Zmeny dokumentu projekt_2813_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 09:38

Z verzie 3.1

upravil Admin-metais MetaIS
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil ivana_pukajova
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (3 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Nadradený

...	...	@@ -1,1 +1,0 @@
1		-Dokumenty.projekt_2813.WebHome

Autor dokumentu

@@ -1,1 +1,1 @@
--XWiki.metais@vicepremier\.gov\.sk
++projdoc:XWiki.ivana_pukajova

Obsah

@@ -1,1134 +1,0 @@
--**PROJEKTOVÝ ZÁMER**
--
--**manažérsky výstup  I-02**
--
--**podľa vyhlášky MIRRI č. 401/2023 Z. z.**
--
--
--|(((
--Povinná osoba
--)))|(((
--Záchranná služba Košice
--)))
--|(((
--Názov projektu
--)))|(((
--Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – Záchranná služba Košice
--)))
--|(((
--Zodpovedná osoba za projekt
--)))|(((
--Erik Bašista (projektový manažér)
--)))
--|(((
--Realizátor projektu
--)))|(((
--Záchranná služba Košice
--)))
--|(((
--Vlastník projektu
--)))|(((
--Záchranná služba Košice
--)))
--
--**~ **
--
--**Schvaľovanie dokumentu**
--
--|(((
--Položka
--)))|(((
--Meno a priezvisko
--)))|(((
--Organizácia
--)))|(((
--Pracovná pozícia
--)))|(((
--Dátum
--)))|(((
--Podpis
--
--(alebo elektronický súhlas)
--)))
--|(((
--Vypracoval
--)))|(((
--Pavol Sokol
--)))|(((
--Záchranná služba Košice
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))|(((
--3.7.2024
--)))|(((
--
--)))
--
--**~ **
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.     História DOKUMENTU =
--
--|(((
--Verzia
--)))|(((
--Dátum
--)))|(((
--Zmeny
--)))|(((
--Meno
--)))
--|(((
--0.1
--)))|(((
--6.6.2024
--)))|(((
--Pracovný návrh
--)))|(((
--Pavol Sokol
--)))
--|(((
--0.2
--)))|(((
--1.7.2024
--)))|(((
--Zapracovanie pripomienok
--)))|(((
--Pavol Sokol
--)))
--|(((
--0.3
--)))|(((
--2.7.2024
--)))|(((
--Zapracovanie pripomienok
--)))|(((
--Pavol Sokol
--)))
--|(((
--0.4
--)))|(((
--3.7.2024
--)))|(((
--Zapracovanie pripomienok
--)))|(((
--Pavol Sokol
--)))
--|(((
--0.5
--)))|(((
--3.7.2024
--)))|(((
--Zapracovanie pripomienok
--)))|(((
--Pavol Sokol
--)))
--
--**~ **
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-2.DEFINOVANIEPROJEKTU"/}}2.     DEFINOVANIE PROJEKTU =
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.1Manažérskezhrnutie"/}}2.1        Manažérske zhrnutie ==
--
--Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.
--
--Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti riadenia informačnej a kybernetickej bezpečnosti (ďalej ako „KIB“).
--
--Aktuálna situácia v oblasti KIB v Záchrannej službe Košice (ďalej ako „ZS KE“)  nie je ideálna. ZS KE nemá implementované všetky riešenia a opatrenia pre zvýšenie úrovne KIB. Z externého pohľadu sa zvyšuje frekvencia a závažnosť bezpečnostných hrozieb a útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda bezpečnostné hrozby, výskyt zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.
--
--
--ZS KE má vykonaný audit kybernetickej bezpečnosti v zmysle platnej právnej úpravy a zároveň na ZS KE prebehla Analýza aktuálneho stavu bezpečnostných opatrení a postupov v organizácii, pričom bolo odhalených niekoľko dôležitých oblastí, ktoré vyžadujú okamžitú pozornosť a zlepšenie. Ide najmä o oblasť riadenia prístupov, riadenia kontinuity činností (ďalej ako „BCM“) a zálohovania.
--
--
--Hlavným cieľom je zabezpečiť integritu, dostupnosť a dôvernosť informácií organizácie, a to prostredníctvom účinných bezpečnostných opatrení a postupov.
