pristup_k_projektu

1. Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.

16

1. Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej bezpečnosti.

17

1. Bude aktualizovaný stav bezpečnostného výboru organizácie.

18

1. Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.

\\

**Čiastková činnosť b) Softvér na automatizované riadenie rizík KB, **

23

24

Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje nasledovný cieľový stav:

25

26

1. Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a integritu (EAM).

27

1. Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

28

1. Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).

29

1. Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.

30

31

* Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.

32

* Sú identifikované všetky aktíva súvisiace so zariadením na spracovanie informácií a centrálne zaznamenávanie inventára týchto aktív podľa ich hodnoty a s určením ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu (EAM).

33

* **Sú automatizovane pomocou nástroja riadené riziká** skladajúce sa z identifikácie zraniteľností, identifikácie hrozieb, identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenie vlastníka rizika a implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácií prijatých bezpečnostných opatrení.

34

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre inventarizáciu aktív (EAM/GRC).

35

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu hrozieb (GRC).

36

* Je implementovaný automatizovaný riadiaci a evidenčný systém pre katalogizáciu rizík a opatrení (GRC).- predpokladaná prácnosť v človekodňoch: 80

\\

__Nástroj na riadenie zistených aktív a rizík bude poskytovať nasledujúce funkcionality:__

41

42

* Evidenciu aktív, rizík i hrozieb,

43

* Automatické hodnotenie a kalkulácia rizík a hrozieb,

44

* Zvládanie opatrení navrhnutá softvérovo,

45

* Automatická detekcia znižovania rizík a rekvalifikácia pôvodných aktív a hrozieb,

46

* Automatické generovanie podkladov pre audit,

47

* Integrácia s ostatnými systémami pre automatické zakladanie aktív,

48

* Podpora štandardov ISO27001, KyBe (NIS2), TISAX, DORA,

49

* Generovanie dokumentov ZHR, POA a PZR pre audit,

50

* Notifikácia opatrení,

\\

\\

**Čiastková činnosť c) Personálna bezpečnosť, **

57

58

Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:

59

60

1. Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia

61

1. Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania

62

1. Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia

63

1. Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky

64

1. Budú zavedené postupy na ukončenie pracovného pomeru

65

1. Budú zavedené postupy pre prípady porušenia bezpečnostných politík

66

1. Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov

67

1. Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované prostredníctvom interného riadiaceho aktu.

68

1. Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.

\\

**Čiastková aktivita k) Softvér na zaznamenávanie udalostí a monitoring sietí a IS, ** Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový stav:

73

74

1. Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.

75

1. Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie, spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.

76

1. Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.

77

78

* Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.

**~ **

**Softvér na zaznamenávanie udalostí a monitoring sietí a IS bude spĺňať minimálne nasledovné požiadavky:**

83

84

**LogManagement s neobmedzeným zberom logov vrátane HW**

85

86

* Spracovanie udalostí z rôznych zdrojov logov naprieč výrobcami aplikácií, operačných systémov a sieťového hardvéru,

87

* Možnosť dopísania parseru pre zariadenie aktuálne nepodporované výrobcom bez nutnosti spolupráce s výrobcom alebo dodávateľom (vr. subdodávateľov) ponúkaného systému,

88

* Systém štandardizuje prijaté logy do jednotného formátu a logy sú parserované

89

90

(rozdeľované) do príslušných políčok podľa ich typu,

91

92

* Nad takto štandardizovanými dátami systém automaticky vytvára indexy pre rýchlejšie vyhľadávanie pre všetky polia štandardizovaného logu,

93

* Všetky rozparsované položky prijaté systémom sú automaticky indexované. Nad všetkými položkami je možné ihneď vykonávať vyhľadávanie bez nutnosti dodatočného ručného indexovania administrátorom,

94

* Systém nesmie umožniť mazanie alebo modifikovanie už uložených logov,

95

* Konsolidácia logov na centrálnom mieste,

96

* Jednoduché vyhľadávanie udalostí (ad hoc) bez nutnosti programovania,

97

* Grafické znázornenie udalostí (grafy udalostí),

98

* Grafické znázornenie TOP udalostí nad všetkými dátami za určité časové obdobie, • Automatické doplňovanie GeoIP informácií k udalostiam a ich grafické znázornenie na mape,

