Zmeny dokumentu I-03 Prístup k projektu (pristup_k_projektu)

Naposledy upravil Ján Segéň 2025/01/28 12:14

From 4.1 to 5.1 From 6.1 to 7.1

Z verzie 5.1

upravil Róbert Závacký
-

Zmeniť komentár: Pridať novú prílohu <a href={1}>Obrázok 3 Aplikačná architektúra.png</a>

Do verzie 6.1

upravil Róbert Závacký
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)

Podrobnosti

Vlastnosti stránky

Obsah

@@ -14,7 +14,7 @@
  )))
  |Vypracoval| | | | |
--= {{id name="_Toc2008675389"/}}1.História dokumentu =
++= 1.História dokumentu =
  |**Verzia**|**Dátum**|**Zmeny**|**Meno**
  |//0.1//|//14.11.2023//|//Pracovný návrh//|
@@ -22,7 +22,7 @@
  | | | |
  | | | |
--1. Účel dokumentu
++= 2. Účel dokumentu =
  V súlade **s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy** (ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je **dokument I-03 Prístup k projektu** určený na rozpracovanie detailných informácií k  projektu „Technické opatrenia pre zvýšenie úrovne kybernetickej a informačnej  bezpečnosti” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
@@ -30,10 +30,8 @@
  Tento dokument je vypracovaný v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a obsahuje komplexný opis navrhovaného riešenia. Tento dokument zahŕňa architektúru riešenia na úrovni biznis vrstvy, aplikačnej vrstvy a infraštruktúry. Celý dokument je vypracovaný tak, aby bol plne v súlade s požiadavkami všeobecne záväzných právnych predpisov, pričom zároveň obsahuje detailný popis implementácie projektu a procesy preberania jeho výstupov.
--1.
--11. Použité skratky a pojmy
++== 2.1 Použité skratky a pojmy ==
--
  |SKRATKA/POJEM|POPIS
  |2FA|Dvojfaktorová autentizácia
  |Achilles|Systém na vyhľadávanie zraniteľností
@@ -80,9 +80,10 @@
  //Tabuľka 1 Zoznam použitý skratiek a pojmov //
--1.
--11. Konvencie pre typy požiadaviek (príklady)
++==   ==
++== 2.2 Konvencie pre typy požiadaviek (príklady) ==
++
  V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente **M-05 – Analýza nákladov a prínosov **a preto nie je súčasťou tejto kapitoly.
  Samotné požiadavky sú rozdelené do troch kategórií:
@@ -112,7 +112,7 @@
 . XX – poradové číslo požiadavky
--1. Popis navrhovaného riešenia
++= 3. Popis navrhovaného riešenia =
  Cieľom projektu je zabezpečiť obstaranie a implementáciu technických a programových prostriedkov, ako aj overiť účinnosť prijatých bezpečnostných opatrení, ktoré majú priamy vplyv na zvyšovanie úrovne kybernetickej a informačnej bezpečnosti na MPRV SR. Tieto opatrenia sa týkajú správy informačných technológií v oblastiach, kde bola identifikovaná najvyššia miera rizika a najväčší dopad, alebo kde je najväčší nesúlad s požiadavkami vyplývajúcimi zo všeobecne záväzných právnych predpisov, na základe výsledkov vykonaného auditu kybernetickej bezpečnosti.
@@ -131,7 +131,6 @@
  * implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
  * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
--
  Projekt „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej bezpečnosti informačných technológií v správe MPRV SR“ je zameraný na vybudovanie bezpečnostnej infraštruktúry vo forme technických (programových a technických prostriedkov) nástrojov, technológií a procesov pre posilnenie kybernetickej bezpečnosti MPRV SR.
  Okrem odstránenia nesúladov zistených pri audite kybernetickej bezpečnosti bude nasadenie technických riešení znamenať aj dosiahnutie zlepšenia procesov, komunikácie, zberu dát, analýzy, predchádzanie kybernetickým bezpečnostným incidentom, zrýchlenie riešenia kybernetických bezpečnostných incidentov, zvýšenie personálnej a znalostnej spôsobilosti odborných zamestnancov MPRV SR.
@@ -214,7 +214,6 @@
  * Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.
  * Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.
--
  V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich riešenia:
  |ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa
@@ -229,8 +229,9 @@
  //Tabuľka 2 Ciele projektu//
--1. Architektúra riešenia projektu
++= 4. Architektúra riešenia projektu =
++
  Tento projekt predstavuje riešenie vybraných základných prvkov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v rámci MPRV SR.
