projekt_2529_Projektovy_zamer_detailny

= {{id name="projekt_2529_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

107

108

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

\\

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

BEZP

)))|(((

Bezpečnosť/Bezpečnostný

)))

(% class="" %)|(((

EDR

)))|(((

Endpoint Detection & Response

)))

(% class="" %)|(((

EPP

)))|(((

Endpoint protection

)))

(% class="" %)|(((

FW

)))|(((

Firewall

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

IKT

)))|(((

Informačno-komunikačné technológie

)))

(% class="" %)|(((

IRA

)))|(((

Interný riadiaci akt

)))

(% class="" %)|(((

IS

)))|(((

Informačný systém

)))

(% class="" %)|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

IT

)))|(((

Informačné technológie

)))

(% class="" %)|(((

KB

)))|(((

Kybernetická bezpečnosť

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

NGFW

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

RACI

)))|(((

responsible, accountable, consulted, and informed

)))

(% class="" %)|(((

R OIT

)))|(((

Riaditeľ odboru IT (vedúci zamestnanec na úseku IT)

)))

(% class="" %)|(((

SIEM

)))|(((

Security Information and Event Management

)))

(% class="" %)|(((

SOC

)))|(((

Security Operations Center

)))

(% class="" %)|(((

SPoF

)))|(((

Single Point of Failure

)))

(% class="" %)|(((

SW

)))|(((

Softvér

)))

(% class="" %)|(((

UTM

)))|(((

Unified Threat Management

)))

== {{id name="projekt_2529_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

\\

**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:

**FRxx**

* U – užívateľská požiadavka

237

* R – označenie požiadavky

238

* xx – číslo požiadavky

239

240

**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:

**NRxx**

* N – nefukčná požiadavka (NFR)

245

* R – označenie požiadavky

246

* xx – číslo požiadavky

247

248

Ostatné typy požiadaviek môžu byť ďalej definované PM.

**// //**

= {{id name="projekt_2529_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

257

258

Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).

259

260

Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie samosprávy ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia samosprávy je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.

261

262

Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT obce Bernolákovo, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.

263

264

Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia obce Bernolákovo a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti samosprávnych subjektov. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:

265

266

1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;

267

1. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;

268

1. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;

269

1. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;

270

1. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;

271

1. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.

272

273

Obec Bernolákovo má dodávateľsky zavedené a implementované bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 3 zákona o kybernetickej bezpečnosti minimálne v rozsahu:

274

275

1. organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

276

1. riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

277

1. personálnej bezpečnosti,

278

1. riadenia prístupov,

279

1. riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

280

1. bezpečnosti pri prevádzke informačných systémov a sietí,

281

1. hodnotenia zraniteľností a bezpečnostných aktualizácií,

282

1. ochrany proti škodlivému kódu,

283

1. sieťovej a komunikačnej bezpečnosti,

284

1. akvizície, vývoja a údržby informačných sietí a informačných systémov,

285

1. zaznamenávania udalostí a monitorovania,

286

1. fyzickej bezpečnosti a bezpečnosti prostredia,

287

1. riešenia kybernetických bezpečnostných incidentov,

288

1. kryptografických opatrení,

289

1. kontinuity prevádzky,

290

1. auditu, riadenia súladu a kontrolných činností.

291

292

Bezpečnostné opatrenia v súlade s ustanovením § 20 ods. 4 zákona o kybernetickej bezpečnosti zahŕňajú najmenej:

293

294

1. detekciu kybernetických bezpečnostných incidentov,

295

1. evidenciu kybernetických bezpečnostných incidentov,

296

1. postupy riešenia a riešenie kybernetických bezpečnostných incidentov,

297

1. určenie kontaktnej osoby pre prijímanie a evidenciu hlásení,

298

1. prepojenie do komunikačného systému pre hlásenie a riešenie kybernetických bezpečnostných incidentov a centrálneho systému včasného varovania

299

300

Jednotlivé subjekty verejnej správy a samosprávy ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Obec napriek svojim výrazným odborným a finančným limitom je sama zodpovedná za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.

301

302

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

303

304

1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

305

306

2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26

307

308

3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

\\

**Realizované aktivity z množiny oprávnených aktivít výzvy:**

317

318

Obec Bernolákovo deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:

319

320

1. vytvorenú stratégiu kybernetickej bezpečnosti,

321

1. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,

322

1. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,

323

1. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

\\

Obec Bernolákovo má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti, ktorý však nepredstavuje ucelenú a systematicky aktualizovanú koncepciu. V zmysle samohodnotenia prevádzkovateľa základnej služby (obce) vykonanej zazmluvneným externým manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom obce, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.

\\

**Realizované podaktivity z množiny oprávnených podaktivít výzvy:**

332

333

1. Organizácia kybernetickej a informačnej bezpečnosti

334

11. Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

335

11. vypracovanie štatútu bezpečnostného výboru;

336

11. vypracovanie bezpečnostného projektu informačného systému verejnej správy.

337

338

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

339

340

* aktualizácia bezpečnostnej dokumentácie vrátane spresnenia rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení:

341

* aktualizácia IRA: Bezpečnostná stratégia kybernetickej bezpečnosti

342

* aktualizácia IRA: Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti

343

* aktualizácia IRA: Bezpečnostná politika kybernetickej bezpečnosti: Deklarácia a záväzok vedenia;

344

* vypracovanie IRA: Štatút bezpečnostného výboru;

345

* vypracovanie bezpečnostného projektu ISVS.