99

* Automatické doplňovanie reverzných DNS záznamov k IP adresám,

100

* V prípade preťaženia systému sú udalosti ukladané do vyrovnávacej pamäte,

101

* Unifikované vyhľadávanie naprieč všetkými typmi dát a zariadení,

102

* HW dimenzovaný na zber logov aspoň po dobu 12 mesiacov,

103

* HW vrátane virtualizačného riešenia,

104

105

**__Zdôvodnenie nevyhnutnosti výdavku:__**

106

107

Vo štvrtom štvrťroku 2024 nadobudne účinnosť nová legislatívna úprava premietajúca smernicu EÚ NIS2.

\\

__Nová povinnosť riadiť riziká dopadne na oveľa širší okruh subjektov, než tomu bolo doteraz.__

112

113

__Pre tieto subjekty je určený systém zberu a riadenia logov s online vyhodnocovaním a__ __napojením na systém riadenia rizík.__ Tým sa zabezpečí neustály prehľad o možných hrozbách, ich včasná identifikácia a zhodnotenie, ako aj návrh riešení pri riadení rizík. Toto riešenie popisuje možnosti pre vybudovanie centrálnej platformy, ktorá bude v prvej fáze zameraná na zber logov pomocou sofistikovaného nástroja, ich parsovanie a vyhodnocovanie na základe jednotlivých scenárov podľa nariadenia NIS2, aby sa zabezpečil bezpečný chod a včasná detekcia hrozieb všetkých organizácií. Systém bude obsahovať aj samotné riadenie aktív a rizík, aby detekované problémy boli automaticky zachytené v samostatnom systéme, kde prebehne ich vyhodnotenie. Riešenie bude realizované na výkonnom serveri tzv. „ALL in one box“. Dôležitou časťou inštalácie je konfigurácia technických aktív, aby zasielali relevantné záznamy.

\\

\\

**__Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva__ __(ktorých je 36) využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak__ __sa stane terčom kybernetického útoku, ohrozuje fungovanie IS ÚVZ ako celku a môže__ __spôsobiť odstavenie celého systému. V dôsledku toho je nevyhnutné, aby navrhovaným__ __systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ. __**

\\

Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú vizualizáciu.

\\

Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík a ich okamžitej náprave.

\\

__Z pohľadu kompletného zberu logov bude vyhodnocované:__

132

133

* //prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov//

134

* //vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti//

135

* //manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami//

136

* //neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení//

137

* //začatie a ukončenie činností technických aktív//

138

* //kritické a chybové hlásenia technických aktív//

139

* //prístup a neúspešný pokus o prístup k záznamom udalostí//

140

* //manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí//

141

* //zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí//

142

* //ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.//

\\

\\

**Čiastková činnosť o) Audítorská a kontrolná činnosť, **

149

150

Na základe zistených nedostatkov v oblasti audítorských a kontrolných činností sa stanovuje nasledovný cieľový stav:

151

152

1. Bude vypracovaný program hodnotenia bezpečnosti pre definované informačné technológie verejnej správy, hodnotenie zraniteľnosti a penetračné testy.

153

1. Bude realizovaný audit kybernetickej bezpečnosti, ktorý sa vykonáva v súlade so zákonom o kybernetickej bezpečnosti a smernicou NIS2.

154

1. Budú vykonávané pravidelné externé testy zraniteľnosti, penetračné testy v nevyhnutnom rozsahu.

155

1. Automatizované nástroje budú implementované a používané na technickú podporu riadenia bezpečnosti a audítorských činností.

156

1. Podporné nástroje pre správu budú naplnené údajmi o existencii a stave technických a aplikačných aktív automatizovaným a technickým spôsobom.

157

1. Základ pre audítorské a kontrolné činnosti bude vytvorený technicky na základe skutočného prevádzkového stavu majetku s prípustným oneskorením do 10 minút.

158

1. Dokumenty pre audítorské a kontrolné činnosti budú vždy obsahovať technické diferenčné správy s presným vyznačením zmien vstupov z predchádzajúceho obdobia.