--
--
--ZSKE nemá implementované požadované požiadavky v niektorých oblastiach KIB z nasledovných dôvodov:
--
--* nie sú k dispozícii personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov,
--* nie sú k dispozícii dostatočné finančné zdroje,
--* nemáme zavedené všetky procesy riadenia KIB.
--
--
--Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti ZS KE, čo chceme naplniť nasledujúcimi podaktivitami:
--
--* Aktivity ohľadom aktualizácie dokumentácie a nastavenia procesov riadenia KIB:
--** aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti najmä vo väzbe na opatrenia zavedené týmto projektom,
--** aktualizácia interných smerníc a politík pre všetky relevantné oblasti riadenia KIB, najmä pre oblasti pokryté opatreniami v rámci tohto projektu.
--* Analytické aktivity:
--** aktualizácia identifikácie a evidencie informačných aktív,
--** aktualizácia klasifikácie informácií a kategorizácie IS a sietí,
--** aktualizácia analýzy rizík a analýzy dopadov (AR/BIA),
--** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,
--** na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,
--** aktualizácia plánu zálohovania podľa výsledkov AR/BIA.
--* Implementačné a konfiguračné aktivity bezpečnostných riešení:
--** zavedenie nástroja na udržiavanie a správu aktív (asset management),
--** implementácia riešenia pre správu identít a prístupov (IDM), ktorého súčasťou bude aj:
--*** zavedenie viacfaktorového overovania pre privilegovaných používateľov,
--*** re-konfigurácia a “hardening” existujúceho AD riešenia,
--*** zavedenie Network Access Control (NAC) v súlade so štandardom IEEE 802.1x, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúry pre generovanie a distribúciu šifrovacích kľúčov,
--** implementácia riešenia pre zálohovanie a bezpečné uloženie záloh v inej lokalite (mimo serverovní s primárnou infraštruktúrou) a zladenie procesu s plánom zálohovania navrhnutým na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
--* Pre-financovanie spracovania žiadosti o NFP.
--
--
--Výsledkom projektu bude aktualizácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB (tzv. governance), zrealizovaná aktualizácia inventarizácie a klasifikácie aktív a kategorizácie IS, aktualizácia AR/BIA a zavedený formalizovaný  proces riadenia rizík, vrátane podpory evidencie a správy aktív SW nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely riadenia prístupov, riadenia BCM a zálohovania a pod.
--
--Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti a pracovníkmi útvaru IT.
--
--
--Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí zdravotníckych zariadení s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.
--
--
--Celková žiadaná výška ŽoNFP je 299.300 EUR.
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2        Motivácia a rozsah projektu ==
--
--
--Hlavnou motiváciou projektu je zvýšenie úrovne KIB v ZS KE, najmä  pripravenosti čeliť interným a externým hrozbám v oblasti KIB. Na rozdiel od súčasného stavu bude ZS KE disponovať výrazne vyššími schopnosťami predchádzať bezpečnostným incidentom súvisiacim najmä s oblasťou riadenia a správy prístupov. Technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát a zároveň bude zabezpečená dostatočná redundancia a bezpečné uloženie systémových záloh a záloh dát.
--
--
--Medzi hlavné ciele systému riadenia KIB patria:
--
--* zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,
--* monitorovanie prostredia,
--* riadenie a povoľovanie prístupov len autorizovaným osobám.
--
--
--Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia" súvisí najmä s:
--
--* naplnením povinností definovanými v zákone o KB a zákone o ITVS, najmä opatreniami definovanými v § 20 zákona o KB,
--* nutnosťou zvýšenia úrovne a schopnosti zabezpečovať a riadiť KIB vzhľadom na sústavne sa zvyšujúce bezpečnostné hrozby a riziká,
--* nutnosťou reagovať na prípadné bezpečnostné incidenty, napr. ransomware útoky, ktoré sú v poslednej dobe značne rozšírené najmä v oblasti zdravotníctva,
--* zabezpečením realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,
--* ako reakcia na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,
--* ako reakcia na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.
--
--
--Projekt rieši nasledovné špecifické problémy v oblasti KIB:
--
--* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.
--* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.
--* Pravidelnú, povinnú aktualizáciu inventarizácie informačných aktív, klasifikácie a kategorizácie IS a sietí, analýzy rizík a analýzy dopadov aj so zapojením vlastníkov aktív a zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti.
