projekt_2791_Projektovy_zamer_detailny

Tento dokument je vypracovaný v súlade s Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Dokument Projektový zámer pre iniciačnú fázu je určený na rozpracovanie informácií k projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, alokovaní rozpočtu, ľudských zdrojov a prechode do realizačnej fázy.

125

126

Ide o detailný projektový zámer k výzve "Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa". Účelom dokumentu je rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti a zabezpečiť súlad so zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej ako “zákon o ITVS”) a č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) v oblasti Governance kybernetickej bezpečnosti.

127

128

129

V roku 2023 bol v Mestskej časti Ružinov vykonaný audit kybernetickej bezpečnosti v zmysle zákona o KB.

130

131

132

Mestská časť Bratislava - Ružinov (ďalej ako ”Mestská časť Ružinov”) nemá implementované všetky riešenia a opatrenia kybernetickej bezpečnosti pre zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Z externého pohľadu sa zvyšuje frekvencia a závažnosť útokov, z interného pohľadu sa zase neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizácia projektu zabezpečí zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.

133

134

135

Predmetom projektu bude najmä naplnenie odporúčaní z auditu s cieľom zvýšenia súladu so zákonom o KB.

136

137

138

Mestská časť Ružinov nemá implementované požiadavky v oblasti KIB z nasledovných dôvodov:

139

140

* nie sú k dispozícii personálne kapacity pre oblasť riadenia KIB a na prevádzku bezpečnostných systémov,

141

* nie sú k dispozícii ani dostatočné finančné zdroje,

142

* nemáme aktualizovanú analýzu rizík a vypracovanú analýzu dopadov (AR/BIA), riziká nie sú dostatočne riadené,

143

* nemáme spracované základné dokumenty v oblasti bezpečnosti, z ktorých by vyplývalo aké opatrenia je potrebné implementovať a ako a akým spôsobom ich realizovať,

144

* nemáme zavedené všetky procesy riadenia KIB.

145

146

147

Predmetom projektu je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, čo chceme naplniť nasledujúcimi podaktivitami:

148

149

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:

150

** vytvorenie stratégie kybernetickej bezpečnosti,

151

** vytvorenie bezpečnostnej politiky kybernetickej bezpečnosti,

152

** vytvorenie ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB.

153

* Analytické aktivity:

154

** identifikácia a evidencia informačných aktív,

155

** klasifikácia informácií a kategorizácia IS a sietí,

156

** analýza rizík a analýza dopadov (AR/BIA),

157

** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,

158

** na základe výsledkov AR/BIA zadefinovanie stratégie obnovy pre jednotlivé IS,

159

** aktualizácia plánu zálohovania podľa výsledkov AR/BIA,

160

** re-konfigurácia a “hardening” existujúceho AD riešenia.

161

* Implementačné aktivity bezpečnostných riešení:

162

** zavedenie nástroja na udržiavanie aktív a aktualizáciu AR/BIA,

163

** implementácia NGFW s podpornými bezpečnostnými funkcionalitami na rozhraní pripojenia siete Mestskej časti Ružinov do siete Internet, vrátane základnej segmentácie internej siete (nastavenie VLAN a FW pravidiel),

164

** rozšírenie a aktualizácia aktuálneho AV riešenia na všetky koncové stanice a servery a rozšírenie o EDR/XDR ochranu jednotlivých koncových zariadení a serverov,

165

** implementácia centrálneho Log Manažment Systému (LMS) pre účely zberu logov z jednotlivých agendových, podporných a infraštruktúrnych systémov a koncových zariadení,

166

** nasadenie systému pre bezpečnostný monitoring (SIEM),

167

** zabezpečenie služby bezpečnostného monitoringu od externého subjektu (SOC as a service) a zladenie interných procesov riešenia bezpečnostných incidentov s procesmi SOC,

168

** implementácia VPN vzdialeného prístupu (ako súčasť NGFW) s využitím 2FA,

169

** rozšírenie existujúcej 2FA aj na prístup administrátorov a iných “power users” k jednotlivým IS Mestskej časti Ružinov,

170

** implementácia riešenia pre zálohovanie a bezpečné uloženie záloh v inej lokalite (mimo serverovní s primárnou infraštruktúrou) a zladenie procesu s plánom zálohovania navrhnutým na základe výsledkov AR/BIA (RPO definované vlastníkmi aktív),

171

** zavedenie Network Access Control (NAC) v súlade so štandardom IEEE 802.1x, vrátane autentifikačného servera (RADIUS) a PKI infraštruktúry pre generovanie a distribúciu šifrovacích kľúčov,

172

* Pre-financovanie nasledovných, legislatívou vyžadovaných aktivít:

173

** pre-financovanie nákladov spojených s auditom kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z. zrealizovaným po ukončení implementácie vyššie uvedených bezpečnostných riešení,

174

** pre-financovanie aktualizácie inventarizácia aktív, klasifikácie IS a analýzy rizík tesne pred ukončením projektu po úspešnej implementácii vyššie uvedených bezpečnostných riešení,

175

** pre-financovanie spracovania žiadosti o NFP.

176

177

178

Výsledkom projektu bude implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB, zrealizovaná klasifikácia a kategorizácia a AR/BIA, a zavedený formalizovaný proces riadenia rizík, vrátane podpory IKT nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov, najmä pre účely bezpečnostného monitoringu, ale napr. aj pre riešenie zálohovania, bezpečného viac-faktorového prihlasovania sa, preventívnej ochrany proti škodlivým kódom a pod.