346

347

1. Riadenie rizík

348

11. Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

349

11. implementáciu systému pre inventarizáciu aktív;

350

11. Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

351

11. Vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

352

353

Obec má v rámci bezpečnostnej politiky identifikované informačné aktíva a všetky podporné aktíva, ako aj ich evidenciu, ktoré podporujú niektorú z identifikovaných základných služieb. Rovnako boli identifikovaní relevantní dodávatelia, ktorí podporujú prevádzku základných služieb.

354

355

V súčasnom stave však absentuje klasifikácia aktív z hľadiska dôvernosti, integrity a dostupnosti. Z pohľadu udržateľnosti stavu je výrazným nedostatkom absencia procesu na aktualizáciu evidencie aktív ako aj neúplná identifikácia vlastníkov jednotlivých aktív. Evidencia o konfiguračných nastaveniach identifikovaných aktív a služieb je vedená iba čiastočne, a to treťou stranou. Rovnako aj proces pravidelného aktualizovania záznamov o evidencii konfigurácií aktív a služieb je vedený čiastočne, a to treťou stranou.

356

357

Pre danú oblasť zo samohodnotenia tiež vyplýva, že poskytovateľ základnej služby neidentifikuje a nevyhodnocuje riziká kybernetickej bezpečnosti, nenavrhuje a neimplementuje bezpečnostné opatrenia kybernetickej bezpečnosti , ktorými by znižoval ani neakceptovateľne veľké zvyškové riziká.

358

359

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

360

361

* identifikácie všetkých aktív

362

* implementácia systému pre inventarizáciu aktív - Katalóg aktív

363

* riadenie rizík

364

* vypracovanie IRA: Smernica pre riadenie bezpečnostných rizík

365

* aktualizácia IRA: Metodika pre riadenie bezpečnostných rizík

366

* implementácia predmetných IRA

367

368

1. Personálna bezpečnosť

369

11. Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

370

11. vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;

371

11. Vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

372

373

V oblasti personálnej bezpečnosti sebahodnotenie konštatuje, že nie je vykonávaná žiadna kontrola bezpečnostných politík zo strany vlastných zamestnancov a zamestnancov dodávateľov.

374

375

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

376

377

* aktualizácia IRA: Smernica Plán rozvoja bezpečnostného povedomia vrátane spôsobov hodnotenia účinnosti plánu, vrátane určenia pravidiel a postupov na riešenia prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík

378

* aktualizácia IRA: Smernica pre používateľov

379

* vypracovanie IRA: Riadenie personálnej bezpečnosti

380

381

1. Riadenie prístupov

382

11. Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému;

383

11. Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;

384

11. Vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie.

385

386

V oblasti riadenia prístupov je na základe sebahodnotenia nedostatočný stav. Nie sú definované rozsahy logických aj fyzických prístupových oprávnení vlastných zamestnancov a zamestnancov dodávateľom ku všetkým aktívam hodnoteného subjektu. Tiež platí, že nie je vykonávaná pravidelná kontrola nad nastavenými rozsahmi prístupových oprávnení na aktivitách.

387

388

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

389

390

* aktualizácia IRA: Smernica Riadenie prístupových práv;

391

* zapracovanie a implementácia postupov a procesov napr. prostredníctvom RACI matice v nadväznosti na implementované technické riešenie, pravidlá pre oddelenie právomocí

392

393

1. Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

394

11. Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;

395

11. analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

396

11. vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB;

397

11. vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

398

399

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

400

401

* aktualizácia IRA: Metodika pre riadenie bezpečnostných rizík vo vzťahu k tretím stranám

402

* analýza a posúdenie súladu

403

* vypracovanie návrhov dodatkov zmlúv

404

* vypracovanie IRA: Smernica riadenie tretích strán

405

* vypracovanie IRA: Smernica požiadavky pre tretie strany

406

407

1. Bezpečnosť pri prevádzke informačných systémov a sietí

408

11. Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

409

11. Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;

410

11. Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

411

412

Sebahodnotenie v oblasti riadenia bezpečnosti sietí konštatuje iba čiastočne implementovanú bezpečnostnú sieťovú segmentáciu spravovanú treťou stranou a nedostatok v oblasti aktívnej a priebežnej správy pravidiel na zariadeniach oddeľujúcich jednotlivé segmenty, nakoľko správa pravidiel v žiadnej forme nie je v súčasnom stave vykonávaná.

413

414

V rovine prevádzkovanej infraštruktúry je nedostatkom prevádzka jediného NAS servera bez zabezpečenia fyzickej redundancie zálohovania.

415

416

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

417

418

* vypracovanie IRA: Smernica pre riadenie zmien

419

* aktualizácia IRA: Smernica správa a prevádzka IS a služieb

420

421

1. Hodnotenie zraniteľností a bezpečnostné aktualizácie

422

11. Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

423

11. Vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat.

424

425

Z pohľadu schopnosti identifikovať známe zraniteľnosti aktív a vyhodnocovania potencionálneho prieniku zneužitím týchto zraniteľností absentuje systematické získavanie informácií o zraniteľnostiach od dodávateľov aktív a KB autorít. Rovnako iba čiastočne treťou stranou je realizované vyhodnocovanie dopadu známych zraniteľností na aktíva a vyhodnocovanie rizika spojeného s týmito zraniteľnosťami.