--* Oblasť riadenia prístupov je bez IKT podpory, takže samotné riadenie prístupov je aktuálne zdĺhavé a značne neefektívne, pričom sa zároveň zvyšuje aj pravdepodobnosť výskytu ľudských chýb.
--* Taktiež nie je zabezpečená multi-faktorová autentifikácia, min. na strane privilegovaných používateľov pri prístupe k informačným systémom v ich správe a rovnako aj autentifikácia zariadení pripojených do siete ZS KE.
--* Značne neefektívny a nedostatočný z pohľadu bezpečnosti a redundancie záloh je aj proces zálohovania, kedy je potrebné, v prípade bezpečnostného incidentu alebo chyby, bezpečne a spoľahlivo obnoviť informačné systémy a dáta.
--
--
--Chýbajú bezpečnostné funkcie a opatrenia najmä v oblasti:
--
--* viac-faktorovej autentifikácie,
--* autentifikácie zariadení v sieti ZS KE,
--* riadenia prístupov a identít,
--* zálohovania a redundancie záloh.
--
--
--Okrem toho ZS KE nemá dostatočne zabezpečenú serverovňu a HW vybavenie je zastaralé. Sieťová infraštruktúra pre spájanie pobočiek je zabezpečená prostredníctvom VPN siete dodávanej a spravovanej externým dodávateľom (v čase podania projektu spoločnosťou Slovanet). ZS KE prevádzkuje v riaditeľstve a na centrále vlastnú lokálnu počítačovú sieť s nízkou úrovňou segmentácie siete. Jej komponenty sú však zastarané a bez podpory.
--
--
--Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti:
--
--* konsolidácie logov a auditných záznamov,
--* analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,
--* riešenie bezpečnostných incidentov,
--* obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.
--
--
--**Informačné systémy v správe ZSKE:**
--
--* Garis ERP (Enterprise resource planing) – účtovný ekonomický software. V implementácii je aj personalistický a mzdový modul.
--* PROMIS Doprava - kľúčový systém, v ktorom sú zhromaždené dáta pre vykazovanie zdravotnej starostlivosti na zdravotné poisťovne.
--* WEB, intranet interná sekcia – systém na zápis záznamu služby.
--
--
--__Implementácia projektu bude prebiehať v nasledovných krokoch:__
--
--__ __
--
--**__Hlavná aktivita: __Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**
--
--
--Jednotlivé pod-aktivity v rámci implementácie projektu:
--
--* **Analýza a dizajn bude obsahovať:**
--* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,
--* identifikáciu a analýzu rolí, procesov a integrácii,
--* funkčnú a nefunkčnú špecifikáciu celého riešenia,
--* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.
--
--
--* **Nákup HW a prípadne aj krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia**
--* Nástroj na evidenciu aktív (asset management).
--* Nástroj na riadenie identít a prístupov (IDM) vrátane:
--** SW vybavenia pre MFA pre „privilegovaných používateľov“.
--** SW vybavenia pre NAC (autentifikačný server a PKI).
--* Nástroja pre riešenie zálohovania a ukladanie záloh.
--* Potrebného HW vybavenia.
--
--
--* **Implementácia bude obsahovať:**
--* implementáciu a nastavenie jednotlivých technických služieb,
--* implementácia bezpečnostných opatrení,
--* implementácia proaktívnych a reaktívnych služieb,
--* obvyklé testovanie celého riešenia popri implementácii,
--* zladenie interných procesov riešenia zálohovania s plánom zálohovania vytvoreným na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív).
--
--
--* **Testovanie obsahuje**:
--* testovanie funkcionality riešenia,
--* vulnerability testovanie,
--* testovanie integrácii,
--* pilotnú prevádzku,
--* akceptačné testovanie.
--
--
--* **Nasadenie obsahuje:**
--* nasadenie riešenia do produkčného prostredia, zaškolenie pre celé riešenie
--* prechod na plnú prevádzku.
--
--
--* **Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.
--
--
--* **Podporná aktivita – Publicita a informovanosť** vzhľadom na povahu projektu obsahuje iba povinné položky, t. j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3        Zainteresované strany/Stakeholderi ==
--
--
--|(((
--ID
--)))|(((
--AKTÉR / STAKEHOLDER
--)))|(((
--SUBJEKT
--
--(názov / skratka)
--)))|(((
--ROLA
--
--(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
--)))|(((
--Informačný systém
--
--(MetaIS kód a názov ISVS)
--)))
--|(((
--1.