179

180

Po implementácii projektu bude proces už zavedený a vykonávaný internými ľuďmi, predovšetkým manažérom kybernetickej bezpečnosti, okrem služby SOC, ktorá bude zabezpečená externou formou - externými kapacitami.

181

182

183

Projekt je vypracovaný v súlade s nasledovným typom aktivity: Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

184

185

186

Celková žiadaná výška ŽoNFP je 448.334 EUR.

187

188

189

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.2Motiváciaarozsahprojektu"/}}2.2 Motivácia a rozsah projektu ==

190

191

192

Hlavnou motiváciou projektu je zvýšenie úrovne KIB, aby Mestská časť Ružinov bola lepšie pripravená čeliť interným a externým hrozbám v oblasti kybernetickej bezpečnosti. Na rozdiel od súčasného stavu bude disponovať výrazne vyššími schopnosťami detekcie škodlivých aktivít, technologické vybavenie bude umožňovať lepšiu ochranu pred útokmi z externého a interného prostredia, ako aj ochranu dát.

193

194

195

Medzi hlavné ciele systému riadenia KIB patria:

196

197

- zabezpečenie správnej a bezpečnej prevádzky prostriedkov spracúvajúcich informácie,

198

199

- monitorovanie prostredia,

200

201

- evidencia a ošetrovanie podozrivých udalostí a bezpečnostných incidentov s dôrazom na prevenciu ich opakovaného výskytu.

202

203

204

Navrhovaný projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa" súvisí najmä s:

205

206

* naplnením povinností definovanými v zákone č. 69/2018 Z. z. Zákon o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon o KB") a v zákone č. 95/2019 Z. z. Zákon o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS"), najmä opatreniami definovanými v § 20 zákona o KB.

207

* nutnosťou zvýšenia úrovne a schopnosti zabezpečovať a riadiť informačnú a kybernetickú bezpečnosť vzhľadom na sústavne sa zvyšujúce hrozby a riziká,

208

* zabezpečením realizácie spoločných blokov bezpečnostnej architektúry v súlade s NKIVS a strategickou prioritou informačnej a kybernetickej bezpečnosti,

209

* reakciou na aktuálny nedostatočný stav úrovne vyspelosti procesov riadenia KIB,

210

* reakciou na aktuálne zmeny v používaní IT, ako aj závažné útoky v oblasti kybernetickej bezpečnosti.

211

212

213

Projekt rieši nasledovné špecifické problémy v oblasti kybernetickej bezpečnosti:

214

215

* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.

216

* Absencia fundovaných ľudí, ale aj vzorov, návodov, metodických usmernení a inštrukcií.

217

* Mestská časť Ružinov nemá vykonanú detailnú a pravidelne sa opakujúcu (min. 1 x ročne) inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov (posledná vykonaná v roku 2018), zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti. Inventarizácia aktív a riadenie rizík je vykonávaná zväčša neformalizovaným spôsobom bez IKT podpory.

218

* Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada zákonom o KB požadovanej dokumentácie a základných interných smerníc pre výkon procesov riadenia KIB v rámci jednotlivých oblastí riadenia.

219

220

221

Chýbajú bezpečnostné funkcie najmä v oblasti:

222

223

* evidencie aktív a podpory AR/BIA,

224

* viac-faktorovej autentifikácie,

225

* automatického a kontinuálneho preverovania zraniteľností jednotlivých systémov,

226

* centrálneho zberu logov a auditných záznamov,

227

* komplexného bezpečnostného monitoringu,

228

* sieťovej a komunikačnej bezpečnosti.

229

230

231

Rovnako chýbajú ľudské zdroje pre celkové riadenie KIB ale najmä pre oblasti:

232

233

* konsolidácie logov a auditných záznamov,

234

* analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,

235

* riešenie bezpečnostných incidentov,

236

* obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.

237

238

239

**Informačné systémy v správe Mestskej časti Ružinov:**

**~ **

**IS Vema** - vedenie personálnej a mzdovej agendy pre zamestnancov predškolských zariadení

244

245

**IS SAMO** - vedenie agend: Dane a poplatky, evidencia psov, ekonomika - účtovníctvo, fakturácia, pokladňa, nákup, objednávky, zmluvy, zverejňovanie zmlúv, majetok, sklad, adresár, rozpočet, programový rozpočet, DMS, personalistika a mzdy zamestnancov MČ, Registratúra

