Zmeny dokumentu projekt_2813_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 09:38

From 2.1 to 2.2

Z verzie 1.1

upravil ivana_pukajova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 2.1

upravil ivana_pukajova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,0 +1,1215 @@
++**PROJEKTOVÝ ZÁMER**
++
++**manažérsky výstup  I-02**
++
++**podľa vyhlášky MIRRI č. 401/2023 Z. z.**
++
++\\
++
++(% class="" %)|(((
++Povinná osoba
++)))|(((
++Záchranná služba Košice
++)))
++(% class="" %)|(((
++Názov projektu
++)))|(((
++Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice
++)))
++(% class="" %)|(((
++Zodpovedná osoba za projekt
++)))|(((
++Erik Bašista (projektový manažér)
++)))
++(% class="" %)|(((
++Realizátor projektu
++)))|(((
++Záchranná služba Košice
++)))
++(% class="" %)|(((
++Vlastník projektu
++)))|(((
++Záchranná služba Košice
++)))
++
++**~ **
++
++**Schvaľovanie dokumentu**
++
++(% class="" %)|(((
++Položka
++)))|(((
++Meno a priezvisko
++)))|(((
++Organizácia
++)))|(((
++Pracovná pozícia
++)))|(((
++Dátum
++)))|(((
++Podpis
++
++(alebo elektronický súhlas)
++)))
++(% class="" %)|(((
++Vypracoval
++)))|(((
++Pavol Sokol
++)))|(((
++Záchranná služba Košice
++)))|(((
++Manažér kybernetickej bezpečnosti
++)))|(((
++3.7.2024
++)))|(((
++
++)))
++
++**~ **
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.     História DOKUMENTU =
++
++(% class="" %)|(((
++Verzia
++)))|(((
++Dátum
++)))|(((
++Zmeny
++)))|(((
++Meno
++)))
++(% class="" %)|(((
++0.1
++)))|(((
++6.6.2024
++)))|(((
++Pracovný návrh
++)))|(((
++Pavol Sokol
++)))
++(% class="" %)|(((
++0.2
++)))|(((
++1.7.2024
++)))|(((
++Zapracovanie pripomienok
++)))|(((
++Pavol Sokol
++)))
++(% class="" %)|(((
++0.3
++)))|(((
++2.7.2024
++)))|(((
++Zapracovanie pripomienok
++)))|(((
++Pavol Sokol
++)))
++(% class="" %)|(((
++0.4
++)))|(((
++3.7.2024
++)))|(((
++Zapracovanie pripomienok
++)))|(((
++Pavol Sokol
++)))
++(% class="" %)|(((
++0.5
++)))|(((
++3.7.2024
++)))|(((
++Zapracovanie pripomienok
++)))|(((
++Pavol Sokol
++)))
++
++**~ **
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2.     DEFINOVANIE PROJEKTU =
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1        Manažérske zhrnutie ==
++
++Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.
++
++Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia informačnej a kybernetickej bezpečnosti (ďalej ako „KIB“).
++
++Aktuálna situácia v oblasti KIB v Záchrannej službe Košice (ďalej ako „ZS KE“)  nie je ideálna. ZS KE nemá implementované všetky riešenia a opatrenia pre zvýšenie úrovne KIB. Z externého pohľadu sa zvyšuje frekvencia a závažnosť bezpečnostných hrozieb a útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda bezpečnostné hrozby, výskyt zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.
++
++
++
++ZS KE má vykonaný audit kybernetickej bezpečnosti v zmysle platnej právnej úpravy a zároveň na ZS KE prebehla Analýza aktuálneho stavu bezpečnostných opatrení a postupov v organizácii, pričom bolo odhalených niekoľko dôležitých oblastí, ktoré vyžadujú okamžitú pozornosť a zlepšenie. Ide najmä o oblasť riadenia prístupov, riadenia kontinuity činností (ďalej ako „BCM“) a zálohovania.
++
++
++
++Hlavným cieľom je zabezpečiť integritu, dostupnosť a dôvernosť informácií organizácie, a to prostredníctvom účinných bezpečnostných opatrení a postupov.
++
++
++
++ZSKE nemá implementované požadované požiadavky v niektorých oblastiach KIB z nasledovných dôvodov:
++
++* nie sú k dispozícii personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov,
++* nie sú k dispozícii dostatočné finančné zdroje,
++* nemáme zavedené všetky procesy riadenia KIB.