--)))|(((
--Záchranná služba Košice
--)))|(((
--ZSKE
--)))|(((
--Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
---
--)))
--
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4        Ciele projektu ==
--
--
--
--|(((
--ID
--)))|(((
--
--
--
--Názov cieľa
--)))|(((
--Názov strategického cieľa
--)))|(((
--Spôsob realizácie strategického cieľa
--)))
--|(((
--1
--)))|(((
--RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
--)))|(((
--Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.
--)))|(((
--Implementácia projektu
--)))
--
--**~ **
--
--**~ **
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5        Merateľné ukazovatele (KPI) ==
--
--
--|(((
--ID
--)))|(((
--
--
--
--ID/Názov cieľa
--)))|(((
--Názov
--ukazovateľa (KPI)
--)))|(((
--Merná jednotka
--
--)))|(((
--Čas plnenia
--
--merateľného
--
--ukazovateľa projektu
--)))|(((
--závislosti
--
--merateľného
--
--ukazovateľa
--
--projektu)
--)))|(((
--Príznak rizika
--)))|(((
--Relevancia
--
--k HP
--)))
--|(((
--VÝSTUP
--
--PO095 / PSKPSOI12
--)))|(((
--RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
--)))|(((
--Verejné inštitúcie podporované v
--
--rozvoji kybernetických služieb,
--
--produktov a procesov
--)))|(((
--verejné inštitúcie
--)))|(((
--ku koncu realizácie
--
--hlavných aktivít
--
--projektu
--)))|(((
--1
--)))|(((
--nie
--)))|(((
--n/a
--)))
--|(((
--VÝSLEDOK
--
--PR017 / PSKPRCR11
--)))|(((
--RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy
--)))|(((
--Používatelia nových a vylepšených
--
--verejných digitálnych služieb,
--
--produktov a procesov
--)))|(((
--Používatelia/rok
--)))|(((
-- v rámci udržateľnosti
--
--projektu
--)))|(((
--150
--)))|(((
--nie
--)))|(((
--n/a
--)))
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6        Riziká a závislosti ==
--
--
--Riziká sa nachádzajú v samostatnej prílohe.
--
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7        Stanovenie alternatív v biznisovej vrstve architektúry ==
--
--
--V rámci biznis architektúry sú popísané služby, ktoré by v zmysle § 20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v § 20 zákona o KB, resp. zefektívnia sa existujúce postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami.
--
--Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne:
--
--* zvýšením úrovne governance a vyspelosti procesov riadenia KIB,
--* zvýšením ochrany pred útokmi z externého, ale aj interného prostredia,
--* zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty,
--* zvýšením úrovne ochrany dát, dátových prenosov a komunikácie,
--* zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov.
--
--Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany.
--
--
--__Alternatívy riešenia sú nasledovné__:
--
--**Alternatíva 1:** realizácia KIB** **v rámci tohto projektu.
--
--**Alternatíva 2:** ponechanie realizácie bezpečnostných opatrení a rozvoja KIB  v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.
--
--
--Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy:
--
--* Riadenie aktív a riadenie rizík.
--** Proces evidencie a správy aktív.
--** Proces klasifikácie informácií a kategorizácie IS a sietí.
--** Proces realizácie AR/BIA.
--** Proces rozhodovania ohľadom riadenia identifikovaných rizík.
--* Riadenie prístupov.
--** Proces riadenia identít a prístupov.
--** Proces bezpečného prístupu a viac-faktorovej autentifikácie pri prístupe privilegovaných používateľov k správe IS.
--** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení.
--* Riadenie kontinuity činností.
--** Proces zálohovania.
--** Proces ochrany a redundancie záloh.
--
--
--Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:
--
--* governance KIB a bezpečnostná dokumentácia,
--* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia.
--
--
--V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu) a z aktuálne dostupnými technickými prostriedkami a ľudskými zdrojmi by ZS KE bola schopná zrealizovať a do praxe implementovať len nasledovné biznis funkcie:
--
--* Riadenie aktív a riadenie rizík.
--
--
--Implementácia len tejto biznis funkcie je z pohľadu zabezpečenia ochrany informačných aktív ZS KE a naplnenia legislatívnych požiadaviek absolútne nepostačujúca.