246

247

**IS eSpis** - Registratúra - evidencia došlej/odoslanej pošty, spisová agenda, archív el. dokumentov v MU Ružinov

248

249

**IS sprava webstránok** -** **Správa web stránky MČ Ružinov

250

251

**IS eŠkola **- Správa školských údajov – zamestnanci, žiaci, triedy, prepojenie s RIS MŠVVaŠ SR

252

253

**IS Volby** - Organizačné zabezpečovanie a príprava volieb a referenda

254

255

**IS Domus/Finus –** Správa majetku – bytov a nebytových priestorov

256

257

258

__Implementácia projektu bude prebiehať v nasledovných krokoch:__

__ __

**__Hlavná aktivita: __Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

263

264

265

Jednotlivé pod-aktivity v rámci implementácie projektu:

266

267

* **Analýza a dizajn bude obsahovať:**

268

* konzultačné a analytické práce spojené s identifikáciou možností realizácie, potrebných zdrojov a riešení,

269

* identifikáciu a analýzu rolí, procesov a integrácii,

270

* funkčnú a nefunkčnú špecifikáciu celého riešenia,

271

* definíciu všetkých manažérskych a špecializovaných produktov spolu s akceptačnými kritériami.

272

273

274

* **Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia**

275

* Nástroj na evidenciu aktív a realizáciu AR/BIA.

276

* SW vybavenie pre VPN a licencie pre MFA.

277

* Rozšírenie aktuálneho SW vybavenia a licencií AV ochrany aj o EDR/XDR ochranu.

278

* Obstarania SOC ako služby.

279

* Nástroj pre zálohovanie.

280

* SW vybavenia pre NAC (autentifikačný server a PKI).

281

282

283

* **Implementácia bude obsahovať:**

284

* implementáciu a nastavenie jednotlivých technických služieb,

285

* implementácia bezpečnostných opatrení,

286

* implementácia proaktívnych a reaktívnych služieb,

287

* obvyklé testovanie celého riešenia popri implementácii,

288

* zabezpečenie služby SOC od externého subjektu v režime 8/5 vrátane podpory riešenia bezpečnostných incidentov,

289

* zladenie interných procesov riešenia bezpečnostných incidentov (internej smernice) s procesmi SOC.

290

291

292

* **Testovanie obsahuje**:

293

* testovanie funkcionality riešenia,

294

* vulnerability testovanie,

295

* testovanie integrácii,

296

* pilotnú prevádzku,

297

* akceptačné testovanie.

298

299

300

* **Nasadenie obsahuje:**

301

* nasadenie riešenia do produkčného prostredia, zaškolenie pre celé riešenie

302

* prechod na plnú prevádzku.

303

304

305

* **Podporná aktivita** – Projektový manažér interný/externý na riadenie hlavných aktivít projektu.

306

307

308

* **Podporná aktivita – Publicita a informovanosť** vzhľadom na povahu projektu obsahuje iba povinné položky, t.j. umiestnenie trvalo vysvetľujúcej tabule a dočasný veľkoplošný pútač

309

310

311

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.3Zainteresovanéstrany/Stakeholderi"/}}2.3 Zainteresované strany/Stakeholderi ==

|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

|(((

1.

)))|(((

Mestská časť Bratislava - Ružinov

)))|(((

Mestská časť Ružinov

)))|(((

Používateľ opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

NA

)))

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.4Cieleprojektu"/}}2.4 Ciele projektu ==

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

358

)))|(((

359

Spôsob realizácie strategického cieľa

)))

|(((

1

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

365

)))|(((

366

Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.

367

)))|(((

368

Implementácia projektu

)))

**~ **

**~ **

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.5Merateľnéukazovatele(KPI)"/}}2.5 Merateľné ukazovatele (KPI) ==

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Merná jednotka

)))|(((

Čas plnenia

merateľného

ukazovateľa projektu

)))|(((

závislosti

merateľného

ukazovateľa

projektu)

)))|(((

Príznak rizika

)))|(((

Relevancia

k HP

)))

|(((

VÝSTUP

PO095 / PSKPSOI12

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

418

)))|(((

419

Verejné inštitúcie podporované v

420

421

rozvoji kybernetických služieb,

produktov a procesov

)))|(((

verejné inštitúcie

)))|(((

ku koncu realizácie

hlavných aktivít

projektu

)))|(((

1

)))|(((

nie

)))|(((

n/a

)))

|(((

VÝSLEDOK

PR017 / PSKPRCR11

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

447

)))|(((

448

Používatelia nových a vylepšených

449

450

verejných digitálnych služieb,

produktov a procesov

)))|(((

Používatelia/rok

)))|(((

v rámci udržateľnosti

projektu

)))|(((

160

)))|(((

nie

)))|(((

n/a

)))

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.6Rizikáazávislosti"/}}2.6 Riziká a závislosti ==

469

470

471

Riziká sa nachádzajú v samostatnej prílohe.

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}2.7 Stanovenie alternatív v biznisovej vrstve architektúry ==

476

477

478

V rámci biznis architektúry sú popísané služby, ktoré by v zmysle §20 zákona o KB, mali byť implementované za účelom vytvorenia efektívneho a spoľahlivého systému kybernetickej ochrany IS VS a implementácie bezpečnostných opatrení vyžadovaných zákonom o KB. Na základe tohto projektu sa implementujú služby bezpečnosti definované v §20 zákona o KB, resp. zefektívnia sa staré postupy a opatrenia, a tým sa zvýši úroveň KIB a zabezpečí sa súlad s legislatívnymi požiadavkami.