++
++
++
++Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti ZS KE, čo chceme naplniť nasledujúcimi podaktivitami:
++
++* Aktivity ohľadom aktualizácie dokumentácie a nastavenia procesov riadenia KIB:
++** aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti najmä vo väzbe na opatrenia zavedené týmto projektom,
++** aktualizácia interných smerníc a politík pre všetky relevantné oblasti riadenia KIB, najmä pre oblasti pokryté opatreniami v rámci tohto projektu.
++* Analytické aktivity:
++** aktualizácia identifikácie a evidencie informačných aktív,
++** aktualizácia klasifikácie informácií a kategorizácie IS a sietí,
++** aktualizácia analýzy rizík a analýzy dopadov (AR/BIA),
++** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,
++** na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,
++** aktualizácia plánu zálohovania podľa výsledkov AR/BIA.
++* Implementačné a konfiguračné aktivity bezpečnostných riešení:
++** zavedenie nástroja na udržiavanie a správu aktív (asset management),
++** implementácia riešenia pre správu identít a prístupov (IDM), ktorého súčasťou bude aj:
++*** zavedenie viacfaktorového overovania pre privilegovaných používateľov,
++*** re-konfigurácia a “hardening” existujúceho AD riešenia,
++*** zavedenie Network Access Control (NAC) v súlade so štandardom IEEE 802.1x, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúry pre generovanie a distribúciu šifrovacích kľúčov,
++** implementácia riešenia pre zálohovanie a bezpečné uloženie záloh v inej lokalite (mimo serverovní s primárnou infraštruktúrou) a zladenie procesu s plánom zálohovania navrhnutým na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
++* Pre-financovanie spracovania žiadosti o NFP.
++
++
++
++Výsledkom projektu bude aktualizácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB (tzv. governance), zrealizovaná aktualizácia inventarizácie a klasifikácie aktív a kategorizácie IS, aktualizácia AR/BIA a zavedený formalizovaný  proces riadenia rizík, vrátane podpory evidencie a správy aktív SW nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely riadenia prístupov, riadenia BCM a zálohovania a pod.
++
++Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti a pracovníkmi útvaru IT.
++
++
++
++Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí zdravotníckych zariadení s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
++
++
++
++Celková žiadaná výška ŽoNFP je 299.300 EUR.
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2        Motivácia a rozsah projektu ==
++
++
++
++Hlavnou motiváciou projektu je zvýšenie úrovne KIB v ZS KE, najmä  pripravenosti čeliť interným a externým hrozbám v oblasti KIB. Na rozdiel od súčasného stavu bude ZS KE disponovať výrazne vyššími schopnosťami predchádzať bezpečnostným incidentom súvisiacim najmä s oblasťou riadenia a správy prístupov. Technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát a zároveň bude zabezpečená dostatočná redundancia a bezpečné uloženie systémových záloh a záloh dát.
++
++\\
++
++Medzi hlavné ciele systému riadenia KIB patria:
++
++* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,
++* monitorovanie prostredia,
++* riadenie a povoľovanie prístupov len autorizovaným osobám.
++
++\\
++
++Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s:
++
++* naplnením povinností definovanými v zákone o KB a zákone o ITVS, najmä opatreniami definovanými v § 20 zákona o KB,
++* nutnosťou zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na sústavne sa zvyšujúce bezpečnostné hrozby a riziká,
++* nutnosťou reagovať na prípadné bezpečnostné incidenty, napr. ransomware útoky, ktoré sú v poslednej dobe značne rozšírené najmä v oblasti zdravotníctva,
++* zabezpečením realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,
++* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,
++* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.
++
++\\
++
++Projekt rieši nasledovné špecifické problémy v oblasti KIB:
++
++* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.
++* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.
++* Pravidelnú, povinnú aktualizáciu inventarizácie informačných aktív, klasifikácie a kategorizácie IS a sietí, analýzy rizík a analýzy dopadov aj so zapojením vlastníkov aktív a zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti.
++* Oblasť riadenia prístupov je bez IKT podpory, takže samotné riadenie prístupov je aktuálne zdĺhavé a značne neefektívne, pričom sa zároveň zvyšuje aj pravdepodobnosť výskytu ľudských chýb.
