Zmeny dokumentu Ideovy zamer TONZUKIB

Naposledy upravil Róbert Závacký 2024/11/28 16:00

From 2.1 to 2.2

Z verzie 1.1

upravil Róbert Závacký
-

Zmeniť komentár: Changed document syntax from [XWiki 2.1] to [xwiki/2.1].

Do verzie 2.1

upravil Róbert Závacký
-

Zmeniť komentár: Created by office importer.

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,0 +1,256 @@
++[[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_53c75466a2b12a33.jpg||height="68" width="194"]] [[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_d542740974d97d1a.jpg||height="52" width="265"]]
++
++**IDEOVÝ ZÁMER**
++
++**Manažérsky výstup I-01 **
++
++ podľa vyhlášky MIRRI SR č. 401/2023 Z. z.
++
++verzia 0.1
++
++
++
++Pre **rýchlejšiu prípravu** projektu a **vyššiu spokojnosť** používateľov.
++
++
++//Ideový zámer má za cieľ prispieť k zrýchleniu prípravy a zníženiu potreby výrazných úprav projektovej dokumentácie v neskorších fázach projektu. Jeho cieľom je umožniť včasnú neformálnu komunikáciu medzi gestormi projektu a hodnotiteľmi. Projektový tím tak bude mať priestor konzultovať svoje plány ešte pred tým, ako investuje čas a financie do tvorby detailnej projektovej dokumentácie.//
++
++//Táto šablóna je určená gestorom idey a pracovníkom, ktorých sa dotýka upravovaná agenda. Pri jej vypĺňaní **nie je potrebná** znalosť IT odborných pracovníkov. Vyplňte len časti, ktoré považujete za relevantné.//
++
++//Pokiaľ potrebujete poradiť, neváhajte nás kontaktovať, e-mailové adresy sú uvedené na konci dokumentu. Na Vašu správu odpovieme do 5 pracovných dní.//
++
++//Ideový zámer je potrebné nahrať do METAIS (podľa [[§5 odseku 1 v nadväznosti na § 4 ods. 9 vyhlášky (>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/#paragraf-5.odsek-1]]//__[[**401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX**>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__//)//
++
++
++
++**Identifikácia projektu**
++
++|**Názov:**|//Implementácia technických opatrení na zvýšenie úrovne kybernetickej a informačnej bezpečnosti// //informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR//
++|**Realizátor:**|//Útvar rezortnej informatiky Ministerstva pôdohospodárstva a regionálneho rozvoja SR//
++|**Kontaktná osoba:**|//Ing. Petra Hudáková, Ing. Jaroslav Rohaľ//
++|**Dátum:**|//10.6.2024//
++|**Predpokladaný začiatok:**|//QII. 2025//
++|**Dátum schválenia projektovou komisiou:**|//N/A//
++
++
++
++{{id name="_Toc510413655"/}}{{id name="_Toc47815688"/}}
++\\
++
++1. (((
++= {{id name="_Toc153456676"/}}POPIS PROJEKTU =
++)))
++
++1.
++11. (((
++== {{id name="_Toc153456677"/}}Stručný popis východiskovej situácie ==
++)))
++
++Popísať stručne, konkrétne pár vetami aktuálny stav a potrebu projektu:
++
++* {{id name="_GoBack"/}}**AS IS stav:** Ministerstvo pôdohospodárstva a rozvoja vidieka SR je prevádzkovateľom základnej služby podľa zákona NR SR č. 69/2018 o kybernetickej bezpečnosti z tohto dôvodu je povinné realizovať bezpečnostné opatrenia vyplývajúce z požiadaviek platnej legislatívy. Jednou z povinností PZS je pravidelné vykonávanie auditu kybernetickej bezpečnosti. Pri opakovanom audite KB boli zistené nesúlady a čiastočné nesúlady v jednotlivých oblastiach kybernetickej bezpečnosti, ktoré je potrebné vyriešiť.
++* **KOMPLEXNOSŤ**: Na základe identifikovaných nesúladov a čiastočných nesúladov zistených pri audite kybernetickej bezpečnosti bol vypracovaný návrh riešenia, v ktorom sú navrhnuté nasledovné technické opatrenia, ktoré vychádzajú zo súčasného stavu a záverečnej správy z auditu kybernetickej bezpečnosti:
++
++* implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment),
++* konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM)
++* implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner)
++* implementácia bezpečnostných sieťových prvkov (sieťové firewaly ),
++* implementácia kryptografických opatrení a PKI (Public Key Infrastructure),
++* fyzická bezpečnosť miestností s technickými prostriedkami informačných technológií – zabezpečenie serverovní a technických miestností (switchovní),
++* implementácia nástroja na identifikáciu a evidenciu aktív (Asset Manager),
++* bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 24/7,
++* implementácia nástroja pre manažovanie mobilných zariadení (MDM-Mobile Device Management),
++* konfigurácia a plná implementácia ServisDesku,
++* implementácia dvojfaktorovej autentizácie na príslušné prístupy do informačných technológií,
++* implementácia elektronického vzdelávacieho procesu (e-Learning)
++* testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov)
++
++* **URGENCIA**: Navrhované technické riešenia a bezpečnostné opatrenia je potrebné riešiť urgentne a to najmä z dvoch dôvodov. Prvý je ten aby sa zvýšila odolnosť informačných systémov predstavujúcich poskytovanie základnej služby pred kybernetickým útokom a pred zneužiteľností informačných aktív a zabránilo sa prípadným škodám. Druhým dôvodom je zvýšenie úrovne súladu s požiadavkami vyplývajúcimi z platnej legislatívy pre oblasť kybernetickej bezpečnosti a pre oblasť informačných technológií verejnej správy.
++* **CIEĽOVÁ SKUPINA**: primárne interní zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR, sekundárne občania pristupujúci k webovému sídlu a elektronickým službám MPRV SR
++* **HRANICA**: do 3 000 000 €
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++
++1.
++11. (((
++== {{id name="_Toc153456678"/}}Situácia po realizácii projektu ==
++)))
++
++[[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_bbbc129228cc5bd8.gif||alt="Shape1" height="155" width="610"]]
++\\
++
++Stručne pár vetami popísať cieľový stav po realizácii projektu:
++
++* **TO BE stav:** Po realizovaní projektu sa výrazne zlepší úroveň KB a zvýši sa percento zhody v rámci auditu KB minimálne na 60% až 70%. Výrazne sa posilní odolnosť informačných systémov a zvýši sa prevencia a ochrana úniku dát ako aj sieťová bezpečnosť a ochrana pred kybernetickými útokmi a kybernetickými incidentami.
++* **BIZNIS ALTERNATÍVY**: Popis spôsobov, akým možno cieľový stav dosiahnuť (zmena procesov, nové nástroje,..).
++
++1.
++11. (((
++== {{id name="_Toc153456679"/}}úprava procesov ==
++)))
++
++//Nový IS je nástrojom, nie riešením problémov. Často viac ako komplexný IS pomôže prioritne zmena procesov organizácie, po ktorej stačí obstarať už zjednodušené riešenie s menšou náročnosťou na funkcionality. Takýto systém je možné dodať skôr, a tiež môže byť lacnejší na prevádzku.//
++
++[[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_3f78a501554378c.gif||alt="Shape2" height="107" width="610"]] Popísať:
++
++* Implementované bezpečnostné nástroje a systémy prinesú zo sebou aj nevyhnutné zmeny v organizačných procesoch MPRV SR.
++* MPRV SR očakáva aj zaškolením presne definovaných zamestnancov , aby zvládli použitie novo implementovaných bezpečnostných nástrojov a systémov.