426

427

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

428

429

* vypracovanie IRA: Smernica riadenie a implementácia bezpečnostných záplat a bezpečnostných aktualizácií

430

431

1. Ochrana proti škodlivému kódu

432

11. Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;

433

11. Implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;

434

11. Vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

435

436

V kontexte už uvedeného, poskytovateľ základnej služby vykazuje rezervy v orchestrácii oblasti ochrany proti škodlivému kódu. Proces zálohovania síce je zavedený, ale nie je zabezpečená fyzická redundancia, nakoľko záloha sa realizuje na rovnaké NAS úložisko, na ktorom je spustená ostrá prevádzka. Na dôvažok, proces kontinuity procesov a služieb na obnovu po havárii nie je zavedený. Rovnako, zavedený nie je ani proces incident manažmentu. Proces zmenového konania (change management) je zavedený iba čiastočne a je spravovaný treťou stranou.

437

438

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

439

440

* vypracovanie IRA: Smernica pre ochranu proti škodlivému kódu a inštaláciu a hardening IS;

441

* vypracovanie a implementácia postupov a procesov v nadväznosti na technické riešenie

442

443

1. Sieťová a komunikačná bezpečnosť

444

11. Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

445

11. Vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov.

446

11. vypracovanie a implementácia interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti;

447

448

Zo sebahodnotenia vyplývajú nedostatky z povahy rozsahu a zabezpečenia sieťovej infraštruktúry vzhľadom na pripojenie celej infraštruktúry do internetu prostredníctvom jedinej optickej linky s čiastočným zabezpečením prostredníctvom lokalizovaného firewallu s absenciou centrálneho zabezpečenia.

449

450

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

451

452

* vypracovanie IRA: Smernica pre pravidlá sieťovej a komunikačnej bezpečnosti

453

454

1. Akvizícia, vývoj a údržba informačných technológií verejnej správy

455

11. Vypracovanie metodiky softvérového vývoja v podobe interného riadiaceho aktu, definujúce bezpečnostné požiadavky na všetky fázy životného cyklu vývoja SW (SSDLC).

456

457

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

458

459

* vypracovanie IRA: Metodika Požiadavky pre bezpečný vývoj SSDLC

460

461

1. Zaznamenávanie udalostí a monitorovanie

462

11. Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

463

11. Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM);

464

11. Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

465

11. Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov; implementácia automatizovaných systémov vykonávajúcich dohľad pred neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a návrh adekvátnych opatrení na ukladanie záznamov a systému logovania.

466

11. vypracovanie interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou;

467

468

V rámci sebahodnotenia oblasti KB boli konštatované rezervy v oblasti prevádzkového monitoringu, nakoľko obec má iba čiastočný prehľad o aktívach a komponentoch, nad ktorými potrebuje mať implementovaný prevádzkový monitoring. Zároveň iba v čiastočnom rozsahu je vykonávaný monitoring parametrov aktív a komponentov prostredia tak, aby bol zaznamenávaný nepretržitý prehľad o stave prostredia.

469

470

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

471

472

* vypracovanie IRA: Smernica o bezpečnostnom monitoringu IS a sietí

473

474

1. Riešenie kybernetických bezpečnostných incidentov

475

11. Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

476

11. Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov;

477

11. Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí; - vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

478

11. Vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

479

11. Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

480

481

V rámci hodnotenia oblasti bezpečnostného monitoringu samohodnotenie konštatuje absenciu implementovaného nástroja na výkon bezpečnostného monitoringu nad aktívami, ktoré sa podieľajú na základnej službe. Taktiež pre túto oblasť absentuje proces, ktorým bude obec vedieť reagovať na kybernetický bezpečnostný incident.

482

483

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

484

485

* Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov - Súčasť smernice a metodiky pre riešenie bezpečnostných incidentov;

486

* aktualizácia IRA: Smernica pre riešenie bezpečnostných incidentov

487

* vypracovanie IRA: Metodika pre riešenie bezpečnostných incodentov

488

489

1. Kryptografické opatrenia

490

11. Vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

491

11. Definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

492

11. Vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;

493

494

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

495

496

* vypracovanie IRA: Smernica Riadenie kryptografických opatrení

497

* vypracovanie IRA: Metodika pre Riadenie kryptografických opatrení

498

* vypracovanie IRA: Metodika pre správu kryptografických kľúčov a certifikátov

499

500

1. Kontinuita prevádzky

501

11. Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnost. incidentu na základnú službu;

502

11. vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

503

11. vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

504

11. vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

505

506

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

507

508

* vypracovanie IRA: Stratégia Riadenie kontinuity prevádzky

509

* vypracovanie analýzy dopadov (BIA)"

510

* Vypracovanie BCP (plánov kontinuity prevádzky)

511

* Vypracovanie DRP (plánov obnovy prevádzky IS)

512

* Testovanie BCP a DRP

513

* aktualizácia IRA: Smernica Riadenie kontinuity prevádzky

514

* vypracovanie IRA: Metodika Riadenie kontinuity prevádzky"

515

* aktualizácia IRA: Zálohovacie politiky

516

517

1. Audit a kontrolné činnosti

518

11. Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov;