++* Taktiež nie je zabezpečená multi-faktorová autentifikácia, min. na strane privilegovaných používateľov pri prístupe k informačným systémom v ich správe a rovnako aj autentifikácia zariadení pripojených do siete ZS KE.
++* Značne neefektívny a nedostatočný z pohľadu bezpečnosti a redundancie záloh je aj proces zálohovania, kedy je potrebné, v prípade bezpečnostného incidentu alebo chyby, bezpečne a spoľahlivo obnoviť informačné systémy a dáta.
++
++\\
++
++Chýbajú bezpečnostné funkcie a opatrenia najmä v oblasti:
++
++* viac-faktorovej autentifikácie,
++* autentifikácie zariadení v sieti ZS KE,
++* riadenia prístupov a identít,
++* zálohovania a redundancie záloh.
++
++\\
++
++Okrem toho ZS KE nemá dostatočne zabezpečenú serverovňu a HW vybavenie je zastaralé. Sieťová infraštruktúra pre spájanie pobočiek je zabezpečená prostredníctvom VPN siete dodávanej a spravovanej externým dodávateľom (v čase podania projektu spoločnosťou Slovanet). ZS KE prevádzkuje v riaditeľstve a na centrále vlastnú lokálnu počítačovú sieť s nízkou úrovňou segmentácie siete. Jej komponenty sú však zastarané a bez podpory.
++
++\\
++
++Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti:
++
++* konsolidácie logov a auditných záznamov,
++* analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,
++* riešenie bezpečnostných incidentov,
++* obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.
++
++\\
++
++**Informačné systémy v správe ZSKE:**
++
++* Garis ERP (Enterprise resource planing) – účtovný ekonomický software. V implementácii je aj personalistický a mzdový modul.
++* PROMIS Doprava - kľúčový systém, v ktorom sú zhromaždené dáta pre vykazovanie zdravotnej starostlivosti na zdravotné poisťovne.
++* WEB, intranet interná sekcia – systém na zápis záznamu služby.
++
++\\
++
++__Implementácia projektu bude prebiehať v nasledovných krokoch:__
++
++__ __
++
++**__Hlavná aktivita: __Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**
++
++\\
++
++Jednotlivé pod-aktivity v rámci implementácie projektu:
++
++* **Analýza a dizajn bude obsahovať:**
++* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,
++* identifikáciu a analýzu rolí, procesov a integrácii,
++* funkčnú a nefunkčnú špecifikáciu celého riešenia,
++* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.
++
++\\
++
++* **Nákup HW a prípadne aj krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia**
++* Nástroj na evidenciu aktív (asset management).
++* Nástroj na riadenie identít a prístupov (IDM) vrátane:
++** SW vybavenia pre MFA pre „privilegovaných používateľov“.
++** SW vybavenia pre NAC (autentifikačný server a PKI).
++* Nástroja pre riešenie zálohovania a ukladanie záloh.
++* Potrebného HW vybavenia.
++
++\\
++
++* **Implementácia bude obsahovať:**
++* implementáciu a nastavenie jednotlivých technických služieb,
++* implementácia bezpečnostných opatrení,
++* implementácia proaktívnych a reaktívnych služieb,
++* obvyklé testovanie celého riešenia popri implementácii,
++* zladenie interných procesov riešenia zálohovania s plánom zálohovania vytvoreným na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
++
++\\
++
++* **Testovanie obsahuje**:
++* testovanie funkcionality riešenia,
++* vulnerability testovanie,
++* testovanie integrácii,
++* pilotnú prevádzku,
++* akceptačné testovanie.
++
++\\
++
++* **Nasadenie obsahuje:**
++* nasadenie riešenia do produkčného prostredia, zaškolenie pre celé riešenie
++* prechod na plnú prevádzku.
++
++\\
++
++* **Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.
++
++\\
++
++* **Podporná aktivita – Publicita a informovanosť** vzhľadom na povahu projektu obsahuje iba povinné položky, t. j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač
++
++\\
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3        Zainteresované strany/Stakeholderi ==
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++AKTÉR / STAKEHOLDER
++)))|(((
++SUBJEKT
++
++(názov / skratka)
++)))|(((
++ROLA
++
++(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
++)))|(((
++Informačný systém
++
++(MetaIS kód a názov ISVS)
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Záchranná služba Košice
++)))|(((
++ZSKE
++)))|(((
++Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
++)))|(((
++-
++)))
++
++\\
++
++\\
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4        Ciele projektu ==
++
++
++
++
++
++(% class="" %)|(((
++ID
++)))|(((
++
++
++
++
++Názov cieľa
++)))|(((
++Názov strategického cieľa
++)))|(((
++Spôsob realizácie strategického cieľa
++)))
++(% class="" %)|(((
++1
++)))|(((
++RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
++)))|(((
++Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.
