. Mesto Liptovský Mikuláš ako poskytovateľ základnej služby vykonáva iba niektoré procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.

Hlavným problémom, ktorému mesto Liptovský Mikuláš ako PZS čelí je teda vyriešenie problému s nedostatočnou úrovňou zabezpečenia v oblasti informačnej a kybernetickej bezpečnosti tak, aby po realizovaní potrebných opatrení KIB bol dosiahnutý čo najvyšší súlad v oblasti príslušných predpisov KIB a súčasne aby boli administratívne a technologické náležitosti KIB realizované tak, aby plnili svoje úlohy v čo najväčšom rozsahu nie len v rámci implementácie projektu, ale aj v rámci jeho rutinnej prevádzky (t.j. v rámci udržateľnosti projektu i po nej). Rovnako je potrebné, aby opatrenia KIB boli realizované tak, že budú pripravené na ďalší rozvoj IT technológií PZS, a aby ich bolo možné flexibilne rozširovať bez ohrozenia prevádzkovaných i zamýšľaných IT systémov.

Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

1. Nedostatočná identifikácia zraniteľnosti, identifikácia hrozieb, identifikácia a analýzy rizík s ohľadom na aktívum, určenia vlastníka rizika
2. Nedostatočné určenie cieľovej doby obnovy jednotlivých procesov, siete a informačných systémov a aplikácií, a to najmä určením doby obnovy prevádzky, po ktorej uplynutí je po kybernetickom určenia cieľového bodu obnovy jednotlivých procesov, siete a informačných systémov základnej služby a aplikácií, a to najmä určením najnižšej úrovne poskytovania služieb, ktorá je dostatočná na používanie, prevádzku a správu siete a informačného systému a zachovanie kontinuity základnej služby testovania a vyhodnocovania jednotlivých procesov riadenia kontinuity činností a realizácie opatrení na zvýšenie odolnosti sietí a informačných systémov základnej služby bezpečnostnom incidente obnovená najnižšia úroveň poskytovania základných služieb
3. Nedostatočné riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami sa pri uzatvorení zmluvy s treťou stranou podľa § 19 ods. 2 zákona analyzujú riziká dodávateľských služieb, spôsobom podľa § 6.
4. Nedostatočné zaznamenávanie a vyhodnocovanie prevádzkových záznamov
5. Technické zraniteľnosti informačných systémov ako celku sa nedostatočne identifikujú prostredníctvom nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí.
6. Procesy riadenia záplat a aktualizácií nie sú pravidelne zdokumentované.
7. Zaznamenávanie udalostí a monitorovanie sietí a informačných systémov sa neuskutočňuje implementáciou centrálneho nástroja na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov zabezpečujúceho dohľad nad sieťami a informačnými systémami.
8. Neexistuje nástroj na automatizované zaznamenávanie činnosti sietí a informačných systémov a ich používateľov, ktorý umožňuje vytvárať prevádzkové záznamy a zaznamenávať rizikové udalosti.
9. Prevádzkové záznamy nie sú zabezpečené podľa štandardu SIEM.
10. Za monitorovanie prevádzkových záznamov, ich vyhodnocovanie a vykonanie nahlásenia podozrivej aktivity nie je jednoznačne zodpovedný na to poverený zamestnanec prevádzkovateľa základnej služby alebo zamestnanec tretej strany, ak je jej táto činnosť zverená.
11. Proces detekcie kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na detekciu kybernetických bezpečnostných incidentov, ktorý umožňuje v rámci sietí a informačných systémov a medzi sieťami a informačnými systémami overenie a kontrolu prenášaných dát.
12. Proces zberu a vyhodnocovania kybernetických bezpečnostných incidentov sa nezabezpečuje prostredníctvom nástroja na zber a nepretržité vyhodnocovanie kybernetických bezpečnostných udalostí.

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

• organizácia KIB,
• riadenie rizík KIB,
• riadenie prístupov,
• riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
• bezpečnosť pri prevádzke informačných systémov a sietí,
• sieťová a komunikačná bezpečnosť,
• zaznamenávanie udalostí a monitorovanie,
• riešenie kybernetických bezpečnostných incidentov,
• kontinuita prevádzky.