479

480

Cieľom tohto projektu je implementovať systém riadenia KIB a bezpečnostné opatrenia v súlade so zákonom o KB, a to hlavne:

481

482

* zvýšením úrovne governance a vyspelosti procesov riadenia KIB,

483

* zvýšením ochrany pred útokmi z externého ale aj interného prostredia,

484

* zvýšením schopnosti detekcie a reakcie na škodlivé aktivity a bezpečnostné incidenty,

485

* zvýšením úrovne ochrany dát, dátových prenosov a komunikácie,

486

* zvýšením schopnosti proaktívne identifikovať možné zraniteľnosti prevádzkovaných systémov.

487

488

Bez implementácie governance, procesov a analýzy rizík nie je možné efektívne riadiť informačnú a kybernetickú bezpečnosť a zabezpečiť efektívne vynakladanie prostriedkov na IKIB a nie je možné efektívne implementovať ďalšie, dodatočné bezpečnostné opatrenia, riešenia a systémy ochrany.

489

490

491

__Alternatívy riešenia sú nasledovné__:

492

493

**Alternatíva 1:** realizácia KIB** **v rámci tohto projektu.

494

495

**Alternatíva 2:** ponechanie realizácie bezpečnostných opatrení a rozvoja KIB v rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.

496

497

498

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejné a štátne vysoké školy na úrovni biznis architektúry v súlade s Alternatívou A bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené procesy:

499

500

* Riadenie aktív a riadenie rizík.

501

** Proces evidencie a správy aktív.

502

** Proces klasifikácie informácií a kategorizácie IS a sietí.

503

** Proces realizácie AR/BIA.

504

** Proces rozhodovania ohľadom riadenia identifikovaných rizík.

505

* Riadenie prístupov.

506

** Proces vzdialeného bezpečného prístupu a viac-faktorovej autentifikácie pri vzdialenom prístupe.

507

** Proces viac-faktorovej autentifikácie pri prístupe administrátorov k IS a zariadeniam.

508

** Proces autentifikácie a prístupu k sieti len autorizovaných zariadení.

509

* Ochrana proti škodlivému kódu.

510

** Proces identifikácie a ochrany koncových staníc a systémov pred škodlivým kódom (ochrana pred malware a ransomware).

511

* Sieťová a komunikačná bezpečnosť.

512

** Proces ochrany a riadenia prístupov z vonkajšieho prostredia do siete Mestskej časti Ružinov a opačne.

513

** Proces riadenia prichádzajúcej a odchádzajúcej komunikácie.

514

** Proces segmentácie jednotlivých sietí a systémov.

515

* Zaznamenávanie udalostí a monitorovanie.

516

** Proces zberu, ukladania a riadenia logov.

517

** Proces bezpečnostného monitoringu koncových staníc.

518

** Proces bezpečnostného monitoringu systémov a dátových úložísk.

519

** Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

520

** Proces bezpečnostného monitoringu aktivít používateľov.

521

** Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

522

** Proces vyhodnocovania udalostí založený na “machine learning” algoritmoch a sledovaní správania sa používateľov (“behavioral analysis”).Riešenie kybernetických bezpečnostných incidentov.

523

** Proces identifikácie, vyhodnocovania a riešenia bezpečnostných incidentov a podozrivých udalostí.

524

* Riadenie kontinuity činností.

525

** Proces zálohovania.

526

** Proces ochrany a redundancie záloh.

527

528

Okrem uvedených biznis funkcií je projekt zameraný aj na podporu pre oblasti:

529

530

* governance KIB a bezpečnostná dokumentácia,

531

* zavedenie procesov riadenia KIB pre všetky relevantné oblasti riadenia,

532

* audit, riadenie súladu a kontrolných činností - proces posudzovania súladu formou realizácie auditu KIB.

533

534

535

V alternatíve B odhadujeme, že za rovnaký čas (trvanie projektu), a z aktuálne dostupnými finančnými prostriedkami a ľudskými zdrojmi by žiadateľ bol schopný zrealizovať a do praxe implementovať len nasledovné biznis funkcie:

536

537

* Riadenie aktív a riadenie rizík.

538

* Ochrana proti škodlivému kódu.

539

540

Implementácia len tých biznis funkcií je z pohľadu zabezpečenia ochrany informačných aktív Mestskej časti Ružinov a naplnenia legislatívnych požiadaviek absolútne nepostačujúca.

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.8Multikriteriálnaanalýza"/}}2.8 Multikriteriálna analýza ==

|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

MIRRI (výzva)

)))|(((

Organizácia

)))|(((

STAKEHOLDER

3

)))

|(% rowspan="6" %)(((

BIZNIS VRSTVA

// //

)))|(((

A Súlad s legislatívou a zabezpečenie legislatívnych požiadaviek čo najjednoduchším riešením.