++)))|(((
++Implementácia projektu
++)))
++
++**~ **
++
++**~ **
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5        Merateľné ukazovatele (KPI) ==
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++
++
++
++
++ID/Názov cieľa
++)))|(((
++Názov
++ukazovateľa (KPI)
++)))|(((
++Merná jednotka
++\\
++)))|(((
++Čas plnenia
++
++merateľného
++
++ukazovateľa projektu
++)))|(((
++závislosti
++
++merateľného
++
++ukazovateľa
++
++projektu)
++)))|(((
++Príznak rizika
++)))|(((
++Relevancia
++
++k HP
++)))
++(% class="" %)|(((
++VÝSTUP
++
++PO095 / PSKPSOI12
++)))|(((
++RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
++)))|(((
++Verejné inštitúcie podporované v
++
++rozvoji kybernetických služieb,
++
++produktov a procesov
++)))|(((
++verejné inštitúcie
++)))|(((
++ku koncu realizácie
++
++hlavných aktivít
++
++projektu
++)))|(((
++1
++)))|(((
++nie
++)))|(((
++n/a
++)))
++(% class="" %)|(((
++VÝSLEDOK
++
++PR017 / PSKPRCR11
++)))|(((
++RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
++)))|(((
++Používatelia nových a vylepšených
++
++verejných digitálnych služieb,
++
++produktov a procesov
++)))|(((
++Používatelia/rok
++)))|(((
++ v rámci udržateľnosti
++
++projektu
++)))|(((
++150
++)))|(((
++nie
++)))|(((
++n/a
++)))
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6        Riziká a závislosti ==
++
++
++
++Riziká sa nachádzajú v samostatnej prílohe.
++
++
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7        Stanovenie alternatív v biznisovej vrstve architektúry ==
++
++
++
++V rámci biznis architektúry sú popísané služby, ktoré by v zmysle § 20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v § 20 zákona o KB, resp. zefektívnia sa existujúce postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami.
++
++Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne:
++
++* zvýšením úrovne governance a vyspelosti procesov riadenia KIB,
++* zvýšením ochrany pred útokmi z externého, ale aj interného prostredia,
++* zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty,
++* zvýšením úrovne ochrany dát, dátových prenosov a komunikácie,
++* zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov.
++
++Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany.
++
++\\
++
++__Alternatívy riešenia sú nasledovné__:
++
++**Alternatíva 1:** realizácia KIB** **v rámci tohto projektu.
++
++**Alternatíva 2:** ponechanie realizácie bezpečnostných opatrení a rozvoja KIB  v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.
++
++\\
++
++Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy:
++
++* Riadenie aktív a riadenie rizík.
++** Proces evidencie a správy aktív.
++** Proces klasifikácie informácií a kategorizácie IS a sietí.
++** Proces realizácie AR/BIA.
++** Proces rozhodovania ohľadom riadenia identifikovaných rizík.
++* Riadenie prístupov.
++** Proces riadenia identít a prístupov.
++** Proces bezpečného prístupu a viac-faktorovej autentifikácie pri prístupe privilegovaných používateľov k správe IS.
++** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení.
++* Riadenie kontinuity činností.
++** Proces zálohovania.
++** Proces ochrany a redundancie záloh.
++
++\\
++
++Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:
++
++* governance KIB a bezpečnostná dokumentácia,
++* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia.
++
++
++
++V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu) a z aktuálne dostupnými technickými prostriedkami a ľudskými zdrojmi by ZS KE bola schopná zrealizovať a do praxe implementovať len nasledovné biznis funkcie:
++
++* Riadenie aktív a riadenie rizík.
++
++\\
++
++Implementácia len tejto biznis funkcie je z pohľadu zabezpečenia ochrany informačných aktív ZS KE a naplnenia legislatívnych požiadaviek absolútne nepostačujúca.