++
++1. (((
++= {{id name="_Toc153456680"/}}Používatelia riešenia =
++)))
++
++//Zahrnutie názoru používateľov už v skorých fázach prípravy projektu umožní získať spätnú väzbu aj k procesom organizácie, nielen k možnému technickému riešeniu. Nový systém alebo zmeny sa robia prioritne pre pomoc používateľov. Preto majú byť zapojení v čo najväčšej miere do celého procesu: od zisťovania problému, návrhu riešenia, testovania a úpravy riešenia na základe získanej spätnej väzby. Toto je potrebné zohľadniť už pri tvorbe harmonogramu.//
++
++Spolupráca s používateľmi je nielen odporúčaná, ale pre určité projekty aj povinná, viac napr. v § 8 vyhlášky (**__[[401/2023 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115]]__**). Povinnosti pri zbere a vyhodnocovaní spätnej väzby sú bližšie upravené vo vyhláške: **__[[547/2021 Z.z. - Vyhláška Ministerstva investícií, r... - SLOV-LEX>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/]]__**
++
++[[image:I-01_IDEOVY-ZAMER_Projekt_Technicke opatrenia na zvysenie urovne KIB_MPRS_SR_Jaroslav Rohal_20240610_ver0.1_ddfd6d14227d6313.gif||alt="Shape3" height="97" width="610"]] Popísať aktuálny stav a potrebu projektu:
++
++* primárne interní správcovia informačných systémov a zamestnanci MPRV SR a zamestnanci organizácií v zriaďovateľskej pôsobnosti MPRV SR,
++* sekundárne občania pristupujúci k webovému sídlu a elektronickým službám
++
++
++
++1. (((
++= Prínosy =
++)))
++
++//V tejto fáze prípravy projektu odporúčame začať so zberom údajov, ktoré sú pre projekt relevantné a môžu byť použité v rámci kvantifikácie prínosov (meranie času procesov, počet podaní/incidentov a iné). Pokiaľ poznáte podobné už zrealizované riešenie, je vítané, ak využijete skúsenosti z predchádzajúceho/iného projektu a overíte tak svoje predpoklady.//
++
++Uveďte kvantitatívne aj kvalitatívne prínosy projektu (stačí popis, nemusia byť v tomto štádiu vyčíslené). Priraďte prínos k vyriešenému problému v TO BE stave, tzn. na akú fázu/časť projektu sa prínos vzťahuje.
++
++Príklad: Ušetrenie času úradníkov (optimalizácia interných procesov znížením rozsahu dokumentácie pri výberovom procese; zavedenie automatického vypĺňania údajov z elektronických prihlášok namiesto manuálneho prepisovania údajov z listov do interného systému).
++
++Hlavným prínosom projektu Zvýšenie úrovne kybernetickej a informačnej bezpečnosti a informačnej bezpečnosti informačných systémov prevádzkovaných Ministerstvom pôdohospodárstva a rozvoja vidieka SR je naplnenie legislatívnych a strategických požiadaviek, kladených sa informačnú a kybernetickú bezpečnosť a vo svojom dôsledku zabezpečenie vysokej úrovne dôvernosti, dostupnosti a integrity aktív MPRV SR.
++
++Hlavnými oblasťami v ktorých sa budú technické riešenia a bezpečnostné opatrenia, a ktoré budú predstavovať významný prínos pre oblasť kybernetickej a informačnej bezpečnosti:
++
++* zvýšenie monitorovacích, detekčných a reakčných schopnosti,
++* riadenie rizík KIB,
++* personálna bezpečnosť najmä oblasť zvyšovanie bezpečnostného povedomia a školení vrátane meranie ich účinnosti,
++* riadenie prístupov a zavedenie 2FA autentizácie,
++* šifrová ochrana informácií
++* bezpečnosť pri prevádzke informačných systémov a sietí vrátane mobilných zariadení,
++* sieťová a komunikačná bezpečnosť,
++* zaznamenávanie udalostí a monitorovanie,