569

)))|(((

570

Je potrebné naplniť požiadavky zákonov 69/2018 Z. z. a 95/2019 Z. z., čo najefektívnejšie

)))|(((

áno

)))|(((

áno

)))|(((

)))

|(((

B Rýchlosť implementácie.

580

)))|(((

581

Z pohľadu zákona 69/2018 Z. z. je potrebné implementáciu stihnúť čo najskôr

)))|(((

áno

)))|(((

nie

)))|(((

)))

|(((

C Nízka náročnosť implementácie z pohľadu ľudských zdrojov a času

591

)))|(((

592

Vzhľadom na stav ľudských zdrojov je potrebné projekt navrhnúť tak, aby mal čo najmenšiu náročnosť na ľudské zdroje

)))|(((

áno

)))|(((

nie

)))|(((

)))

|(((

Kritérium D (KO)

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

Kritérium E

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

Kritérium F

)))|(((

)))|(((

)))|(((

)))|(((

)))

|(((

Zoznam kritérií

)))|(((

Alternatíva

1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2

)))|(((

Spôsob

dosiahnutia

)))

|(((

Kritérium A

)))|(((

áno

)))|(((

Projekt zavádza procesy Governance v oblasti KIB

)))|(((

čiastočne

)))|(((

)))

|(((

Kritérium B

)))|(((

áno

)))|(((

Realizácia výzvy je najrýchlejšou možnosťou implementácie

)))|(((

nie

)))|(((

)))

|(((

Kritérium C

)))|(((

áno

)))|(((

Projekty budú realizované formou dodávky a budú minimalizovať nároky na interné ľudské zdroje

)))|(((

nie

)))|(((

)))

Na základe vyhodnotenia MCA analýzy je možné konštatovať, že najvýhodnejšou alternatívou je alt. 1 - realizácia KIB v rámci tohto projektu.

// //

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}2.9 Stanovenie alternatív v aplikačnej vrstve architektúry ==

693

694

Na základe výberu Alternatívy A pre naplnenie cieľov projektu je nevyhnutné nastavenie procesov pre riadenie a kontinuálne zvyšovanie úrovne informačnej a kybernetickej bezpečnosti Organizácie.

695

696

697

Z pohľadu aplikačnej vrstvy architektúry je účelom projektu:

698

699

* implementácia preventívnych služieb, ktorých cieľom je ochrana kybernetického priestoru s cieľom zamedziť narušeniu z vnútorného, alebo vonkajšieho prostredia,

700

* budovanie reaktívnych služieb za účelom identifikácie (preventívne služby) a riešenia (reaktívne služby) kybernetických bezpečnostných incidentov.

701

702

703

**Preventívne služby budú zamerané na prevenciu kybernetických bezpečnostných incidentov a budú sa skladať z týchto procesov a funkcií:**

704

705

* vytváranie bezpečnostného povedomia,

706

* vzdelávanie zamestnancov a správcov IS v oblasti kybernetickej bezpečnosti,

707

* technologický dozor,

708

* monitorovanie a evidencia kybernetických bezpečnostných incidentov,

709

* vykonávanie bezpečnostných auditov,

710

* poskytovanie informácií a údajov do jednotného informačného systému kybernetickej bezpečnosti a prijímanie a zasielanie včasného varovania pred bezpečnostnými incidentmi,

711

* vykonávanie pravidelného hardeningu a aktualizácie infraštruktúry a softvérového vybavenia.

712

713

714

**Reaktívne služby pre bezpečnostný monitoring budú zamerané na riešenie kybernetických bezpečnostných incidentov a budú vykonávané prostredníctvom nasledujúcich procesov a funkcií:**

715

716

* detekcia kybernetických bezpečnostných incidentov,

717

* analýza kybernetických bezpečnostných incidentov,

718

* odozva, ohraničenie, riešenie a náprava následkov kybernetických bezpečnostných incidentov,

719

* reakcia na kybernetický bezpečnostný incident, podpora a koordinácia činnosti v rámci riešenia incidentov,

720

* návrh opatrení na zabránenie ďalšiemu pokračovaniu, šíreniu a opakovanému výskytu kybernetických bezpečnostných incidentov.

721

722

723

Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

724

725

* Riadenie aktív a riadenie rizík.

726

** Implementácia nástroja na evidenciu aktív a realizáciu AR/BIA.

727

* Riadenie prístupov.

728

** Implementácia VPN a 2FA.

729

** Zavedenie 2FA pre administrátorov pre prístup k IS a zariadeniam.

730

** Zavedenie NAC (802.1x).

731

* Ochrana proti škodlivému kódu.

732

** Rozšírenie aktuálnej AV ochrany aj o EDR/XDR ochranu.

733

* Sieťová a komunikačná bezpečnosť.

734

** Implementácia NGFW.

735

* Zaznamenávanie udalostí a monitorovanie.

736

** Implementácia LMS a SIEM.

737

* Riešenie kybernetických bezpečnostných incidentov.

738

** Obstaranie SOC ako služby.

739

* Riadenie kontinuity činností.