--
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8        Multikriteriálna analýza ==
--
--
--
--|(((
--**// //**
--)))|(((
--KRITÉRIUM
--)))|(((
--ZDÔVODNENIE KRIÉRIA
--)))|(((
--MIRRI (výzva)
--)))|(((
--Organizácia
--)))|(((
--STAKEHOLDER
--
--3
--)))
--|(% rowspan="6" %)(((
--BIZNIS VRSTVA
--
--// //
--)))|(((
--A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením.
--)))|(((
--Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie
--)))|(((
--áno
--)))|(((
--áno
--)))|(((
--
--)))
--|(((
--B Rýchlosť implementácie.
--)))|(((
--Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr
--)))|(((
--áno
--)))|(((
--nie
--)))|(((
--
--)))
--|(((
--C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času
--)))|(((
--Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje
--)))|(((
--áno
--)))|(((
--nie
--)))|(((
--
--)))
--|(((
--Kritérium D (KO)
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))
--|(((
--Kritérium E
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))
--|(((
--Kritérium F
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))
--
--
--
--|(((
--Zoznam kritérií
--)))|(((
--Alternatíva
--
--1
--)))|(((
--Spôsob
--
--dosiahnutia
--)))|(((
--Alternatíva 2
--)))|(((
--Spôsob
--
--dosiahnutia
--)))
--|(((
--Kritérium A
--)))|(((
--áno
--)))|(((
--Projekt zavádza procesy Governance v oblasti KIB
--)))|(((
--čiastočne
--)))|(((
--
--)))
--|(((
--Kritérium B
--)))|(((
--áno
--)))|(((
--Realizácia výzvy je najrýchlejšou možnosťou implementácie
--)))|(((
--nie
--)))|(((
--
--)))
--|(((
--Kritérium C
--)))|(((
--áno
--)))|(((
--Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje
--)))|(((
--nie
--)))|(((
--
--)))
--|(((
--Kritérium D
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))|(((
--
--)))
--
--
--Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu.
--
--// //
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9        Stanovenie alternatív v aplikačnej vrstve architektúry ==
--
--Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti ZSKE.
--
--
--Z pohľadu aplikačnej vrstvy architektúry  je účelom projektu:
--
--* implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia,
--* budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov.
--
--
--**Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:**
--
--* vytváranie bezpečnostného povedomia,
--* vzdelávanie zamestnancov a správcov IS v oblasti kybernetickej bezpečnosti,
--* technologický dozor,
--* vykonávanie bezpečnostných auditov,
--* poskytovanie informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti a prijímanie a zasielanie včasného varovania pred bezpečnostnými incidentmi,
--* riadenie identít a prístupov,
--* vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia.
--
--
--**Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:**
--
--* obnova systémov a dát zo záloh,
--* návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.
--
--
--Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:
--
--* Riadenie aktív a riadenie rizík.
--** Implementácia nástroja na evidenciu aktív (asset management).
--* Riadenie prístupov.
--** Implementácia IDM vrátane 2FA:
--*** Zavedenie 2FA pre privilegovaných používateľov pre prístup k IS a zariadeniam.
--*** Zavedenie autentifikácie zariadení v sieti ZS KE.
--** Riadenie kontinuity činností.
--*** Implementácia nástroja pre zálohovanie.
--*** Implementácia úložiska záloh mimo priestorov umiestnenia primárnej technológie (princíp 3-2-1).
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10     Stanovenie alternatív v technologickej vrstve architektúry ==
--
--Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek.
--
--// //
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
--
--
--|(((
--**ID**
--)))|(((
--**Aktivita/prevádzková dokumentácia (výstup)**
--)))|(((
--**Poznámka**
--)))
--|(((
--1.1
--)))|(((
--Aktualizácia smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti
--)))|(((
--Výstupom aktivity budú aktualizované nasledovné smernice a dokumenty, najmä vo väzbe na implementované technické bezpečnostné riešenia uvedené nižšie v bodoch 2.1 až 2.3:
--
--·        Smernica riadenia prístupových práv a postupy multi-faktorovej autentifikácie.
--
--·        Plán zálohovania (na základe výsledkov RPO v aktivite 1.2) a smernica ohľadom postupov zálohovania.
--
--·        Definovanie stratégie obnovy (na základe výsledkov RTO v aktivite 1.2).
--
--·        Stratégia kybernetickej bezpečnosti.
