Naposledy upravil Juraj Kottner 2025/01/26 16:12
Z verzie 44.5
upravil Juraj Kottner
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 45.6
upravil Juraj Kottner
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -329,7 +329,7 @@
329 329  ** Obstaranie nástroja na zabezpečenie kontinuity prevádzky a zabezpečenia testov plánov kontinuity prevádzky v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania; implementácia systému zálohovania.
330 330  ** implementácia systému zálohovania.
331 331  
332 -**Druhá aktivita – Kontinuita prevádzky**
332 +**Druhá aktivita – Kontinuita prevádzky**
333 333  
334 334  **Uvedenú oblasť plánuje žiadateľ zabezpečiť obstaraním a nasadením nástrojov na zálohovanie, uloženie záloh a obnovy záloh v kombinácií s zvýšením bezpečnostných opatrení v oblastí zálohovania a kontinuity prevádzky.**
335 335  
... ... @@ -518,14 +518,32 @@
518 518  
519 519  **Alternatíva 1:**
520 520  
521 -Biznis alternatíva 1 predstavuje ponechanie existujúceho stavu informačnej a kybernetickej bezpečnosti Žiadateľa.
521 +Biznis alternatíva 1 predstavuje ponechanie existujúceho stavu informačnej a kybernetickej bezpečnosti Žiadateľa a nevýhodou je ponechanie stavu, konkrétne:
522 522  
523 +* **Nesúlad voči zákonu č. 69/2018 Z. z - **Výsledky z auditu kybernetickej bezpečnosti preukázali veľké nedostatky a to najmä v oblastiach uvedených nižšie. Žiadateľ je povinný vykonať opatrenia, ktoré mu ukladá zákon.
524 +* **Nedostatková oblasť Sieťová a komunikačná bezpečnosť - **Žiadateľ aktuálne využíva bezpečnostné prvky ako Firewall 4 ks a sieťové switche 4ks dlho po dobe životnosti, bez oficiálnej podpory výrobcu a s už dlhdoobo známimi bezpečnostnými zraniteľnosťami, na ktoré už výrobca neposkytuje bezpečnostnú aktualizáciu. Zároveň v rámci infraštruktúry absentuje aktívna forma kontroly a systém, ktorý by dokázal včas upozorniť Žiadateľa o možnom probléme alebo útoku. Jedná sa o veľmi vysoké riziko a veľmi závažným dopadom.
525 +* **Nedostatková oblasť Zaznamenávanie udalostí a monitorovanie - **Žiadateľ nemá centrálny systém zaznamenávania logov a nemá možnosť získavať plošné oznámenia o stave infraštruktúry. Existujú čiastkové riešenia v zmysle jednotlivých projektov, avšak v prípade kybernetického incidentu by bolo veľmi náročné dohľadávať informácie a následne ich analyzovať.
526 +* **Nedostatková oblasť Kontinuita prevádzky - **Žiadateľ disponuje čiastkovým riešením zálohovania avšak ten nepostačuje na komplexné zabezpečenie kontinuity prevádzky. Nie je zabezpečený komplexný a jednotný systém zálohovania, obnovy a testovania týchto procesov. V prípade rozsiahleho ransomware útoku nie je možné garantovať obnovu všetkých dát a ani kontrolu integrity všetkých obnovených dát.
527 +* **Nedostatková oblasť Riešenie kybernetických bezpečnostných incidentov - **Žiadateľ nemá zabezpečenú oblasť riadenia a správy kybenretických incidentov čo okrem iného z dhodobého hľadiska predstavuje veľké riziko nevhodného pristupovania počas a po kybernetickom útoku a zamedzuje tak vhodne pristúpiť k riešeniu kritickej situácií.
528 +* **Nedostatková oblasť Riadenie rizík - **Žiadateľ nemá zabezpečenú oblasť riadenia a správy rízík a zraniteľností, ako aj správu aktív a z toho vyplývajúcich problémov. Žiadateľ nemá zabezpečenú možnosť dostatočne včas preventívne reagovať na možné riziká a zraniteľnosti a zamedziť tak skutočnému potenciálnemu kybernetickému incidentu.