740

** Implementácia nástroja pre zálohovanie.

741

** Implementácia technologického riešenia pre uloženie a redundanciu záloh.

742

743

744

== {{id name="projekt_2791_Projektovy_zamer_detailny-2.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}2.10 Stanovenie alternatív v technologickej vrstve architektúry ==

745

746

Ciele projektu a súlad s platnou legislatívou KIB je možné naplniť iba výberom Alternatívy A, ktorá z pohľadu technologickej vrstvy znamená implementáciu požiadaviek.

747

748

= {{id name="projekt_2791_Projektovy_zamer_detailny-3.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}3. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

|(((

**ID**

)))|(((

**Aktivita/prevádzková dokumentácia (výstup)**

)))|(((

**Poznámka**

)))

|(((

1.1

)))|(((

Vypracovanie / aktualizácia smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti

762

)))|(((

763

Výstupom aktivity budú vytvorené/aktualizované nasledovné smernice a dokumenty:

764

765

· Stratégia kybernetickej bezpečnosti.

766

767

· Bezpečnostná politika.

768

769

· Bezpečnostná smernica pre používateľov.

770

771

· Smernica o bezpečnej prevádzke IS pre administrátorov.

772

773

· Smernica pre riadenie informačnej bezpečnosti.

774

775

· Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam žiadateľa.

776

777

· Smernica klasifikácie a kategorizácie IS a sietí.

778

779

· Smernica riadenia prístupových práv.

780

781

· Smernica pre riadenie dodávateľských služieb a 3tich strán.

782

783

· Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS.

784

785

· Smernica o monitorovaní a riešení bezpečnostných incidentov.

)))

|(((

1.2

)))|(((

Identifikácia a evidencia aktív

791

)))|(((

792

Vykonanie detailnej identifikácie a evidencie informačných aktív Mestskej časti Ružinov. Určenie vlastníkov jednotlivých identifikovaných aktív a zaevidovanie aktív do nástroja na správu a aktualizáciu AR/BIA (bod 2.1).

)))

|(((

1.3

)))|(((

Vykonanie klasifikácie informácií a kategorizácie sietí a informačných systémov

798

)))|(((

799

Vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy.

800

801

Na klasifikácii sa budú podieľať aj interní zamestnanci, cieľom projektu je aj transfer know-how, aby si bola organizácia schopná klasifikáciu následne realizovať aj vlastnými silami.

)))

|(((

1.4

)))|(((

Realizácia aktualizácie AR/BIA

807

)))|(((

808

Zrealizovanie aktualizácia analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA vytvorenou v bode 1.1 a zaevidovanie výsledkov do nástroja na evidenciu aktív a aktualizáciu AR/BIA uvedeného v bode 2.1. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením Mestskej časti Ružinov.

)))

|(((

2.1

)))|(((

Nástroj na udržiavanie aktív a aktualizáciu AR/BIA

814

)))|(((

815

Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív a pravidelné vykonávanie aktualizácie AR/BIA.

)))

|(((

2.2

)))|(((

New Generation Firewall (NGFW)

821

)))|(((

822

Firewall na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie. Firewall bude disponovať funkcionalitou VPN a DHCP server a rozšírenými bezpečnostnými funkciami ako sú: sandboxing, content filtering and inspection, file filtering, TLS inspection, IPS, detekcia malvér a pod.. Súčasťou služby bude aj základná konfigurácia VLAN (segmentácie internej siete) a FW pravidiel.

)))

|(((

2.3

)))|(((

Nasadenie EDR/XDR a rozšírenie existujúcej AV ochrany

828

)))|(((

829

Rozšírenie licencií existujúceho AV riešenia na všetky koncové stanice (cca 190 zariadení, 150 mobilných zariadení ) a servery (cca 6 serverov) a rozšírenie analytických a detekčných schopností existujúceho AV riešenia o EDR/XDR ochranu. Prevencia, detekcia a reakcia na bezpečnostné incidenty využívajúca technológiu XDR, ktorá poskytuje zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou vrátane koncových staníc a dát (EDR). Súčasťou riešenia bude aj detailné preverenie, analýza a diagnostika všetkých koncových zariadení z pohľadu prípadnej aktuálnej infekcie malvérom a jeho odstránenia pre bezpečné nasadenie a funkčnosť EDR/XDR ochrany.

)))

|(((

2.4

)))|(((

Implementácia LMS

)))|(((

Nasadenie Log manažment systému (LMS) za účelom zberu logov zo všetkých systémov, aplikácií a sieťových prvkov pre následné nasadenie Security Incident and Event Management (SIEM) systému.

837

838

LMS bude poskytovať dostatočnú kapacitu pre uloženie všetkých logov min. po dobu 6 mesiacov. Implementácia zahŕňa zmapovania súčasných logov, nastavenie logovania zo všetkých relevantných systémov, aplikácii a sieťových zariadení a ich konsolidácia. Predpokladaná kapacita pre uloženie logov je 4 TB.