++
++\\
++
++\\
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8        Multikriteriálna analýza ==
++
++
++
++
++
++(% class="" %)|(((
++**// //**
++)))|(((
++KRITÉRIUM
++)))|(((
++ZDÔVODNENIE KRIÉRIA
++)))|(((
++MIRRI (výzva)
++)))|(((
++Organizácia
++)))|(((
++STAKEHOLDER
++
++3
++)))
++(% class="" %)|(% rowspan="6" %)(((
++BIZNIS VRSTVA
++
++// //
++)))|(((
++A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením.
++)))|(((
++Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie
++)))|(((
++áno
++)))|(((
++áno
++)))|(((
++\\
++)))
++(% class="" %)|(((
++B Rýchlosť implementácie.
++)))|(((
++Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr
++)))|(((
++áno
++)))|(((
++nie
++)))|(((
++\\
++)))
++(% class="" %)|(((
++C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času
++)))|(((
++Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje
++)))|(((
++áno
++)))|(((
++nie
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Kritérium D (KO)
++)))|(((
++
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Kritérium E
++)))|(((
++
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Kritérium F
++)))|(((
++
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++)))
++
++
++
++\\
++
++(% class="" %)|(((
++Zoznam kritérií
++)))|(((
++Alternatíva
++
++1
++)))|(((
++Spôsob
++
++dosiahnutia
++)))|(((
++Alternatíva 2
++)))|(((
++Spôsob
++
++dosiahnutia
++)))
++(% class="" %)|(((
++Kritérium A
++)))|(((
++áno
++)))|(((
++Projekt zavádza procesy Governance v oblasti KIB
++)))|(((
++čiastočne
++)))|(((
++
++)))
++(% class="" %)|(((
++Kritérium B
++)))|(((
++áno
++)))|(((
++Realizácia výzvy je najrýchlejšou možnosťou implementácie
++)))|(((
++nie
++)))|(((
++
++)))
++(% class="" %)|(((
++Kritérium C
++)))|(((
++áno
++)))|(((
++Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje
++)))|(((
++nie
++)))|(((
++
++)))
++(% class="" %)|(((
++Kritérium D
++)))|(((
++
++)))|(((
++
++)))|(((
++
++)))|(((
++
++)))
++
++
++
++Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu.
++
++// //
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9        Stanovenie alternatív v aplikačnej vrstve architektúry ==
++
++Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti ZSKE.
++
++
++
++Z pohľadu aplikačnej vrstvy architektúry  je účelom projektu:
++
++* implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia,
++* budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov.
++
++
++
++**Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:**
++
++* vytváranie bezpečnostného povedomia,
++* vzdelávanie zamestnancov a správcov IS v oblasti kybernetickej bezpečnosti,
++* technologický dozor,
++* vykonávanie bezpečnostných auditov,
++* poskytovanie informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti a prijímanie a zasielanie včasného varovania pred bezpečnostnými incidentmi,
++* riadenie identít a prístupov,
++* vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia.
++
++
++
++**Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:**
++
++* obnova systémov a dát zo záloh,
++* návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.
++
++
++
++Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:
++
++* Riadenie aktív a riadenie rizík.
++** Implementácia nástroja na evidenciu aktív (asset management).
++* Riadenie prístupov.
++** Implementácia IDM vrátane 2FA:
++*** Zavedenie 2FA pre privilegovaných používateľov pre prístup k IS a zariadeniam.
++*** Zavedenie autentifikácie zariadení v sieti ZS KE.
++** Riadenie kontinuity činností.
++*** Implementácia nástroja pre zálohovanie.
++*** Implementácia úložiska záloh mimo priestorov umiestnenia primárnej technológie (princíp 3-2-1).
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10     Stanovenie alternatív v technologickej vrstve architektúry ==
++
++Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek.
++
++// //
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
++
++
++
++(% class="" %)|(((
++**ID**
++)))|(((
++**Aktivita/prevádzková dokumentácia (výstup)**
++)))|(((
++**Poznámka**
++)))
++(% class="" %)|(((
++1.1
++)))|(((
++Aktualizácia smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti
++)))|(((
++Výstupom aktivity budú aktualizované nasledovné smernice a dokumenty, najmä vo väzbe na implementované technické bezpečnostné riešenia uvedené nižšie v bodoch 2.1 až 2.3:
++
++·        Smernica riadenia prístupových práv a postupy multi-faktorovej autentifikácie.
++
++·        Plán zálohovania (na základe výsledkov RPO v aktivite 1.2) a smernica ohľadom postupov zálohovania.