--
--·        Bezpečnostná politika.
--
--·        Bezpečnostná smernica pre používateľov.
--
--·        Smernica o bezpečnej prevádzke IS pre administrátorov.
--
--·        Smernica pre riadenie informačnej bezpečnosti.
--
--·        Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam ZSKE.
--
--·        Smernica klasifikácie a kategorizácie IS a sietí.
--
--·        Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS.
--)))
--|(((
--1.2
--)))|(((
--Aktualizácia inventarizácie aktív, klasifikácie, kategorizácie a AR/BIA
--)))|(((
--Vykonanie povinnej a pravidelnej (raz ročne) aktualizácie inventarizácie aktív, klasifikácie aktív, kategorizácie IS a sietí a analýzy rizík a analýzy dopadov (AR/BIA) aj so zapojením vlastníkov aktív.  Súčasťou analýzy bude aj určenie RTO a RPO parametrov vlastníkmi aktív a zadefinovanie stratégie obnovy pre jednotlivé IS na základe RTO a plánu zálohovania na základe RPO. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením ZS KE.
--)))
--|(((
--2.1
--)))|(((
--Nástroj na udržiavanie a správu aktív (asset management tool)
--)))|(((
--Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív, napr. formou CMDB databázy.
--)))
--|(((
--2.2
--)))|(((
--Nástroj na riadenie identít a prístupov
--)))|(((
--Centrálny nástroj na riadenie všetkých identít (používateľov IKT ZS KE – cca 750 používateľov) a najmä riadenie (prideľovanie, zmena, odoberanie) prístupov do IS v správe ZS KE. Súčasťou riešenia bude aj:
--
--·        re-konfigurácia a “hardening” existujúceho AD riešenia,
--
--·        SW vybavenie pre multi-faktorovú autentifikáciu privilegovaných používateľov k správe IS (cca 50 privilegovaných používateľov),
--
--·        technologické vybavenie pre autentifikáciu zariadení v sieti ZSKE (802.1x) pre cca 500 zariadení, najmä autentifikačný server (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov.
--)))
--|(((
--2.3
--)))|(((
--Nasadenie nástroja na zálohovanie a uloženie záloh
--)))|(((
--Nasadenie nástroja pre manažovanie a automatické spúšťanie inkrementálnych a plných („full backup“) záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej lokality.
--)))
--
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4.     NÁHĽAD ARCHITEKTÚRY =
--
--
--Náhľad architektúry sa nachádza v dokumente Prístup k projektu.
--
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5.     ROZPOČET A PRÍNOSY =
--
--
--Prínosy projektu sú vypočítané na základe zákona o KB, kde zákonodarca priamo v § 31 ods. 2, písm. c) ohodnotil porušenie niektorých povinností pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR.
--
--
--Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie riadenia informačnej a kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál).
--
--Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom.
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1        Sumarizácia nákladov a prínosov ==
--
--
--|(((
--Náklady
--)))|(((
--Názov modulu
--)))|(((
--Názov modulu
--)))|(((
--Názov modulu
--)))
--|(((
--**Všeobecný materiál**
--)))|(((
--Nástroj na udržiavanie a správu aktív (asset management tool)
--)))|(((
--Nástroj na riadenie identít a prístupov
--)))|(((
--Nástroj na zálohovanie a uloženie záloh
--)))
--|(((
--**IT - CAPEX**
--)))|(((
-- 32.887 EUR
--)))|(((
-- 28.080 EUR
--)))|(((
--202.446 EUR
--)))
--|(((
--Aplikácie
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--|(((
--SW
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--|(((
--HW
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--|(((
--**IT - OPEX- prevádzka**
--)))|(((
--50 EUR
--)))|(((
-- 2400 EUR
--)))|(((
-- 2000 EUR
--)))
--|(((
--Aplikácie
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--|(((
--SW
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--|(((
--HW
--)))|(((
--
--)))|(((
--
--)))|(((
--// //
--)))
--
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
--
--
--
--|(((
--ID
--)))|(((
--FÁZA/AKTIVITA
--)))|(((
--ZAČIATOK
--
--(odhad termínu)
--)))|(((
--KONIEC
--
--(odhad termínu)
--)))
--|(((
--1.
--)))|(((
--Prípravná fáza a Iniciačná fáza
--)))|(((
--06/2024
--)))|(((
--10/2024
--)))
--|(((
--2.