529 +* **Nedostatková oblasť Bezpečnosť pri prevádzke informačných systémov a sietí - **Žiadateľ nemá zabezpečenú oblasť správy prevádzky informačných systémov do takej miery, aby bolo možné efektívne využívať moderné systémy na správu infraštruktúrneho vybavenia, konfigurácií, dokumentácií a znalostných databáz a zabezpečiť tak best practice pri prevádzke informačných systémov.
530 +* **Nedostatková oblasť Riadenie prístupov - **Žiadateľ nema zavedený komplexný systém riadenia prístupov, ktorý by vedel zabezpečiť dodržiavanie oprávnení v zmysle požiadaviek na jednmotlivé systémy. Existujúce formy riadenia sú prevažne lokálneho charakteru bez možnosti centrálnej správy a yeda aj centrálneho sledovania. Vzhľadom na potreby Žiadateľa sa jedná o veľký nedostatok zabezpečiť bezpečný efektívny prístup k dátam a systémom pre tých ktorý ho v čase potrebujú bez ohrozenia všeobecnej bezpečnosti daných dát a systémov.
523 523  
532 +Výhodou alternatívy je žiadny náklad na preventívne opatrenia a zamedzovaniu kybernetickým incidentom.
533 +
534 +
535 +
524 524  **Alternatíva 2:**
525 525  
526 -Biznis alternatíva 2 predstavuje implementáciu všetkých projektom navrhovaných aktivít pre pokrytie všetkých nedostatkových oblastí.
538 +Biznis alternatíva 2 predstavuje implementáciu všetkých projektom navrhovaných aktivít:
527 527  
540 +* **Prvá aktivita – Bezpečnosť siete a XDR**
541 +* **Druhá aktivita – Kontinuita prevádzky**
542 +* **Tretia aktivita – Riadenie rizík a konfiguračný manažment IT aktív**
543 +* **Štvrtá aktivita - Riadenie prístupov a podporný management**
528 528  
545 +Pre pokrytie všetkých nedostatkových oblastí:
546 +
529 529  * **Sieťová a komunikačná bezpečnosť**
530 530  * **Zaznamenávanie udalostí a monitorovanie**
531 531  * **Riešenie kybernetických bezpečnostných incidentov**
... ... @@ -534,16 +534,37 @@
534 534  * **Bezpečnosť pri prevádzke informačných systémov a sietí**
535 535  * **Riadenie prístupov**
536 536  
555 +
556 +**Výhodou** alternatívy je väčšie percento splnenia súladu voči zákonu č. 69/2018 Z. z, ako aj zabezpečenie vyššej miery kybernetickej bezpečnosti oproti aktuálnemu stavu, zavedenie nových systémov na ochranu voči kybernetickým útokom, možnosť obnovy dát, zníženie času výpadku systémov znížením času obnovenia prevádzky a zabezpečenia tak kontinuity prevádzky, včas a adekvátne reagovať na kritické situácie, podporenie bezpečnosti a prevádzky informačných systémov, podporenie správy znalostnej databázy a správy konfugurácie a  riadenie rizík, riadenie prístupov a zabezpečenie prístupu k systémom a dátam pre tých ktorý ho v čase potrebujú bez ohrozenia všeobecnej bezpečnosti.
557 +
558 +
559 +**Nevýhodou** alternatívy je vyššia obstarávacia cena a následná cena prevádzky ako pre alternatévu 3, potreba zvýšenia kvalifikácie IT technických zamestnancov a potreba zavedenia nových bezpečnostných štandardov do procesov a pracovného výkonu.
560 +
561 +
537 537  **Alternatíva 3:**
538 538  
539 -Biznis alternatíva 3 predstavuje implementáciu podmnožiny projektom navrhovaných aktivít pre pokrytie vybraných nedostatkových oblastí.