++
++·        Definovanie stratégie obnovy (na základe výsledkov RTO v aktivite 1.2).
++
++·        Stratégia kybernetickej bezpečnosti.
++
++·        Bezpečnostná politika.
++
++·        Bezpečnostná smernica pre používateľov.
++
++·        Smernica o bezpečnej prevádzke IS pre administrátorov.
++
++·        Smernica pre riadenie informačnej bezpečnosti.
++
++·        Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam ZSKE.
++
++·        Smernica klasifikácie a kategorizácie IS a sietí.
++
++·        Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS.
++)))
++(% class="" %)|(((
++1.2
++)))|(((
++Aktualizácia inventarizácie aktív, klasifikácie, kategorizácie a AR/BIA
++)))|(((
++Vykonanie povinnej a pravidelnej (raz ročne) aktualizácie inventarizácie aktív, klasifikácie aktív, kategorizácie IS a sietí a analýzy rizík a analýzy dopadov (AR/BIA) aj so zapojením vlastníkov aktív.  Súčasťou analýzy bude aj určenie RTO a RPO parametrov vlastníkmi aktív a zadefinovanie stratégie obnovy pre jednotlivé IS na základe RTO a plánu zálohovania na základe RPO. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením ZS KE.
++)))
++(% class="" %)|(((
++2.1
++)))|(((
++Nástroj na udržiavanie a správu aktív (asset management tool)
++)))|(((
++Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív, napr. formou CMDB databázy.
++)))
++(% class="" %)|(((
++2.2
++)))|(((
++Nástroj na riadenie identít a prístupov
++)))|(((
++Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE. Súčasťou riešenia bude aj:
++
++·        re-konfigurácia a “hardening” existujúceho AD riešenia,
++
++·        SW vybavenie pre multi-faktorovú autentifikáciu privilegovaných používateľov k správe IS (cca 50 privilegovaných používateľov),
++
++·        technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, najmä autentifikačný server (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.
++)))
++(% class="" %)|(((
++2.3
++)))|(((
++Nasadenie nástroja na zálohovanie a uloženie záloh
++)))|(((
++Nasadenie nástroja pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej lokality.
++)))
++
++
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4.     NÁHĽAD ARCHITEKTÚRY =
++
++
++
++Náhľad architektúry sa nachádza v dokumente Prístup k projektu.
++
++
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5.     ROZPOČET A PRÍNOSY =
++
++
++
++Prínosy projektu sú vypočítané na základe zákona o KB, kde zákonodarca priamo v § 31 ods. 2, písm. c) ohodnotil porušenie niektorých povinností pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR.
++
++
++
++Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie riadenia informačnej a kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál).
++
++Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom.
++
++
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1        Sumarizácia nákladov a prínosov ==
++
++
++
++(% class="" %)|(((
++Náklady
++)))|(((
++Názov modulu
++)))|(((
++Názov modulu
++)))|(((
++Názov modulu
++)))
++(% class="" %)|(((
++**Všeobecný materiál**
++)))|(((
++Nástroj na udržiavanie a správu aktív (asset management tool)
++)))|(((
++Nástroj na riadenie identít a prístupov
++)))|(((
++Nástroj na zálohovanie a uloženie záloh
++)))
++(% class="" %)|(((
++**IT - CAPEX**
++)))|(((
++ 32.887 EUR
++)))|(((
++ 28.080 EUR
++)))|(((
++202.446 EUR
++)))
++(% class="" %)|(((
++Aplikácie
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++(% class="" %)|(((
++SW
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++(% class="" %)|(((
++HW
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++(% class="" %)|(((
++**IT - OPEX- prevádzka**
++)))|(((
++50 EUR
++)))|(((
++ 2400 EUR
++)))|(((
++ 2000 EUR
++)))
++(% class="" %)|(((
++Aplikácie
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++(% class="" %)|(((
++SW
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++(% class="" %)|(((
++HW
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++// //
++)))
++
++
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
++
++
++
++
++
++(% class="" %)|(((
++ID
++)))|(((
++FÁZA/AKTIVITA
++)))|(((
++ZAČIATOK
++
++(odhad termínu)
++)))|(((
++KONIEC
++
++(odhad termínu)
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Prípravná fáza a Iniciačná fáza
++)))|(((
++06/2024
++)))|(((
++10/2024
++)))
++(% class="" %)|(((
++2.