++* fyzická bezpečnosť a bezpečnosť prostredia (mimo prvkov kritickej infraštruktúry v zmysle zákona č. 45/2011 Z. z. o kritickej infraštruktúre),
++* riešenie kybernetických bezpečnostných incidentov,
++
++
++
++
++
++=== {{id name="_Toc153456681"/}}**ďalšie kroky nad rámec ideového zámeru** ===
++
++Nasledujúce kapitoly **nie sú povinné** pre zverejnenie Ideového zámeru. Pomôcť Vám môžu ako príprava na písanie projektovej dokumentácie, kým sa projekt dostane do príliš veľkého technického detailu. V prípade, že Váš projekt bude podliehať hodnoteniu MIRRI SR alebo ÚHP, s rovnakými otázkami sa stretnete aj v tomto procese.
++
++Radi Vám poradíme aj s ďalšími témami nad rámec Ideového zámeru, preto sa na nás neváhajte obrátiť.
++
++1. (((
++= priorizácia =
++)))
++
++//Komplexné informačné systémy sú ohrozené vyššou mierou zlyhania dodávky než menšie projekty. Je preto lepšie začať s realizáciou jednoduchšieho systému, ktorý zabezpečí nevyhnutné procesy. Po ich úspešnom otestovaní, nasadení a spätnej väzbe od používateľov, je menej rizikové projekt ďalej rozširovať ostatnými požiadavkami. Tiež je po nasadení prvej časti projektu priestor upraviť pôvodné požiadavky a spresniť odhady, ako projekt v praxi pomáha používateľom.//
++
++|Nevyhnutné procesy|(((
++* identifikácia a evidencia aktív,
++* systém správy prevádzkových záznamov (Log manažment)
++* analýzy a vyhodnocovanie prevádzkových záznamov - SIEM
++* bezpečnostný monitoring SOC ako služba (SOCaaS)
++* bezpečnostné sieťové prvky (sieťové firewally)
++* kryptografickéh opatrenia a PKI (Public Key Infrastructure),
++* zabezpečenie serverovní a technických miestností (switchovní),
++* dvojfaktorvá autentizácia pre prístupy z interného aj externého prostredia
++* manažovanie mobilných zariadení (MDM - Mobile Device Management)
++* detegovanie existujúcich zraniteľností
++* testovanie prijatých opatrení kybernetickej bezpečnosti (penetračné a phishingové testy)
++* správa požiadaviek (ticketov) - ServisDesk"
++* výukova platforma pre podporu školení a vyhodnocovanie ich účinnosti (e-Learning)
++)))
++|Legislatíva|(((
++* Zákonom NR SR č. 69/2018 Z. z. o kybernetickej bezpečnosti,
++* Vyhláškou NBÚ SR č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení
++* Zákon NR SR č. 95/2019 Z. z. o informačných technológiách verejnej správy
++* Vyhláška UPVII č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
++
++Legislatívne požiadavky, ktoré sa musia projektom naplniť.
++)))
++|Ostatné požiadavky|Prehľad požiadaviek, ktoré môžu byť dodané v rámci rozšírenia riešenia. Ich cieľom je rozšíriť okruh vyriešených problémov s nižšou prioritou. Aj bez ich realizácie má zmysel projekt realizovať.
++
++1. (((
++= {{id name="_Toc153456682"/}}uvažované technologické alternatívy projektu =
++)))
++
++{{id name="_Toc47815705"/}}{{id name="_Toc47604296"/}}//Prieskum dostupných technologických riešení na trhu je dôležitým nástrojom, ako Vaša organizácia zaistí, že skutočne dostane tú najlepšiu možnosť pre svoje potreby. Externí partneri, ktorí pristúpia v ďalšej fáze prípravy projektu, nemusia mať dostatočnú znalosť problematiky. Výsledkom môže byť návrh predimenzovaného alebo nevhodného riešenia pre Vašu organizáciu.//
++
++Ku každej alternatíve skúste priradiť, či je k dispozícii daná možnosť a či ju potenciálne môžete využiť. Pokiaľ je to možné, doplňte konkrétne príklady alebo riziká jednotlivých riešení, ak o nich už teraz viete.