564 +Biznis alternatíva 3 predstavuje implementáciu podmnožiny projektom navrhovaných aktivít:
540 540  
566 +* **Druhá aktivita – Kontinuita prevádzky**
567 +* **Tretia aktivita – Riadenie rizík a konfiguračný manažment IT aktív**
541 541  
569 +pre pokrytie vybraných nedostatkových oblastí:
570 +
571 +* **Sieťová a komunikačná bezpečnosť**
542 542  * **Zaznamenávanie udalostí a monitorovanie**
543 543  * **Riešenie kybernetických bezpečnostných incidentov**
574 +* **Kontinuita prevádzky**
544 544  * **Riadenie rizík**
545 545  * **Bezpečnosť pri prevádzke informačných systémov a sietí**
577 +* **Riadenie prístupov**
546 546  
579 +
580 +**Výhodou** alternatívy je navýšenie percenta splnenia súladu voči zákonu č. 69/2018 Z. z, ako aj zabezpečenie vyššej miery kybernetickej bezpečnosti oproti aktuálnemu stavu, podporenie bezpečnosti a prevádzky informačných systémov, podporenie správy znalostnej databázy a správy konfugurácie a  riadenie rizík, riadenie prístupov a zabezpečenie prístupu k systémom a dátam pre tých ktorý ho v čase potrebujú bez ohrozenia všeobecnej bezpečnosti. a nižšia obstarávacie a prevádzkové náklady oproti alternatíve 2.
581 +
582 +
583 +**Nevýhodou** alternatívy je obstarávacia cena a následná cena prevádzky, potreba zvýšenia kvalifikácie IT technických zamestnancov a potreba zavedenia nových bezpečnostných štandardov do procesov a pracovného výkonu.
584 +
585 +
547 547  == {{id name="_Toc152607316"/}}{{id name="_Toc272880027"/}}{{id name="_Toc1555402845"/}}{{id name="_Toc202773756"/}}{{id name="_Toc184325397"/}}{{id name="_Toc668554681"/}}{{id name="_Toc1254416069"/}}{{id name="_Toc1027950788"/}}{{id name="_Toc1148271670"/}}{{id name="_Toc113941326"/}}{{id name="_Toc531942663"/}}{{id name="_Toc154507425"/}}3.9Multikriteriálna analýza ==
548 548  
549 549  
... ... @@ -550,13 +550,20 @@
550 550  Spracovanie MCA:
551 551  
552 552  | |KRITÉRIUM|ZDÔVODNENIE KRIÉRIA|Žiadateľ|Zamestnanec|Občan/Podnikateľ
553 -|(% rowspan="3" %)(((
592 +|(% colspan="1" rowspan="10" %)(((
554 554  BIZNIS VRSTVA
555 555  
556 556  
557 -)))|Odstrániť najkritickejšie zistenia a zabezpečiť systémy Žiadateľa s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z A (KO)|Ministerstvo kultúry Slovenskej republiky, Nám. SNP č. 33, 813 31 Bratislava – Staré Mesto ( ďalej len „MKSR") je zapísané do registra prevádzkovateľov základnej služby|X|X|
596 +)))|Zvýšiť percento súladu a odstrániť tak niektoré najkritickejšie zistenia a zabezpečiť systémy Žiadateľa s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z A (KO)|Ministerstvo kultúry Slovenskej republiky, Nám. SNP č. 33, 813 31 Bratislava – Staré Mesto ( ďalej len „MKSR") je zapísané do registra prevádzkovateľov základnej služby|X|X|
558 558  |Súlad s výzvou a jej podmienkami a najmä výška NFP B (KO)|Projekt je v súlade s výzvou a nie je možné v prípade ŽoNFP nespĺňať jej stanovené kritéria pre úspešné získanie NFP|X|X|
559 559  |Zvýšenie úrovne informačnej a kybernetickej bezpečnosti C (KO)|Jedná sa o hlavný sieľ projektu na ktorý sú nmapované jho merateľné ukazovatele a všetky aktivity projektu|X|X|X
599 +|Zabezpečiť oblasť Sieťová a komunikačná bezpečnosť D|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|X