  Za účelom zvýšenia úrovne kybernetickej bezpečnosti a informačnej bezpečnosti v rámci MPRV SR so sekundárnou perspektívou aj na právnické osoby v pôsobnosti MPRV SR, je potrebné doplniť existujúcu bezpečnostnú infraštruktúru o ďalšie prvky a technické opatrenia najmä v nasledovných oblastiach:
@@ -254,9 +254,9 @@
  Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu).
--1.
--11. Biznis vrstva
++== 4.1 Biznis vrstva ==
++
  Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy.
 . Bezpečnostný monitoring - zaznamenávanie udalostí a monitorovanie:
@@ -270,43 +270,46 @@
  * Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov.
  * Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response).
--1. Identifikácia zraniteľností a bezpečnostné testovanie:
++      2. Identifikácia zraniteľností a bezpečnostné testovanie:
++
  * Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.
  * Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií).
--1. Sieťová a komunikačná bezpečnosť:
++      3. Sieťová a komunikačná bezpečnosť:
++
  * Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
--1. Bezpečnosť pri prevádzke informačných systémov a sietí:
++      4. Bezpečnosť pri prevádzke informačných systémov a sietí:
++
  * Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete.
--1. Riešenie bezpečnostných incidentov:
++      5. Riešenie bezpečnostných incidentov:
++
  * Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC.
--1. Riadenie prístupov:
++      6. Riadenie prístupov:
++
  * Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
++
  Uvedené biznis funkcie bezpečnostnej architektúry sú na obrázku.
--[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image001.png||alt="Obrázok, na ktorom je text, snímka obrazovky, písmo, rovnobežný
++[[image:Obrázok 2 Biznis funkcie bezpečnostnej architektúry.png||alt="Obrázok 2 Biznis funkcie bezpečnostnej architektúry"]]
--Automaticky generovaný popis"]] //Obrázok 2 Biznis funkcie bezpečnostnej architektúry//
++//Obrázok 2 Biznis funkcie bezpečnostnej architektúry//
--1.
--11.
--111. Prehľad koncových služieb – budúci stav:
++=== 4.1.1 Prehľad koncových služieb – budúci stav: ===
++
  Výstupom projektu nie sú žiadne koncové služby.
--1.
--11.
--111. Jazyková podpora a lokalizácia
++=== 4.1.2 Jazyková podpora a lokalizácia ===
  Tie časti výstupov projektu, ktoré budú mať formu dokumentu, budú vyhotovené a akceptované výhradne v slovenskom jazyku. Rozhrania implementovaných informačných systémov/počítačových programov budú akceptované v slovenskom jazyku, českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku. Všetky dodané  informačné systémy/počítačové programy alebo technické prostriedky IT budú sprevádzané návodom na použitie v slovenskom jazyku a českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku ak sa jedná o s informačné systémy/počítačové programy alebo  technické prostriedky IT, pri ktorých výrobca nezabezpečil príslušnú lokalizáciu. Projektová dokumentácia bude spracovaná v slovenskom alebo českom jazyku.
@@ -313,8 +313,7 @@
  Výstupy z prevádzky systémov budú akceptované primárne v slovenskom jazyku, pričom vo výnimočných prípadoch môže byť akceptovaný aj anglický jazyk. Niektoré špecifické výstupy, ako napríklad záznamy incidentov (logy), môžu byť poskytnuté v podobe skriptov, avšak musí byť zabezpečená ich možnosť transformácie do používateľsky zrozumiteľného jazyka alebo ich interpretácia v zrozumiteľnej podobe.
--1.
--11. Aplikačná vrstva
++== 4.2 Aplikačná vrstva ==
  Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená ďalej popísanými aplikačnými modulmi.
@@ -323,28 +323,23 @@
  * Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.
--
  Sieťová a komunikačná bezpečnosť:
  * Nasadenie ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.
--
  Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring:
  * Implementácia log manažmentu.
  * Implementácia SIEM.
--
  Bezpečnosť pri prevádzke informačných systémov a sietí:
  * Implementácia správy mobilných zariadení (MDM).
--
  Riešenie kybernetických bezpečnostných incidentov:
  * Využitie SOC ako služby od externého subjektu.
--