519

520

Budú vypracované alebo aktualizované nasledovné sady dokumentácie:

521

522

* vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy

\\

Vychádzajúc z výsledkov samohodnotenia úrovne kybernetickej bezpečnosti u poskytovateľa základnej služby, obce Bernolákovo, má byť rešpektujúc jednotlivé podaktivity výzvy v budúcom stave implemetnované:

527

528

1. Centralizovaná platforma NGFW alebo UTM firewall vrátane inštalácie zariadení a príslušného softvérového riešenia a školení. Platforma postavená na HW akcelerovanej architektúre (t.j. zariadenia vybavené špecializovanými obvodmi FPGA/ASIC pre spracovanie komunikácie a vybraných výpočtovo náročných funkcií. Podpora služby výrobcu umožňujúca detekovať malware, ktorý bol objavený v dobe od poslednej aktualizácie AV signatúrovej databázy pomocou globálnej a rýchle sa aktualizujúcej databázy hash-ov. Podpora funkcie odstránenia aktívneho obsahu z dokumentov kancelárskych aplikácií – AV engine na firewalle v reálnom čase odstráni aktívny obsah z dokumentu pričom tento zostáva v pôvodnom formáte, ale sú z neho odstránené všetky aktívne prvky a ďalšie funkcie. Zaškolenie oprávnených osôb obstarávateľa preberajúcich implementovanú technológiu pod svoju správu, administrátorov. Nejedná sa o školenie pre zamestnancov za účelom zvýšenia ich povedomia v oblasti kybernetickej bezpečnosti. Cieľom zaškolenia je odovzdanie takých poznatkov, ktoré sú nevyhnutné na každodennú prácu s dodaným firewallom.

529

1. Softvérové vybavenie typu Endpoint Protection a Endpoint Detection & Response vrátane inštalácie a príslušných školení. Softvérové vybavenie slúžiace na prevenciu kybernetických útokov, detekciu a reakciu na už existujúce hrozby pre pracovné stanice poskytovateľa základnej služby. Prioritou implemntácie modulu EDR je detekcia, monitorovanie a rýchla reakcia na kybernetické hrozby. Implemntáciou modulu EDR sa zabezpečí schopnosť identifikovať a zabrániť rôznym typom hrozieb, vrátane malvéru, ransomvéru a iných škodlivých aktivít, pričom toto riešenie podporuje tkz. „samoučiaci režim“, ochranu pred neznámymi hrozbami a anti-ransomware ochranu. Riešenie umožní monitorovať všetky koncové zariadenia v reálnom čase, ponúknuť centralizovanú správu, vytvárať správy pre bezpečnostných administrátorov a definovať politiky pre jednotlivé skupiny administrátorov. EDR riešenie umožní rýchlu reakciu na incidenty, vrátane izolácie postihnutých zariadení, odstránenia hrozieb a obnovy systémov, a podporí threat hunting s funkciou vizualizácie a minimálnou 30-dňovou retenciou dát. Možnosť integrácie s Microsoft Active Directory s cieľom importovať strom Active Directory. Dodávaná ako cloudová platforma. Poskytuje vyhradený komponent na centralizáciu komunikácie medzi koncovými bodmi a cloudom. Poskytuje komponent, ktorý funguje ako vyrovnávacia pamäť pre aktualizácie a opravy podpisov. Poskytuje komponent, ktorý môže odosielať všetky bezpečnostné výstrahy do interného syslogu alebo SIEM.

530

1. Softvérové vybavenie pre hash certifikáciu aplikácii a kontrolu aplikačného vybavenia, aplikovanie bezpečnostných politík blokovania sieťovej komunikácie, white & black listing hardvérových zariadení, monitoring a inštalácia záplatových balíčkov a aktualizácií, monitoring ransomvérových útokov.

531

1. Dokumentácia pre plány, spôsoby, riešenia a implementáciu pravidiel zvýšenia úrovne kybernetickej bezpečnosti (kapitola Výstupy)

532

1. Penetračné testovanie delené na test externého perimetra (Reconnisaince, Service discovery, Overenie bezpečnosti VPN, Externý sken IPs vystavených do internetu; Manuálna analýza Service version discovery, Vulnerability discovery; Manuálne overenie zraniteľností – Exploitácia), interný infraštruktúrny test (Reconnisaince, Service discovery, Overenie bezpečnosti VPN, Externý sken IPs vystavených do internetu; Manuálna analýza Service version discovery, Vulnerability discovery, Manuálne overenie zraniteľností, Exploitácia), Reporting - Executive summary; Krátky zoznam zraniteľností s ich hodnotením podľa impact-severity; Popis jednotlivých identifikovaných zraniteľností, Umiestnenie zraniteľností, Odporúčania na odstránenie, Popis vykonaného testovania spolu s dátumami). Testované budú aj webové služby informačných systémov s dodaním reportu (Mechanizmy autentifikácie, Kontroly autorizácie, Validácia údajov a filtrovanie vstupov, Session management, Spracovanie chýb, Riadenie konfigurácie, Šifrovanie a ochrana údajov, Bezpečnosť API (ak je to relevantné), Dodržiavanie zvolených bezpečnostných metód OWASP API TOP 10 2019)

(% class="" %)|(((

**P.č.**

)))|(((

**Názov hodnotiaceho kritéria**

538

)))|(((

539

**Parametre v projekte**

)))|(((

**Zdroj**

)))

(% class="" %)|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

547

)))|(((

548

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

549

)))|(((

550

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.