159

1. Podporné nástroje pre správu minimalizujú ľudské chyby a maximálne využívajú napojenie existujúcich informácií o aktívach a používateľoch na technické zdroje – najmä MS Active Directory, API prístup do systému Log Management a importy výstupov zraniteľnosti.

\\

Tieto bezpečnostné opatrenia budú realizované v zmysle schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. RÚVZ je povinný preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

\\

\\

(% class="" %)|(((

Architektúra riešenia projektu na úrovni biznis vrstvy

171

)))|(((

172

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

173

174

**žiadateľa nerelevantný**

175

)))

176

(% class="" %)|(((

177

Architektúra riešenia projektu na úrovni aplikačnej vrstvy

178

)))|(((

179

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

180

181

**žiadateľa nerelevantný**

182

)))

183

(% class="" %)|(((

184

Architektúra riešenia projektu na úrovni dátovej vrstvy

185

)))|(((

186

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

187

188

**žiadateľa nerelevantný**

189

)))

190

(% class="" %)|(((

191

Architektúra riešenia projektu na úrovni technologickej vrstvy

192

)))|(((

193

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

194

195

**žiadateľa nerelevantný**

196

)))

197

(% class="" %)|(((

198

Infraštruktúra navrhovaného riešenia

199

)))|(((

200

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

201

202

**žiadateľa nerelevantný**

203

)))

204

(% class="" %)|(((

205

Bezpečnostná architektúra

206

)))|(((

207

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

208

209

**žiadateľa nerelevantný**

210

)))

211

(% class="" %)|(((

212

Špecifikácia údajov spracovaných v projekte, čistenie údajov

213

)))|(((

214

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

215

216

**žiadateľa nerelevantný**

217

)))

218

(% class="" %)|(((

219

Závislosti na ostatné IS/Projekty

)))|(((

**Áno**

)))

(% class="" %)|(((

Zdrojové kódy

)))|(((

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

227

228

**žiadateľa nerelevantný**

229

)))

230

(% class="" %)|(((

231

Prevádzka a údržba výstupov projektu

232

)))|(((

233

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

234

235

**žiadateľa nerelevantný**

236

)))

237

(% class="" %)|(((

238

Požiadavky na personál

239

)))|(((

240

**V rámci projektu nie sú realizované technické riešenia, preto je tento opis pre**

241

242

**žiadateľa nerelevantný**

243

)))

244

(% class="" %)|(((

245

Implementácia a preberanie výstupov projektu

)))|(((

**Áno**

)))

**// //**

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

= {{id name="projekt_2837_Pristup_k_projektu_detailny-ZÁVISLOSTINAOSTATNÝCHIS"/}}ZÁVISLOSTI NA OSTATNÝCH IS =

**// //**

**// //**

ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ. Všetky informácie sú spracúvané v IS ÚVZ, prístupovým bodom pre verejnosť je Portál úradov.

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

\\

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

**~ **

= {{id name="projekt_2837_Pristup_k_projektu_detailny-IMPLEMENTÁCIAAPREBERANIEVÝSTUPOV"/}}IMPLEMENTÁCIA A PREBERANIE VÝSTUPOV =

**~ **

Projekt bude realizovaný metódou Waterfall:

343

344

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

\\

\\

\\

\\

\\

Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.

359

360

Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.

361

362

Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej.

363

364

__Tieto fázy sú nasledovné:__

365

366

1. Požiadavky (Requirements):* - V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.

367

1. Analýza systému (System Design): - Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované požiadavky.

368

1. Implementácia (Implementation): - Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.

369

1. Integrácia a testovanie (Integration and Testing): - V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných, integračných a systémových testov.

370

1. Nasadenie (Deployment): - Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie používateľov a prípravu dokumentácie pre používateľov.

371

1. Údržba (Maintenance): - Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe spätnej väzby od používateľov a meniace sa požiadavky.

372

373

**Výhody Waterfall modelu**: - Jednoduchosť a jasná štruktúra: Každá fáza má jasne definovaný začiatok a koniec. - Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované. - Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu. Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú dynamickým a meniacim sa požiadavkám projektov.

**~ **

**Kvantitatívne prínosy projektu: **

378

379

* Zníženie nákladov spojených so sanáciou KBU/KBI

380

* Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI

381