  Identifikácia zraniteľností a bezpečnostné testovanie.
  * Implementácia vulnerability skenera.
@@ -351,16 +351,12 @@
  * Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
--[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image002.png||alt="Obrázok, na ktorom je text, snímka obrazovky, diagram, dizajn
++[[image:Obrázok 3 Aplikačná architektúra.png||alt="Obrázok 3 Aplikačná architektúra"]]
--Automaticky generovaný popis"]]
--
  Obrázok 3 Aplikačná architektúra
--1.
--11.
--111. Rozsah informačných systémov – AS IS
++=== 4.2.1 Rozsah informačných systémov – AS IS ===
  |Kód ISVS (z MetaIS)|Názov ISVS|(((
  Modul ISVS
@@ -404,36 +404,28 @@
  //Tabuľka 3 Dotknuté ISVS//
--1.
--11.
--111. Rozsah informačných systémov – TO BE
++=== 4.2.2 Rozsah informačných systémov – TO BE ===
  V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.
--1.
--11.
--111. Využívanie nadrezortných a spoločných ISVS – AS IS
++===   ===
++=== 4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS ===
++
  Projekt nebude využívať nadrezortné a spoločne ISVS.
--1.
--11.
--111. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE
++=== 4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE ===
  V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS a nedôjde k vytvoreniu novej integrácie na ISVS na nadrezortné ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.
--1.
--11.
--111. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE
++=== 4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===
  Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.
--1.
--11.
--111. Aplikačné služby pre realizáciu koncových služieb – TO BE
++=== 4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE ===
  Súčasťou projektu nie je plánovaná žiadna aplikačná služba.Aplikačné služby na integráciu – TO BE
@@ -440,22 +440,17 @@
  Výstupom projektu nie sú žiadne aplikačné služby a zároveň výstup projektu nebude mať dopad na aktuálnu, už využívanú a fungujúcu integráciu.
--1.
--11.
--111. Poskytovanie údajov z ISVS do IS CPDI – TO BE
++=== 4.2.7 Poskytovanie údajov z ISVS do IS CPDI – TO BE ===
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu poskytovania údajov v porovnaní s aktuálnym stavom.
--1.
--11.
--111. Konzumovanie údajov z IS CPDI – TO BE
++=== 4.2.8 Konzumovanie údajov z IS CPDI – TO BE ===
  Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu konzumovania údajov z IS CPDI v porovnaní s aktuálnym stavom.// //
--1.
--11. Dátová vrstva
++== 4.3 Dátová vrstva ==
  Medzi výstupy realizované projektu nepatrí žiaden agendový systém, ktorý by nejakým spôsobom zabezpečoval spravovanie údajov ako takých patriacich pod správu MPRV SR. Plánované využitie krabicových počítačových programov zabezpečia výhradne zber a spracovanie údajov potrebných na podporu a udržiavanie kybernetickej a informačnej bezpečnosti. Medzi tieto údaje patria napríklad záznamy zo systému SIEM, informácie o monitorovaní a riešení kybernetických incidentov, zoznamy oprávnení na prístup do systémov, či iné špecifické dáta súvisiace s implementáciou bezpečnostných opatrení.
@@ -462,102 +462,78 @@
  Pre ucelenosť informácií je potrebné zdôrazniť, že akýkoľvek nasadený krabicový systém nie je určený na priamu manipuláciu alebo integráciu s údajmi spravovanými MPRV SR v rámci jeho administratívnych či odborných agend. Jeho funkčnosť sa zameriava výhradne na oblasť bezpečnosti a ochrany infraštruktúry, pričom spravované údaje sú obmedzené na tie, ktoré podporujú efektívne riešenie bezpečnostných výziev. Vzhľadom na tento účel a obmedzený rozsah spravovaných údajov nie je potrebné uvádzať mapovanie štruktúry dát, ktoré patria do primárnej správy MPRV SR, keďže tieto údaje nie sú predmetom správy v rámci projektu.
--1.
--11.
--111. Údaje v správe MPRV SR
++=== 4.3.1 Údaje v správe MPRV SR ===
  Vzhľadom na charakter projektu nie v pláne akákoľvek zmena existujúceho stavu z pohľadu dátovej architektúry na úrovni objektovej evidencie a vzťahov medzi nimi.
--1.
--11.
--111. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE
++===   ===
++=== 4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===
++