++)))|(((
++Realizačná fáza
++)))|(((
++11/2024
++)))|(((
++04/2026
++)))
++(% class="" %)|(((
++2a
++)))|(((
++Analýza a Dizajn
++)))|(((
++11/2024
++)))|(((
++04/2025
++)))
++(% class="" %)|(((
++2b
++)))|(((
++Nákup technických prostriedkov, programových prostriedkov a služieb
++)))|(((
++01/2025
++)))|(((
++06/2025
++)))
++(% class="" %)|(((
++2c
++)))|(((
++Implementácia a testovanie
++)))|(((
++05/2025
++)))|(((
++12/2025
++)))
++(% class="" %)|(((
++2d
++)))|(((
++Nasadenie
++)))|(((
++11/2025
++)))|(((
++02/2026
++)))
++(% class="" %)|(((
++3.
++)))|(((
++Dokončovacia fáza
++)))|(((
++01/2026
++)))|(((
++04/2026
++)))
++(% class="" %)|(((
++4.
++)))|(((
++Podpora prevádzky (SLA)
++)))|(((
++04/2026
++)))|(((
++04/2030
++)))
++
++\\
++
++,
++
++// //
++
++// //
++
++\\
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7.     PROJEKTOVÝ TÍM =
++
++
++
++Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení:
++
++Predseda RV
++
++Biznis vlastník
++
++Zástupca prevádzky
++
++Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
++
++Projektový manažér objednávateľa (PM)
++
++\\
++
++\\
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++Meno a Priezvisko
++)))|(((
++Pozícia
++)))|(((
++Rola v projekte
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Erik Bašista
++)))|(((
++odborný zamestnanec
++)))|(((
++Projektový manažér
++)))
++(% class="" %)|(((
++2.
++)))|(((
++Tomáš Tomčík
++)))|(((
++odborný zamestnanec IT
++)))|(((
++Systémový manažér
++)))
++(% class="" %)|(((
++3.
++)))|(((
++Pavol Sokol
++)))|(((
++odborný zamestnanec IT
++)))|(((
++Manažér kybernetickej bezpečnosti
++)))
++
++\\
++
++== {{id name="projekt_2813_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1        PRACOVNÉ NÁPLNE ==
++
++
++
++__Riadiaci výbor projektu budú tvoriť:__
++
++Členovia Riadiaceho výboru s hlasovacím právom:
++
++* predseda Riadiaceho výboru projektu
++* manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV,
++* zástupca prevádzky
++
++\\
++
++Členovia Riadiaceho výboru bez hlasovacieho práva:
++
++* projektový manažér prijímateľa
++* projektový manažér dodávateľa
++* zástupca dodávateľa
++
++\\
++
++Určenie zodpovednosti členov Riadiaceho výboru
++
++Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:
++
++* celkovo zodpovedať za projekt,
++* kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,
++* zabezpečiť a udržať finančné a personálne krytie realizácie projektu,
++* zabezpečiť nákladovo prijateľný prístup v projekte,
++
++Hlavným záujmom a zodpovednosťou biznis vlastníka je:
++
++* schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,
++* definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na
++* bezpečnosť,
++* definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,
++* schválenie akceptačných kritérií,
++* odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,
++* dostupnosť ľudských zdrojov alokovaných na realizáciu projektu
++
++Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je:
++
++* návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov,
++* zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch,
++
++.
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-8.Legislatíva"/}}8.     Legislatíva =
++
++V rámci platnej legislatívy nie je nutná zmeny legislatívy.
++
++
++
++Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou, najmä s:
++
++
++
++Zákonom č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,
++
++Zákonom č.95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov,
++
++Vyhláškou č.401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy,
++
++Vyhláškou č.78/2020 Z. z. o štandardoch pre ITVS,
++
++Vyhláškou č.179/2020 Z. z. o obsahu bezpečnostných opatrení ITVS,
++
++Vyhláškou 362/2018 Z .z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení).
++
++= {{id name="projekt_2813_Projektovy_zamer_detailny-9.PRÍLOHY"/}}9.     PRÍLOHY =
++
++
++
++**Príloha: **Zoznam rizík a závislostí (Excel)
++
++**Príloha:** Katalóg požiadaviek
++
++// //
++
++

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155323952
++155323950

Zmeny dokumentu projekt_2813_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?