++
++|Krabicové riešenie|Príklad: produkt A, produkt B (môžeme/nemôžme využiť takúto možnosť,...).
++|Nový IS/Úprava existujúceho IS|Príklad: máme k dispozícii IS/potrebné riešenie neexistuje u nás ani na inom rezorte (vendor-lock; máme zdrojové kódy a môžeme systém ďalej upravovať,...).
++
++
++
++
++
++1. (((
++= ROZPOČET =
++)))
++
++Pokiaľ viete, zaraďte projekt do kategórie podľa odhadovaných investičných nákladov (CAPEX) s DPH. Nie je potrebné uviesť presné číslo výdavkov v danej hranici – postačí plánovaný odhad celkovej ceny projektu a plánovaný zdroj financovania (zdroj financovania rovnako môže byť predmetom následných konzultácii). Ďalej potrebné pre proces hodnotenia: detailný rozpočet pre zvolenú alternatívu, odhad nákladov pre ďalšie alternatívy (ak relevantné).
++
++|do 200tis. EUR vrátane|(((
++Nepodlieha hodnoteniu MIRRI SR ani ÚHP.
++
++Stanovisko MIRRI SR je ale potrebné pre projekty, ktorých súčasťou je mobilná aplikácia.
++)))
++|nad 200.000 EUR do 1.000.000 EUR|Stanovisko MIRRI SR je potrebné pre realizáciu projektov, ktoré podliehajú posúdeniu gestora 0EK (k žiadosti o rozpočtové opatrenie na MF SR) alebo ktoré stanovisko vyžadujú zo zadefinovanej podmienky výzvy z EU prostriedkov a pod. (napr. Národné projekty).
++|nad 1 mil. EUR do10 mil. EUR|Stanovisko MIRRI SR, ÚHP [[__Uznesenie vlády č. 649/2020__>>url:https://rokovania.gov.sk/RVL/Resolution/18792/1]]
++|10 mil. EUR a viac|Stanovisko MIRRI SR, ÚHP [[__19a 523/2004 Z. z.__>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2004/523/20230101#paragraf-19a]]
++
++1. (((
++= {{id name="_Toc510413657"/}}{{id name="_Toc153456685"/}}Pomoc a usmernenie =
++)))
++
++Ak by ste v ďalších fázach projektu potrebovali poradiť/pomôcť, v tabuľke nájdete zoznam kontaktov a užitočných zdrojov.
++
++|Tvorba dokumentácie|__[[https:~~/~~/metais.vicepremier.gov.sk/help>>url:https://metais.vicepremier.gov.sk/help]]
++ [[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/>>url:https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/]]__
++|Legislatíva|(((
++__[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2019/95/]]__
++
++__[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2023/401/20231115.html]]__
++
++__[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20220101.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20220101.html]]__
++
++__[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2013/305/20231101.html>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2013/305/20231101.html]]__
++
++__[[https:~~/~~/www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/>>url:https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2021/547/]]__
++)))
++|Proces hodnotenia|(((
++MIRRI: __[[allopk@mirri.gov.sk>>mailto:allopk@mirri.gov.sk]]__
++
++ÚHP: __[[investicie.uhp@mfsr.sk>>mailto:investicie.uhp@mfsr.sk]]__
++)))
++|Financovanie|V závislosti od zdroja financovania
++|Praktické informácie k realizácii projektu|__[[https:~~/~~/mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/>>url:https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/]]__
++|Iné|Ďalšie otázky smerujte na: __allopk@mirri.gov.sk__ a __[[investicie.uhp@mfsr.sk>>mailto:investicie.uhp@mfsr.sk]].__ Ak nebudeme vedieť poradiť my, nasmerujeme Vás na ďalšie kontaktné osoby.
++
++

Zmeny dokumentu Ideovy zamer TONZUKIB

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?