  Súčasťou predmetu realizácie projektu nie je realizácia ISVS, resp. agendového systému, preto sa nepočíta s vytváraním nových objektov evidencie ani akoukoľvek úpravou existujúcich procesov a doménového modelu
--1.
--11.
--111. Referenčné údaje
++=== 4.3.3 Referenčné údaje ===
  V rámci predmetu realizácie projektu nebudú využívané referenčné údaje ani projekt nebude poskytovať referenčné údaje.
--1.
--11.
--111.
--1111. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné
++====   ====
++==== 4.3.3.1 Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné ====
++
  V rámci predmetu realizácie projektu nebudú evidované objekty evidencie, nedôjde k vyhláseniu referenčných údajov.
++==== 4.3.3.2 Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CPDI ====
--1.
--11.
--111.
--1111. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov  do/z CPDI
--
  V rámci projektu nebudú spravované údaje určené na konzumovanie alebo poskytovanie do/z CPDI.
--1.
--11.
--111. Kvalita a čistenie údajov
--1111. Zhodnotenie objektov evidencie z pohľadu dátovej kvality
++=== 4.3.4 Kvalita a čistenie údajov ===
++====   ====
++
++==== 4.3.4.1 Zhodnotenie objektov evidencie z pohľadu dátovej kvality ====
++
  Výstupu predmetu realizácie projektu nesúvisí s hodnotím kvality ani čistou údajov týkajúcich sa objektov evidencie.
--1.
--11.
--111.
--1111. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality
++==== 4.3.4.2 Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality ====
  Vzhľadom na charakter realizovaného projektu nie je v pláne realizácia procesov riadenia dátovej kvality.
--1.
--11.
--111. Otvorené údaje
++=== 4.3.5 Otvorené údaje ===
  Vzhľadom na charakter realizovaného projektu nie je v pláne vytvárať alebo modifikovať otvorené údaje MPRV SR.
--1.
--11.
--111. Analytické údaje
++=== 4.3.6 Analytické údaje ===
  V rámci projektu nebudú vytvárané žiadne analytické údaje z agendových ISVS. Pôjde o analytické údaje súvisiace s kybernetickou a informačnej bezpečnosti s ktorými bude pracovať úzka, vybraná a schválená skupina oprávnených používateľov za účelom identifikácie potenciálnych neoprávnených aktivít.
--1.
--11.
--111. Moje údaje
++=== 4.3.7 Moje údaje ===
  Projekt je zameraný na kybernetickú a informačnú bezpečnosť. Z pohľadu „Mojich údajov“ pre IS MOU nebudú vytvárané a ani poskytované žiadne údaje.
--1.
--11.
--111. Prehľad jednotlivých kategórií údajov
++=== 4.3.8 Prehľad jednotlivých kategórií údajov ===
  Predmet realizácie projektu sa nezaoberá údajmi, ktoré by boli klasifikované ako referenčné alebo zahrnuté v kategóriách „Moje údaje“ alebo „Otvorené údaje“. Rovnako sa v rámci projektu nebudú poskytovať údaje určené na analytické účely.
--1.
--11. Technologická vrstva
++== 4.4 Technologická vrstva ==
++===   ===
--1.
--11.
--111. Prehľad technologického stavu - AS IS
++=== 4.4.1 Prehľad technologického stavu - AS IS ===
  Vzhľadom na charakter projektu zameraného na kybernetickú a informačnú bezpečnosť MPRV SR neuvádzame podrobný existujúci prehľad technologického stavu. Technické riešenia v projekte budú integrované v plnom rozsahu do súčasných IT, ktorej stav je detailne zdokumentovaný. Informácie o IT nebudú v tomto dokumente uvádzané, nakoľko ide podľa  klasifikačnej schémy o chránené aktíva. Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v  MPRV SR tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z..
--1.
--11.
--111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE
++=== 4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===
--
  |Parameter|Jednotky|Predpokladaná hodnota|Poznámka
  |Počet EPS (Event per Second)|Počet|minimálne 50 000 EPS|
  |Počet monitorovaných systémov|Počet kusov|minimálne 100 virtuálnych serverov|
@@ -574,9 +574,7 @@
  //Tabuľka 4 Výkonnostné parametre//
--1.
--11.
--111. Návrh riešenia technologickej architektúry
++=== 4.4.3 Návrh riešenia technologickej architektúry ===
  IT prostredie MPRV SR je heterogénna infraštruktúra pozostávajúcej ako z hardvérovej tak aj virtualizovanej infraštruktúry. S ohľadom na charakter projektu zameraného na implementáciu technických opatrení pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti MPRV SR nebude súčasťou projektu vývoj nových ITVS a rovnako nedôjde k preprogramovaniu starých ITVS do nového štandardu. Projekt je zameraný na implementáciu niekoľkých ucelených logických celkov:
@@ -605,7 +605,6 @@
 *. Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.
 *. Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.
--
  Implementáciou vyššie uvedených opatrení budú zároveň zrealizované nasledovné oprávnené oblasti z vyhlásenej výzvy zo dňa 24.05.2024 kód: **PSK-MIRRI-616-2024-DV-EFRR**, názov: **„Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“**, priorita: **1P1 Veda, výskum a inovácie**, špecifický cieľ: **RSO 1.2 Využívanie prínosov digitalizácie pre občanov**, **podniky, výskumné organizácie a orgány verejnej správy**, opatrenie: 1.2.1** **Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť B. Kybernetická a informačná bezpečnosť) ktorá je financovaná z prostriedkov mechanizmu Program Slovensko 2021 - 2027, ktorej vyhlasovateľ je Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky:
 . Riadenie prístupov (súvisiaca oblasť výzvy písmeno a))
@@ -616,15 +616,12 @@
 . Riešenie kybernetických bezpečnostných incidentov (súvisiaca oblasť výzvy písmeno k))
--1.
--11.
--111. Využívanie služieb z katalógu služieb vládneho cloudu
++=== 4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===
  Projekt nebude využívať služby vládneho cloudu.
--1.
--11. Bezpečnostná architektúra
++== 4.5 Bezpečnostná architektúra ==
  Audit kybernetickej bezpečnosti bol zrealizovaný MPRV SR v období od 13.12.2023 do 14.03.2024, pričom bolo zistených celkovo 97 nesúladov a 37 čiastočných súladov. Na nápravu zistených nesúladov je potrebné prijať adekvátne technické opatrenia, ktoré zahŕňajú predovšetkým implementáciu bezpečnostných technických a programových prostriedkov na podporu riadenia rizík a zraniteľností, riadenie incidentov a bezpečnostný monitoring. Odstránenie čo najväčšieho počtu nesúladov, ktoré vyplynuli z auditu kybernetickej bezpečnosti de facto znamená dosiahnutie súladu s nasledovnými všeobecne záväznými právnymi predpismi SR alebo právnymi aktami EÚ:
@@ -643,19 +643,22 @@
  * Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
--1. Závislosti na ostatné ISVS / projekty
++= 5. Závislosti na ostatné ISVS / projekty =
  Projekt nie je závislý od iných ISVS alebo projektov.
--1. Zdrojové kódy
++= 6. Zdrojové kódy =
  Elementárne stavebné prvky realizácie projektu v zmysle projektového zámeru sú technické prostriedky IT „bežne“ dostupné (nie sú vyvíjané a vyrábané na mieru) a programové prostriedky, ktoré je zaužívané označovať ako „krabicový softvér“. Súčasťou projektu nie je vývoj informačného systému ako diela pre potreby MPRV SR a preto súčasťou realizácie projektu nie je plánované odovzdávanie zdrojových kódov.
--1. Prevádzka a údržba
--11. Prevádzkové požiadavky
++= 7. Prevádzka a údržba =
++
++
++== 7.1 Prevádzkové požiadavky ==
++
  Úroveň podpory používateľov: Help Desk  bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením:
  * **L1 podpora **(Level 1, priamy kontakt zákazníka) – zabezpečuje MPRV SR,
@@ -666,27 +666,21 @@
  Pre služby sú definované takéto SLA: Služby pre zamestnancov úradu Po – Pia, 8:00 - 16:00 (8x5)
--1.
--11.
--111. Úrovne podpory používateľov
++=== 7.1.1 Úrovne podpory používateľov ===
++
  Definícia jednotlivých úrovní podpory:
  * **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov (prevádzkových incidentov)  a požiadaviek koncových používateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení a podobne.
--
  * **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.
--
  * **Podpora L3 (podpora 3. stupňa)** - podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobtiažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.
--
  Incidentom sa rozumie porucha alebo chyba informačného systému (IS), ktorá spôsobuje jeho správanie v rozpore s prevádzkovou alebo používateľskou dokumentáciou. Za incident sa nepovažuje chyba vzniknutá mimo prostredia IS, napríklad výpadok externej služby, ktorá nie je súčasťou IS.
--1.
--11.
--111. Riešenie prevádzkových incidentov – SLA parametre
++=== 7.1.2 Riešenie prevádzkových incidentov – SLA parametre ===