)))

(% class="" %)|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

556

)))|(((

557

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

558

)))|(((

559

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

)))

(% class="" %)|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu.

569

)))|(((

570

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.

571

)))|(((

572

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

573

574

- Organizácia kybernetickej a informačnej bezpečnosti

- Riadenie rizík

- Personálna bezpečnosť

579

580

- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

581

582

- Personálna bezpečnosť

- Riadenie prístupov

- Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

587

588

- Bezpečnosť pri prevádzke informačných systémov a sietí

589

590

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

591

592

- Ochrana proti škodlivému kódu

593

594

- Sieťová a komunikačná bezpečnosť

595

596

- Akvizícia, vývoj a údržba informačných technológií verejnej správy

597

598

- Zaznamenávanie udalostí a monitorovanie

599

600

- Riešenie kybernetických bezpečnostných incidentov

601

602

- Kryptografické opatrenia

603

604

- Kontinuita prevádzky

605

606

- Audit a kontrolné činnosti

\\

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

)))

(% class="" %)|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.

616

)))|(((

617

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.

618

)))|(((

619

§ 24 ods. 2 písm. a) – kategória: III

620

621

§ 24 ods. 2 písm. b) a c) – kategória: II

622

623

§ 24 ods. 2 písm. d) – kategória: III

624

625

§24 ods. 2 písm. e) – kategória: -

)))

\\

(% class="" %)|(((

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

639

640

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

III.

)))|(((

Počet interných zamestnancov: 100

Počet klientov:

- Fyzické osoby (občania): **5 424 687** (k 1.1.2024, zdroj Štatistický úrad SR)

649

650

- Právnické osoby: 3000 (údaje za rok 2023) (obce, mestá, VÚC, ministerstvá, externí ochraňovatelia)

651

652

Celkom 5 427 687 dotknutých osôb.

653

)))

654

(% class="" %)|(((

655

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

656

657

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona

662

663

Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

II.

)))|(((

Obec Bernolákovo má 7 ISVS, ktoré sú technicky realizované pre účely základnej služby pomocou 4 IS. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní (sedem a pol hodiny), čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby v rozsahu 18 000 hodín z pohľadu zamestnancov, nedostupnosť základnej služby pre obyvateľov mesta a právnické osoby v celkovom rozsahu 597 020 hodín (10 dní, 8 pracovných hodín).

\\

Rozsah efektu je na úrovni obce.

672

)))

673

(% class="" %)|(((

674

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

675

676

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

Incident spôsobí úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie. V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

681

)))

682

(% class="" %)|(((

683

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

684

685

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

)))|(((

III.

)))|(((

V prípade nefunkčnosti budú zasiahnutí zamestnanci obce, občania a podnikateľské subjekty, či iné organizácie.

690

691

Kumulatívne však nedôjde k takému narušeniu, aby splnilo niektoré z kritérií príslušného paragrafu zákona o kybernetickej bezpečnosti.

)))

\\

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI

)))|(((

Orgán vedenia

)))|(((

Isvs_63 MetaIS

)))

(% class="" %)|(((

2.

)))|(((

Občan / podnikateľ

)))|(((

G2B/G2C

)))|(((

Konzument elektronických služieb

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Zamestnanec obce

)))|(((

G2E

)))|(((

Spracovateľ elektronických služieb

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Obec

)))|(((

Bernolákovo

)))|(((

Orgán riadenia v roli prijímateľa

758

)))|(((

759

ISVS a infraštruktúra

)))

\\

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

\\

(% class="" %)|(((

ID

)))|(((

\\

\\

Názov cieľa

)))|(((

Názov strategického cieľa

780

)))|(((

781

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

ID01

)))|(((

RSO 1.2, kat. MRR,

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

789

)))|(((

790

Komplexné zvýšenie úrovne kybernetickej bezpečnosti implementáciou aplikačného a technologického vybavenia.

)))

(% class="" %)|(((

...

)))|(((

\\

)))|(((

...

)))|(((

...

)))

**~ **

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

805

806

Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.

\\

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

ID01

)))|(((

Výstup PO095 / PSKPSOI12

844

)))|(((

845

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

846

)))|(((

847

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

848

)))|(((

849

Počet verejných inštitúcií

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

)))|(((

...

)))

(% class="" %)|(((

ID02

)))|(((

Výsledok PR017 / PSKPRCR11

864

)))|(((

865

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

866

)))|(((

867

1 Počet používateľov s hash certifikáciou aplikácií

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

TBD

)))|(((

Počet používateľov s EDR

)))|(((

...

)))

(% class="" %)|(((

ID03

)))|(((

Výsledok PR017 / PSKPRCR11

883

)))|(((

884

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

2.1 Používateľ

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

TBD

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov v IAM, Databázou používateľov v oblasti KIB.

)))|(((

\\

)))

(% class="" %)|(((

ID04

)))|(((

Výsledok PR017 / PSKPRCR11

902

)))|(((

903

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

904

)))|(((

905

3.6 Nová verejná digitálna služba, produkt, alebo proces

)))|(((

Používatelia/rok

)))|(((

\\

)))|(((

TBD

)))|(((

Zavedenie plošného NGFW/UTM

)))|(((

\\

)))

\\

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

923

924

Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia obce Bernolákovo budú priamo profitovať subjekty využívajúce elektronické služby samospráv, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.