--)))|(((
--Realizačná fáza
--)))|(((
--11/2024
--)))|(((
--04/2026
--)))
--|(((
--2a
--)))|(((
--Analýza a Dizajn
--)))|(((
--11/2024
--)))|(((
--04/2025
--)))
--|(((
--2b
--)))|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--01/2025
--)))|(((
--06/2025
--)))
--|(((
--2c
--)))|(((
--Implementácia a testovanie
--)))|(((
--05/2025
--)))|(((
--12/2025
--)))
--|(((
--2d
--)))|(((
--Nasadenie
--)))|(((
--11/2025
--)))|(((
--02/2026
--)))
--|(((
--3.
--)))|(((
--Dokončovacia fáza
--)))|(((
--01/2026
--)))|(((
--04/2026
--)))
--|(((
--4.
--)))|(((
--Podpora prevádzky (SLA)
--)))|(((
--04/2026
--)))|(((
--04/2030
--)))
--
--
--,
--
--// //
--
--// //
--
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7.     PROJEKTOVÝ TÍM =
--
--
--Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení:
--
--Predseda RV
--
--Biznis vlastník
--
--Zástupca prevádzky
--
--Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
--
--Projektový manažér objednávateľa (PM)
--
--
--
--
--|(((
--ID
--)))|(((
--Meno a Priezvisko
--)))|(((
--Pozícia
--)))|(((
--Rola v projekte
--)))
--|(((
--1.
--)))|(((
--Erik Bašista
--)))|(((
--odborný zamestnanec
--)))|(((
--Projektový manažér
--)))
--|(((
--2.
--)))|(((
--Tomáš Tomčík
--)))|(((
--odborný zamestnanec IT
--)))|(((
--Systémový manažér
--)))
--|(((
--3.
--)))|(((
--Pavol Sokol
--)))|(((
--odborný zamestnanec IT
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))
--
--
--== {{id name="projekt_2813_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1        PRACOVNÉ NÁPLNE ==
--
--
--__Riadiaci výbor projektu budú tvoriť:__
--
--Členovia Riadiaceho výboru s hlasovacím právom:
--
--* predseda Riadiaceho výboru projektu
--* manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV,
--* zástupca prevádzky
--
--
--Členovia Riadiaceho výboru bez hlasovacieho práva:
--
--* projektový manažér prijímateľa
--* projektový manažér dodávateľa
--* zástupca dodávateľa
--
--
--Určenie zodpovednosti členov Riadiaceho výboru
--
--Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:
--
--* celkovo zodpovedať za projekt,
--* kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,
--* zabezpečiť a udržať finančné a personálne krytie realizácie projektu,
--* zabezpečiť nákladovo prijateľný prístup v projekte,
--
--Hlavným záujmom a zodpovednosťou biznis vlastníka je:
--
--* schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,
--* definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na
--* bezpečnosť,
--* definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,
--* schválenie akceptačných kritérií,
--* odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,
--* dostupnosť ľudských zdrojov alokovaných na realizáciu projektu
--
--Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je:
--
--* návrh riešenia, vytvorenie, vývoj, implementáciu, otestovanie a nasadenie projektových produktov,
--* zodpovedá za plnenie a dodávku predmetu projektu v zmluvne dohodnutom rozsahu, čase, kvalite a nákladoch,
--
--.
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-8.Legislatíva"/}}8.     Legislatíva =
--
--V rámci platnej legislatívy nie je nutná zmeny legislatívy.
--
--
--Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou, najmä s:
--
--
--Zákonom č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov,
--
--Zákonom č.95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov,
--
--Vyhláškou č.401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy,
--
--Vyhláškou č.78/2020 Z. z. o štandardoch pre ITVS,
--
--Vyhláškou č.179/2020 Z. z. o obsahu bezpečnostných opatrení ITVS,
--
--Vyhláškou 362/2018 Z .z. o obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení).
--
--= {{id name="projekt_2813_Projektovy_zamer_detailny-9.PRÍLOHY"/}}9.     PRÍLOHY =
--
--
--**Príloha: **Zoznam rizík a závislostí (Excel)
--
--**Príloha:** Katalóg požiadaviek
--
--// //
--
--

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155323950
++155323952

Zmeny dokumentu projekt_2813_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?