)))

|(((

2.5

)))|(((

Implementácia SIEM

)))|(((

Systém pre bezpečnostný monitoring (SIEM) bude poskytovať konfigurovateľnú funkcionalitu detekcie hrozieb a reakcie na bezpečnostné incidenty pomocou „real time“ vyhodnocovania a korelácie logov z LMS systému pre širokú škálu hrozieb a útokov. SIEM bude poskytovať možnosť monitorovať virtuálne, ale aj fyzické systémy infraštruktúry. SIEM bude monitorovať a korelovať všetky typy logovaných udalostí, vrátane rôznych OS (Windows, Unix) a zariadení (IDS/IPS, FW a pod.). Predpokladaný počet EPS je 400.

)))

|(((

2.6

)))|(((

SOC as a service

)))|(((

Zavedenie služby SOC – Security Operation Center (SOC as a service) bude zabezpečené vrátane externej podpory riešenia bezpečnostných incidentov. SOC bude zabezpečený u dodávateľa – predstavuje službu výkonu bezpečnostného monitoringu, analyzovania a vyhodnocovania udalostí identifikovaných v rámci SIEM a zasielania notifikácií o prípadných bezpečnostných incidentoch pracovníkom Mestská časť Ružinov (mail, telefón, SMS, ticketing systém) a podporu pri riešení a analyzovaní bezpečnostných incidentov. Služba bude obstaraná ako rámec primárne na podporu riešenia bezpečnostných incidentov.

)))

|(((

2.7

)))|(((

Dvojfaktorová autentifikácia

858

)))|(((

859

Návrh a zabezpečenie SW/HW riešenia 2FA (napr. formou mobilnej autentifikácie) na strane používateľov pri vzdialenom prístupe (VPN) cca pre 20 používateľov a na strane administrátorov, resp. tzv. „power users“ (cca 10 administrátorov), pri prístupe k správe systémov Mestskej časti Ružinov.

)))

|(((

2.8

)))|(((

Riadenie prístupov zariadení v sieti (NAC)

865

)))|(((

866

Implementácia Network Access Control (NAC) v súlade so štandardom IEEE 802.1x pre cca 250 zariadení, vrátane technologického vybavenia pre autentifikáciu zariadení v sieti, najmä autentifikačný server (RADIUS) a PKI infraštruktúra pre generovanie a distribúciu šifrovacích kľúčov. Súčasťou riešenia bude aj re-konfigurácia a “hardening” existujúceho AD riešenia.

)))

|(((

2.9

)))|(((

Nasadenie nástroja na zálohovanie a uloženie záloh

872

)))|(((

873

Nasadenie nástroja pre manažovanie a automatické spúšťanie záloh systémov a dát a rovnako aj technologické vybavenie pre bezpečné uloženie záloh v primárnej lokalite a zároveň aj v inej lokalite mimo primárnych systémov formou automatickej replikácie záloh do tejto vzdialenej lokality. Zabezpečenie lokálne nasadeného HW NAS. Licenčné práva k softvéru s centrálnou správou zálohovania, s možnosťou vytvorenia SNAPSHOTu.

)))

|(((

3.1

)))|(((

Audit KB

)))|(((

Pre-financovanie auditu kybernetickej bezpečnosti v zmysle §29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý bude zrealizovaný tesne pred ukončením projektu.

)))

|(((

3.2

)))|(((

Aktualizácia AR/BIA

)))|(((

Vzhľadom na odhadované trvanie projektu (viac ako 1 rok), a značné zmeny, ktoré implementácie projektu prinesie, je žiadúce tesne pred ukončením projektu vykonať aj aktualizáciu AR/BIA. Prvotná aktualizácia AR/BIA bude zrealizovaná hneď na začiatku projektu (bod 1.4).

)))

= {{id name="projekt_2791_Projektovy_zamer_detailny-4.NÁHĽADARCHITEKTÚRY"/}}4. NÁHĽAD ARCHITEKTÚRY =

892

893

894

Náhľad architektúry sa nachádza v dokumente Prístup k projektu.

895

896

897

= {{id name="projekt_2791_Projektovy_zamer_detailny-5.ROZPOČETAPRÍNOSY"/}}5. ROZPOČET A PRÍNOSY =

898

899

900

Prínosy projektu sú vypočítané na základe zákona č. 69/2018 Z. z., kde zákonodarca priamo v §31 ods. 2, písm. C ohodnotil pokutou do 1 percenta obratu, maximálne 300 000 EUR. Vzhľadom na zmeny v bezpečnostnom prostredí (zvýšenie frekvencií útokov, zraniteľností ako aj dopadov) je dôvodné predpokladať, že dnes by zákonodarca toto hodnotenie ešte zvýšil. Z tohto dôvodu považujeme za hodnotu "non-compliance" práve 300 000 EUR.

901

902

903

Túto hodnotu je možné považovať za minimálny prínos, nakoľko je možné uvažovať aj tým smerom, že bez implementácie Governance kybernetickej bezpečnosti hrozí riziko, že investície do tejto oblasti skončia bez zavedených procesov (a tým pádom nebudú ani zďaleka dosahovať svoj potenciál).