  Závažnosť prevádzkového incidentu bude stanovená na základe jeho dopadu na prevádzku IS a úroveň poskytovaných služieb. Každý prevádzkový incident bude klasifikovaný podľa definovaných kritérií, čo umožní efektívne plánovanie a riešenie problému v súlade s parametrami SLA.
@@ -738,8 +738,7 @@
  //Tabuľka 8 Požadovaná dostupnosť IS//
--1.
--11. Požadovaná dostupnosť IS:
++== 7.2 Požadovaná dostupnosť IS: ==
  |Popis|Parameter|Poznámka
  |**Prevádzkové hodiny**|8 hodín|Po – Pia, 8:00 - 16:00
@@ -756,9 +756,7 @@
  //Tabuľka 9 Požadovaná dostupnosť IS//
--1.
--11.
--111. Dostupnosť (Availability)
++=== 7.2.1 Dostupnosť (Availability) ===
  Dostupnosť predstavuje jeden zo základných pilierov kybernetickej a informačnej bezpečnosti, ktorý zabezpečuje, že údaje a služby informačných systémov sú prístupné v čase, keď sú potrebné na zabezpečenie prevádzky MPRV SR. Tento aspekt je obzvlášť dôležitý pre ochranu kritických procesov a reakciu na kybernetické hrozby, pričom narušenie dostupnosti môže mať zásadný vplyv na chod MPRV SR a splnenie jej zákonných povinností.
@@ -778,7 +778,6 @@
  * RPO (Recovery Point Objective) - maximálne množstvo dát, ktoré môže byť stratené v dôsledku incidentu, pričom táto hodnota sa nastaví na základe analýzy kritických procesov.
  * Recovery Time - čas potrebný na úplnú obnovu systému vrátane technologických a organizačných opatrení.
--
  **Rizikové faktory ovplyvňujúce dostupnosť**
  Na dostupnosť informačných systémov má vplyv viacero faktorov, ktoré budú v projekte aktívne riešené:
@@ -803,13 +803,13 @@
  * implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,
  * testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).
--
  Spolupráca so SOC: Rýchla reakcia na incidenty v súčinnosti so službami bezpečnostného operačného centra (SOC).
  Projekt tak zabezpečí, že dostupnosť informačných systémov a služieb bude v súlade s požiadavkami kybernetickej a informačnej bezpečnosti a  ustanoveniami všeobecne záväzných právnych predpisov, čím prispeje k ochrane kľúčových procesov a prevádzky MPRV SR.
--1. Požiadavky na personál
++= 8. Požiadavky na personál =
++
  V súlade s požiadavkami samotnej výzvy ako aj v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov je interný projektový tím MPRV SR zostavený projektový tím tak, aby zabezpečil realizáciu projektu v súlade s požiadavkami všeobecne záväzných právnych predpisov. Výzva stanovuje nevyhnutnú účasť IT odborníkov, pričom minimálne je požadovaný manažér kybernetickej bezpečnosti (MKB). Tento tím bude zodpovedný za koordináciu a implementáciu projektu podľa definovaných pravidiel a postupov a pozostáva z nasledovných pozícií:
  Projektové role:
@@ -828,7 +828,6 @@
  * Finančný manažér
  * Asistent PM (PMO)
--
  Takto zostavený projektový tím predstavuje záruku úspešnej realizácie projektu po zabezpečení jeho financovania na základe Žiadosti o nenávratný finančný príspevok (ŽoNFP) podanej v rámci príslušnej výzvy.
@@ -859,7 +859,7 @@
  //Tabuľka 10 Projektový tím [[~[HP1~]>>path:#_msocom_1]] [[~[MOU2~]>>path:#_msocom_2]] //
--1. Implementácia a preberanie výstupov projektu
++= 9. Implementácia a preberanie výstupov projektu =
  Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), ktorá zabezpečuje logickú nadväznosť jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej počas prípravnej fázy projektu. Tento prístup bol zvolený z dôvodu potreby vykonania opatrení kybernetickej bezpečnosti (KB) a informačnej bezpečnosti (IB) vo vzájomných súvislostiach a v správnom postupnom poradí. Hoci niektoré aktivity môžu byť realizované paralelne rôznymi tímami, musia byť koordinované na základe jasne stanovenej stratégie a harmonogramu projektu. Agilný prístup by nebol vhodný vzhľadom na špecifickú povahu projektu a nutnosť jeho realizácie za plnej prevádzky základných služieb MPRV SR.
@@ -873,7 +873,7 @@
  Každá z uvedených realizačných fáz bude predstavovať samostatný fakturačný míľnik, čím sa zabezpečí transparentnosť a postupná kontrola priebehu projektu.
--1. Prílohy
++= 10. Prílohy =
  Dokument neobsahuje prílohy.

Zmeny dokumentu I-03 Prístup k projektu (pristup_k_projektu)

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?