.

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

\\

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

\\

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v obci Bernolákovo pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.

941

942

Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí obce, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti správy veci verejných v obci či poskytovania služieb občanom.

\\

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.

\\

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

\\

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

\\

Spracovanie MCA

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

STAKEHOLDER

MIRRI

)))|(((

STAKEHOLDER

G2B/G2C

)))|(((

STAKEHOLDER

G2E

)))|(((

STAKEHOLDER

PZS

)))

(% class="" %)|(% rowspan="4" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A (KO) Nasadenie firewall do celého prostredia infraštruktúry

993

)))|(((

994

Nasadenie nového firewallu tak, aby chránil celé prostredie, nie len jeho vybranú časť.

)))|(((

X

)))|(((

\\

)))|(((

\\

)))|(((

\\

\\

X

)))

(% class="" %)|(((

Kritérium B

Plošné zabezpečenie prostredia bez SPoF

1012

)))|(((

1013

Komplexné zlepšenie ochrany bez vytvorenia rizikovej oblasti s vysokou zraniteľnosťou.

)))|(((

X

)))|(((

\\

)))|(((

\\

)))|(((

\\

\\

X

)))

(% class="" %)|(((

Kritérium C

Zabezpečenie zvýšenia úrovne KB nad HW aj SW časťou infraštruktúry

1031

)))|(((

1032

Zvýšenie úrovne KB je potrebné realizovať holisticky bez preferencie jednotlivých prostredí.

)))|(((

X

)))|(((

\\

)))|(((

\\

)))|(((

\\

\\

X

)))

(% class="" %)|(((

Kritérium D

Kontinuálne poskytovanie elektronických služieb s vysokou dostupnosťou

1050

)))|(((

1051

Implementácia projektu bez narušenia poskytovania elektronických služieb.

)))|(((

\\

)))|(((

X

)))|(((

X

)))|(((

\\

\\

X

)))

\\

Vyhodnotenie MCA

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva

1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva

3

)))|(((

Spôsob dosiahnutia

)))

(% class="" %)|(((

Kritérium A

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie Firewallu na všetky aktíva.

)))|(((

Áno

)))|(((

V alternatíve 3 sa síce implementujú všetky navrhované nástroje, ale sú neefektívne rozložené v čase

)))

(% class="" %)|(((

Kritérium B

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej časti aktív.

)))|(((

Nie

)))|(((

N/A

)))

(% class="" %)|(((

Kritérium C

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW aj HW časti aktív.

)))|(((

Nie

)))|(((

N/A

)))

(% class="" %)|(((

Kritérium D

)))|(((

Nie

)))|(((

N/A

)))|(((

Áno

)))|(((

Systematické a plošné zvýšenie úrovne KB vytvorí základný predpoklad pre neohrozenie poskytovania elektronických služieb.

)))|(((

Čiastočne

)))|(((

Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.

)))

\\

// //

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

\\

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

\\

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.

1171

1172

= {{id name="projekt_2529_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií:

\\

Oblasť organizácia kybernetickej bezpečnosti:

1181

1182

* Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1183

* Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),

1184

* Štatút bezpečnostného výboru, rokovací poriadok.

\\

Oblasť aktíva:

* Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),

1191

* Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).

\\

Oblasť incidenty:

* Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),

1198

* Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).

\\

Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí

1203

1204

* Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).

1205

* Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,

1206

* Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR),

1207

* Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),

1208

* Smernica pre riadenie zmien (Klasifikačný stupeň Interné).

\\

Oblasť tretie strany:

1213

1214

* Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),

1215

* Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),

1216

* Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.

\\

Oblasť riadenie rizík:

1221

1222

* Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1223

* Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1224

* Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).

\\

Oblasť špecifické (riadenie súladu a audit):

1229

1230

* Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),

1231

* Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).

\\

= {{id name="projekt_2529_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1236

1237

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií:

1238

1239

* Kybernetická ochrana a detekcia škodlivých aktivít a bezpečnostných incidentov: Bezpečnostný monitoring IS, platforiem, aplikácií a používateľských činností a aktivít. Monitoring sietí, monitoring činností a aktivít privilegovaných používateľov.

1240

* Riadenie bezpečnostných incidentov: Identifikácia a hlásenie bezpečnostných incidentov, registrácia, kategorizácia a klasifikácia bezpečnostných incidentov. Akceptácia bezpečnostných incidentov a určenie riešiteľov. Analýza a vyšetrovanie bezpečnostných incidentov a zber dôkazov. Riešenie bezpečnostných incidentov a obnova prevádzky, uzatvorenie bezpečnostných incidentov, vyhodnotenie bezpečnostných incidentov, zavedenie do knowledge databázy kybernetickej bezpečnosti, spätná väzba a poučenie sa z bezpečnostného incidentu.

1241

* Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware, manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií (implementácia systému pre jednotnú správu a deployment bezpečnostných politík a bezpečnostných konfigurácií).