600 +|Zabezpečiť oblasť Zaznamenávanie udalostí a monitorovanie E|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|
601 +|Zabezpečiť oblasť Kontinuita prevádzky F|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|X
602 +|Zabezpečiť oblasť Riešenie kybernetických bezpečnostných incidentov G|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|X
603 +|Zabezpečiť oblasť Riadenie rizík H|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|
604 +|Zabezpečiť oblasť Bezpečnosť pri prevádzke informačných systémov a sietí I|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|
605 +|Zabezpečiť oblasť Riadenie prístupov J|Jedná sa o oblasť s vysokým nesúladom predstavujúcu vážne bezpečnostné riziko|X|X|
560 560  
561 561  Vyhodnotenie MCA:
562 562  
... ... @@ -577,9 +577,16 @@
577 577  
578 578  dosiahnutia
579 579  )))
580 -|Kritérium A|Nie|Nedosahuje|Áno|Odstránia sa hlavné kritické nedostatky z auditu v zmysle zákona č.69/2018 Z.z|Nie|Neodstránia sa hlavné kritické nedostatky z auditu v zmysle zákona č.69/2018 Z.z
626 +|Kritérium A|Nie|Nedosahuje|Áno|Zvýši sa percento súladu a odstránia sa niektoré kritické nedostatky z auditu v zmysle zákona č.69/2018 Z.z|Áno|Zvýši sa percento súladu a odstránia sa niektoré kritické nedostatky z auditu v zmysle zákona č.69/2018 Z.z
581 581  |Kritérium B|Áno|Nie je v rozpore sa nezapojiť do výzvy|Áno|Je v súlade s podmienkami výzvy|Áno|Je v súlade s podmienkami výzvy
582 582  |Kritérium C|Nie|Nedosahuje|Áno|Úroven informačnej a kybernetickej bezpečnosti sa zvýši|Áno|Úroven informačnej a kybernetickej bezpečnosti sa zvýši
629 +|Kritérium D|Nie|Nedosahuje|Áno|Implementácia aktivity Bezpečnosť siete a XDR|Nie|
630 +|Kritérium E|Nie|Nedosahuje|Áno|Implementácia aktivity Bezpečnosť siete a XDR|Nie|
631 +|Kritérium F|Nie|Nedosahuje|Áno|Implementácia aktivity Kontinuita prevádzky|Nie|
632 +|Kritérium G|Nie|Nedosahuje|Áno|Implementácia aktivity Bezpečnosť siete a XDR|Nie|
633 +|Kritérium H|Nie|Nedosahuje|Áno|Implementácia aktivity Riadenie rizík a konfiguračný manažment IT aktív|Áno|Implementácia aktivity Riadenie rizík a konfiguračný manažment IT aktív
634 +|Kritérium I|Nie|Nedosahuje|Áno|Implementácia aktivity Riadenie rizík a konfiguračný manažment IT aktív|Áno|Implementácia aktivity Riadenie rizík a konfiguračný manažment IT aktív
635 +|Kritérium J|Nie|Nedosahuje|Áno|Implementácia aktivity Riadenie prístupov a podporný management|Áno|Implementácia aktivity Riadenie prístupov a podporný management
583 583  
584 584  Prostredníctvom MCA zostavenej na základe kapitoly Motivácia, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov vychádza ako **najvhodnejšia a jediná v zmysle splnenia KO kritérií Alternatíva 1**, ktorá predstavuje implementáciu Žiadateľom navrhovaného projektu v plnom rozsahu.
585 585  
... ... @@ -757,7 +757,7 @@
757 757  
758 758  Z pohľadu predmetu projektu je dotknutá nasledovná legislatíva v rámci SR:
759 759  
760 -*
813 +*
761 761  ** Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
762 762  ** Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení  neskorších predpisov;
763 763  ** Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;