904

905

Tento prínos by však bol náročne objektívne ohodnotiteľný, preto zostávame pri hodnotení stanovenom zákonodarcom.

906

907

908

== {{id name="projekt_2791_Projektovy_zamer_detailny-5.1Sumarizácianákladovaprínosov"/}}5.1 Sumarizácia nákladov a prínosov ==

|(((

Náklady

)))|(((

Názov modulu

)))|(((

Názov modulu

)))|(((

Názov modulu

)))|(((

Názov modulu

)))|(((

Názov modulu

)))|(((

Názov modulu

)))|(((

Názov modulu

)))

|(((

**Všeobecný materiál**

)))|(((

LMS

)))|(((

Riadenie prístupov zariadení v sieti(NAC)

)))|(((

SIEM

)))|(((

EDR/XDR

)))|(((

NGFW

)))|(((

Dvojfaktorová autentifikácia

)))|(((

Zálohovanie

)))

|(((

**IT - CAPEX**

)))|(((

31.420 EUR

)))|(((

95.340 EUR

)))|(((

81.868 EUR

)))|(((

75.184 EUR

)))|(((

31.440 EUR

)))|(((

12.580 EUR

)))|(((

30.640 EUR

)))

|(((

Aplikácie

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

|(((

SW

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

|(((

HW

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

|(((

**IT - OPEX- prevádzka**

)))|(((

3.040 EUR

)))|(((

20.500 EUR

)))|(((

23.236 EUR

)))|(((

35.000 EUR

)))|(((

6.080 EUR

)))|(((

3.160 EUR

)))|(((

13.000 EUR

)))

|(((

Aplikácie

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

|(((

SW

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

|(((

HW

)))|(((

)))|(((

// //

)))|(((

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))|(((

// //

)))

= {{id name="projekt_2791_Projektovy_zamer_detailny-6.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

06/2024

)))|(((

11/2024

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

12/2024

)))|(((

02/2026

)))

|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

12/2024

)))|(((

05/2025

)))

|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

02/2025

)))|(((

07/2025

)))

|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

06/2025

)))|(((

01/2026

)))

|(((

2d

)))|(((

Nasadenie

)))|(((

12/2025

)))|(((

01/2026

)))

|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

01/2026

)))|(((

02/2026

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

03/2026

)))|(((

03/2030

)))

,

// //

= {{id name="projekt_2791_Projektovy_zamer_detailny-7.PROJEKTOVÝTÍM"/}}7. PROJEKTOVÝ TÍM =

1180

1181

1182

Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1188

* Projektový manažér objednávateľa (PM)

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

Juraj Studeník

)))|(((

odborný zamestnanec

)))|(((

osoba v rámci zmluvného vzťahu s právnickým subjektom

)))|(((

Projektový manažér

)))

|(((

2.

)))|(((

Zoltán Csepy, Branislav Sosenko

1218

)))|(((

1219

odborný zamestnanec IT

1220

)))|(((

1221

zamestnanec Odboru Informačných technológií

1222

)))|(((

1223

Odborný zamestnanec IT (Implementácia bezpečnostných riešení)

)))

|(((

3.

)))|(((

Juraj Biely

)))|(((

odborný zamestnanec IT

1231

)))|(((

1232

zamestnanec Odboru Informačných technológií

1233

)))|(((

1234

Manažér kybernetickej bezpečnosti

)))

== {{id name="projekt_2791_Projektovy_zamer_detailny-7.1PRACOVNÉNÁPLNE"/}}7.1 PRACOVNÉ NÁPLNE ==

1239

1240

1241

__Riadiaci výbor projektu budú tvoriť:__

1242

1243

Členovia Riadiaceho výboru s hlasovacím právom:

1244

1245

* predseda Riadiaceho výboru projektu

1246

* manažér kybernetickej bezpečnosti objednávateľa (biznis vlastník), môže byť totožný s predsedom RV,

* zástupca prevádzky

Členovia Riadiaceho výboru bez hlasovacieho práva:

1251

1252

* projektový manažér prijímateľa

1253

* projektový manažér dodávateľa

1254

* zástupca dodávateľa

1255

1256

1257

Určenie zodpovednosti členov Riadiaceho výboru

1258

1259

Hlavným záujmom a zodpovednosťou predsedu Riadiaceho výboru projektu je:

1260

1261

* celkovo zodpovedať za projekt,

1262

* kontrolovať súlad projektu a projektových cieľov so strategickými cieľmi,

1263

* zabezpečiť a udržať finančné a personálne krytie realizácie projektu,

1264

* zabezpečiť nákladovo prijateľný prístup v projekte,

1265

1266

Hlavným záujmom a zodpovednosťou biznis vlastníka je:

1267

1268

* schválenie funkčných a technických požiadaviek alebo ich zmien, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1269

* definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľov a požiadaviek na bezpečnosť,

1270

* definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1271

* schválenie akceptačných kritérií,

1272

* odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1273

* dostupnosť ľudských zdrojov alokovaných na realizáciu projektu

1274

1275

Hlavným záujmom a zodpovednosťou zástupcu dodávateľa je:

1276