1242

* Ochrana dát, dátových prenosov a komunikácie: Bezpečnosť virtualizovaných prostredí, ochrana dát na úrovni databáz a dátových úložísk, ochrana dát na úrovni koncových zariadení

1243

* Zvýšenie ochrany pred útokmi z externého prostredia: Ochrana pred malware a ransomware. Manažment bezpečnosti sietí, manažment bezpečnostných konfigurácií.

\\

Náhľad aplikačnej to be vrstvy architektúry

1248

1249

[[image:attach:image-2024-4-29_10-26-53.png||height="400"]]

\\

Náhľad technologickej to be vrstvy architektúry

1254

1255

[[image:attach:image-2024-4-29_10-27-4.png||height="400"]]

1256

1257

Infraštruktúrne prostredie obce Bernolákovo je v rámci tzv. metropolitnej siete štruktúrované do nasledovných lokalít:

1258

1259

* Obecný úrad pracovisko Hlavná 111

1260

* Obecný úrad pracovisko horný dvor

1261

* Obecný úrad pracovisko Klientske centrum

1262

* Obecný úrad pracovisko Viničná 2

1263

* Obecný úrad pracovisko Trnavská – prevádzka

1264

* Kultúrny dom

1265

* Multifunkčná hala

1266

* Obecná polícia pracovisko Viničná 2

1267

* Obecná polícia pracovisko Horný dvor

1268

* Materská škola Kondrótova 1

1269

* Materská škola Kondrótova 2

1270

* Materská škola Komenského 1

1271

* Základná škola Komenského 3

1272

* Základná škola Školská 1 – Dostavba

\\

Aplikačné prostredie z pohľadu informačných systémov verejnej správy obce Bernolákovo pozostáva z nasledovných komponentov:

1277

1278

(% class="" %)|(((

1279

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

1292

1293

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

1294

)))

1295

(% class="" %)|(((

1296

[[isvs_9857>>url:https://metais.vicepremier.gov.sk/detail/ISVS/8b8981b5-6ef7-4ff1-93b4-efa280480dc5/cimaster?tab=summarizingCart||shape="rect"]]

1297

)))|(((

1298

[[Registratúra - Memhhis>>url:https://metais.vicepremier.gov.sk/detail/ISVS/8b8981b5-6ef7-4ff1-93b4-efa280480dc5/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9856>>url:https://metais.vicepremier.gov.sk/detail/ISVS/2db93816-a8f9-4daf-8e37-85e2dec6ef58/cimaster?tab=summarizingCart||shape="rect"]]

1310

)))|(((

1311

[[GIS - Geografický informačný systém>>url:https://metais.vicepremier.gov.sk/detail/ISVS/2db93816-a8f9-4daf-8e37-85e2dec6ef58/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9853>>url:https://metais.vicepremier.gov.sk/detail/ISVS/ed8ec628-165b-425b-ae5a-ee890ca1ba95/cimaster?tab=summarizingCart||shape="rect"]]

1323

)))|(((

1324

[[Korwin>>url:https://metais.vicepremier.gov.sk/detail/ISVS/ed8ec628-165b-425b-ae5a-ee890ca1ba95/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9854>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6e03661d-53df-4cc9-80ab-ff4b454ee17b/cimaster?tab=summarizingCart||shape="rect"]]

1336

)))|(((

1337

[[Účtovníctvo>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6e03661d-53df-4cc9-80ab-ff4b454ee17b/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9852>>url:https://metais.vicepremier.gov.sk/detail/ISVS/b7eba255-d9f6-4f8c-92f8-d6f8b7e91331/cimaster?tab=summarizingCart||shape="rect"]]

1349

)))|(((

1350

[[ESMAO>>url:https://metais.vicepremier.gov.sk/detail/ISVS/b7eba255-d9f6-4f8c-92f8-d6f8b7e91331/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9841>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6d1720a5-4c22-4293-8958-ef023a177fcd/cimaster?tab=summarizingCart||shape="rect"]]

1362

)))|(((

1363

[[Webový portál obce Benolákovo>>url:https://metais.vicepremier.gov.sk/detail/ISVS/6d1720a5-4c22-4293-8958-ef023a177fcd/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

(% class="" %)|(((

[[isvs_9831>>url:https://metais.vicepremier.gov.sk/detail/ISVS/c2875774-c6ac-4497-ae7b-8307f0b9f1b1/cimaster?tab=summarizingCart||shape="rect"]]

1375

)))|(((

1376

[[Integrovaný informačnýsystém obce Bernolákovo>>url:https://metais.vicepremier.gov.sk/detail/ISVS/c2875774-c6ac-4497-ae7b-8307f0b9f1b1/cimaster?tab=summarizingCart||shape="rect"]]

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvoj

)))|(((

Agendový

)))|(((

\\

)))

// //

== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1390

1391

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1392

1393

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1398

1399

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1404

1405

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]] a ISVS iných OVM alebo IS tretích strán ===

1410

1411

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

\\

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1424

1425

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1430

1431

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

\\

=== {{id name="projekt_2529_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

1436

1437

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

1438

1439

= {{id name="projekt_2529_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1440

1441

Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.

\\

Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:

1446

1447

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

1448

1449

Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

1450

1451

= {{id name="projekt_2529_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

\\

Počas Prípravnej a iniciačnej fázy, je potrebné predložiť samostatný dokument M-05 Analýza nákladov a prínosov (xls. BC/CBA) v predpísanej štruktúrovanej forme.(povinné v prípade projektov nad 1 000 000,- EUR). Pre iný, než veľký projekt - projekt pod 1 000 000,- EUR - objednávateľ detailne opíše nákladovú a prínosovú stránku a postup, ktorý je zvolený na cenovú kalkuláciu nákladov a prínosov projektu.