3.2.2 Biznis procesy

Zvýšenie spôsobilosti dohľadového centra je kľúčové pre zabezpečenie informačnej bezpečnosti a ochranu pred kybernetickými hrozbami pre samosprávy ako centrálneho bodu zberu a spracovania citlivých dát, ktorý predstavuje základ celého procesu poskytovanie štandardných služieb a elektronických služieb pre PO a FO v pôsobnosti MLM. Realizáciou projektu dôjde k zvýšeniu spôsobilosti v nasledujúcich oblastiach:

 Rýchlejšia detekcia a reakcia na hrozby: Zlepšenie schopnosti identifikácie a reakcie na kybernetické hrozby v reálnom čase. To zahŕňa lepšiu analýzu logov, monitorovanie udalostí a upozornení, a automatizáciu procesov pre rýchlejšiu identifikáciu a potlačenie hrozieb.

 Rozšírená analýza hrozieb: Vytvorenie a zdokonalenie analytických schopnosti pre hĺbkovú analýzu kybernetických hrozieb implementáciou nástrojov na analýzu malvéru, rozpoznávanie správania útočníkov a predikcia budúcich hrozieb.

 Lepšie využitie technológií: Integrácia a efektívne využívanie nových technológii a nástrojov, ako sú strojové učenie a automatizácia. To umožní rýchlejšie a presnejšie identifikovať hrozby a zároveň zníženie manuálnych úkonov.

Zlepšenie spolupráce a komunikácia:

 Posilnenie spolupráce medzi tímami v rámci organizácie, vrátane oddelení IT, prevádzky a vedenia, aby sa lepšie zdieľali informácie o hrozbách a koordinovali sa reakcie na incidenty.

 Odbornosť a školenia: Posilnenie spôsobilosti tímu dohľadového centra prostredníctvom odborných školení a certifikácií. Udržiavanie členov tímu oboznámených s najnovšími hrozbami a postupmi, a dobudovanie interného tímu náborom odborníkov na kybernetickú bezpečnosť.

 Kontinuálne zlepšovanie procesov: Pravidelné preskúmavanie a zlepšovanie pracovných postupov a procesov na základe skúseností získaných po implementácií opatrení a počas detekcie a riešenia incidentov, implementáciou nástrojov a zvyšovaním znalostného štandardu členov tímu.

 Zabezpečenie finančných a personálnych zdrojov: Zabezpečenie dostatočného financovania, personálnych a technických zdrojov pre efektívne fungovanie implementovaných opatrení.

 Kontinuálna analýza úspešnosti: Monitorovanie úspešnosti dohľadového centra v detekcii, reakcii a prevencii kybernetických hrozieb pomocou merateľných ukazovateľov výkonu. Tieto údaje sa potom môžu použiť na ďalšie zlepšenie schopností dohľadového centra.

 Pripravenosť na nové technológie a trendy: Pripravenosť na nové technológie, trendy a taktiky kybernetických útokov a prispôsobovať sa im v čo najkratšom čase.

 Sledovanie právnych a regulačných požiadaviek: Zabezpečiť, aby činnosti po implementácii opatrení boli v súlade s platnými právnymi a regulačnými požiadavkami týkajúcimi sa ochrany údajov a kybernetickej bezpečnosti.

Tieto aktivity pomôžu interného tímu a dohľadovému centru k vytvoreniu efektívneho a odolného systému na identifikáciu, monitorovanie a riešenie kybernetických hrozieb s cieľom ochrany organizácie pred potenciálnymi útokmi.

3.2.3 Oblasti zamerania projektu

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 326/2018 Z. z.. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy (viď prístup k projektu), ktoré sú určené na poskytovanie základnej služby mesta Liptovský Mikuláš, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

3.2.4 Rozsah projektu

 Zoznam jednotlivých komponentov projektu :

1. Riadenie kontinuity činností (BCM)
2. Vypracovanie analýzy funkčných dopadov a posúdenie dodávateľských vzťahov
3. SW pre riadenie a identifikáciu rizikovej analýzy a kontinuity činností + implementácia
4. SW pre LMS a eArchiv SW + implementácia
5. SW nástroj pre zber dát 200 Mbps + implementácia
6. Dodávka Firewall - ového riešenia
7. Migrácia FW a vertikálna segmentácia siete
8. AD Tier model (PAM)
9. Základné školenie obsluhy