1456

1457

V tejto časti dokumentu sa od Vás očakáva štruktúrovane popísať:

1458

1459

* **vypočítané náklady** (vývoj + prevádzka) v T10 (t.j. na 10 rokov dopredu)

1460

* v**ypočítané prínosy** v T10 (t.j. na 10 rokov dopredu)

1461

* **slovne popísať výpočet prínosov**, z čoho sú čerpané vstupné hodnoty

1462

* **rok návratnosti** (doplnenie ukazovateľov: ENPV, FNPV, BCR)

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

\\

(% class="" %)|(((

Náklady

)))|(((

Názov

modulu

)))|(((

Názov

modulu

)))|(((

Názov

modulu

)))

(% class="" %)|(((

**Všeobecný materiál**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Prínosy**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Finančné prínosy**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Administratívne poplatky

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Ostatné daňové a nedaňové príjmy

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Ekonomické prínosy**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Občania (€)

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Úradníci (€)

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Úradníci (FTE)

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Kvalitatívne prínosy**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

\\

= {{id name="projekt_2529_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

\\

Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

01/2024

)))|(((

12/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

01/2025

)))|(((

03/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

01/2025

)))|(((

12/2025

)))|(((

Je potrebné obstarať dodávateľa IS riešenia/ licencie[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]]/ konzultačné služby

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

04/2025

)))|(((

09/2025

)))|(((

Tvorba dokumentácie výstupov

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

10/2025

)))|(((

12/2025

)))|(((

PIP - 2 mesiace po nasadení

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

04/2025

)))|(((

05/2025

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

06/2026

)))|(((

Napr. Je potrebné obstarať SLA zmluvu (Zmluvu o podpore prevádzky IS)?

)))

\\

Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1772

1773

= {{id name="projekt_2529_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

\\

Zostavuje sa Riadiaci výbor (RV)**,** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1783

* Projektový manažér objednávateľa (PM)

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

Miroslav Turenič

)))|(((

Starosta

)))|(((

\\

)))|(((

Predseda RV

)))

(% class="" %)|(((

2.

)))|(((

Juraj Ďorko

)))|(((

Prednosta obecného úradu

)))|(((

\\

)))|(((

Biznis vlastník

)))

(% class="" %)|(((

3.

)))|(((

Andrej Koška

)))|(((

Informatik

)))|(((

\\

)))|(((

Zástupca prevádzky

)))

(% class="" %)|(((

4.

)))|(((

TBD

)))|(((

Account manager

)))|(((

\\

)))|(((

Zástupca dodávateľa

)))

\\

Zostavuje sa Projektový tím objednávateľa

1846

1847

* kľúčový používateľ,

1848

* IT analytik alebo biznis analytik,

1849

* IT architekt,

1850

* biznis vlastník

1851

* manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

Juraj Ďorko

)))|(((

Prednosta obecného úradu

)))|(((

\\

)))|(((

Kľúčový používateľ

)))

(% class="" %)|(((

2.

)))|(((

Andrej Koška

)))|(((

Informatik

)))|(((

\\

)))|(((

IT analytik

)))

(% class="" %)|(((

3.

)))|(((

TBD

)))|(((

IT architekt

)))|(((

\\

)))|(((

IT architekt

)))

(% class="" %)|(((

4.

)))|(((

TBD

)))|(((

Manažér kybernetickej bezpečnosti

)))|(((

\\

)))|(((

MKB

)))

(% class="" %)|(((

5.

)))|(((

TBD

)))|(((

Projektový manažér

)))|(((

\\

)))|(((

Projektový manažér

)))

\\

== {{id name="projekt_2529_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

\\

**Kľúčový používateľ**

1929

1930

* Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.

1931

* Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.

1932

* Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.

1933

* plní pokyny PM a dohody zo stretnutí projektového tímu.

\\

**IT analytik**

* Zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie.

1940

* Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení.

1941

* Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1942

* Analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1943

* Pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu.

1944

* Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1945

* Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov.

1946

* Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov.

1947

* Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady.

1948

* Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1949

* Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie.

1950

* Zodpovedá za návrhovú (design) časť IT – pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

\\

**IT architekt**

* Zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1957

* Vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT.

1958

* Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky.

1959

* Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb.

1960

* Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1961

* Zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie.

1962

* IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod.

1963

* Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

\\

**Manažér kybernetickej bezpečnosti**

1968

1969

* Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).

1970

* Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.

1971

* Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.

1972

* Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.

1973

* Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.

1974

* Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

\\

**Projektový manažér**

1979

1980

* Zodpovedá za riadenie projektu počas celého životného cyklu projektu.

1981

* Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.

1982

* Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1983

* Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.

1984

* Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1985

* Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

\\

= {{id name="projekt_2529_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

Bez odkazov

= {{id name="projekt_2529_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =

\\

Príloha 1: Zoznam rizík a závislostí

\\

Koniec dokumentu

\\

\\

[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013 e-Governmente

2008

2009

[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

Wiki zdrojový kód pre projekt_2529_Projektovy_zamer_detailny

Aplikácie

Navigácia

Moje posledné úpravy

Need help?