I-03 Prístup k projektu (pristup_k_projektu)

**PRÍSTUP K PROJEKTU**

**Vzor pre manažérsky výstup I-03**

**podľa vyhlášky MIRRI č. 401/2023 Z. z.**

|**Povinná osoba**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky{{/content}}

6

|**Názov projektu**|{{content id="projekt.nazov"}}Technické opatrenia pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti{{/content}}

7

|**Zodpovedná osoba za projekt**| //Meno a priezvisko osoby, ktorá predkladá dokumenty (zamestnanec /Projektový manažér)//

8

|**Realizátor projektu**|{{content id="projekt.asociovane_po" template="[[${po.nazov}]]"}}Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky{{/content}}

9

|**Vlastník projektu**| {{content id="projekt.vlastnik.nazov"}}Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky{{/content}}

10

**Schvaľovanie dokumentu**

11

12

**Podpis**

13

(alebo elektronický súhlas)

)))

= {{id name="_Toc2008675389"/}}1.História dokumentu =

18

19

|**Verzia**|**Dátum**|**Zmeny**|**Meno**

20

|//0.1//|//14.11.2023//|//Pracovný návrh//|

21

|//1.0//|//22.12.2023//|//Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.//|

| | | |

| | | |

1. Účel dokumentu

V súlade **s vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy** (ďalej len „vyhláška MIRRI SR č. 401/2023 Z. z. o riadení projektov“), je **dokument I-03 Prístup k projektu** určený na rozpracovanie detailných informácií k projektu „Technické opatrenia pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti” (ďalej len “projekt”), aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

28

29

Projekt bude implementovať Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky (ďalej ako „MPRV SR“ ), ktoré bude zároveň prijímateľom finančného plnenia z vyhlásenej výzvy „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti “, evidovanej pod kódom: PSK-MIRRI-616-2024-DV-EFRR, názov: „Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“, priorita: 1P1 Veda, výskum a inovácie, špecifický cieľ: RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, opatrenie: 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť B. Kybernetická a informačná bezpečnosť) v rámci Programu Slovensko 2021 - 2027 (ďalej len „PSK“), z ktorého má byť Projekt financovaný.

30

31

Tento dokument je vypracovaný v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a obsahuje komplexný opis navrhovaného riešenia. Tento dokument zahŕňa architektúru riešenia na úrovni biznis vrstvy, aplikačnej vrstvy a infraštruktúry. Celý dokument je vypracovaný tak, aby bol plne v súlade s požiadavkami všeobecne záväzných právnych predpisov, pričom zároveň obsahuje detailný popis implementácie projektu a procesy preberania jeho výstupov.

32

33

1.

34

11. Použité skratky a pojmy

|SKRATKA/POJEM|POPIS

|2FA|Dvojfaktorová autentizácia

39

|Achilles|Systém na vyhľadávanie zraniteľností

40

|AP NKIVS|Akčný plán Národnej koncepcie informatizácie verejnej správy 2021

41

|BCM|Riadenie kontinuity prevádzky

42

|BCR|Pomer prínosov a nákladov z pohľadu návratnosti

43

|CBA|Analýza nákladov a prínosov

44

|FO|Fyzická osoba

45

|FTE|Ekvivalent plného pracovného úväzku

46

|IB|informačná bezpečnosť

47

|IS|informačný systém

48

|ISVS|Informačný systém verejnej správy

49

|IT|Informačná technológia

50

|ITVS|Informačné technológie verejnej správy

51

|KB|Kybernetická bezpečnosť

52

|KBI|Kybernetický bezpečnostný incident

53

|MCA|Multikriteriálna analýza

54

|MIRRI SR|Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

55

|MPRV SR|Ministerstvo pôdohospodárstva a rozvoja vidieka Slovenskej republiky

56

|NASES|Národná agentúra pre sieťové a elektronické služby

57

|NBÚ|Národný bezpečnostný úrad

58

|NKIVS|Národná koncepcia informatizácie verejnej správy

59

|NKKB|Národná koncepcia kybernetickej bezpečnosti

60

|OVM|Orgán verejnej moci

61

|OT|Operačné technológie (Operational technology)

62

|PID|Projektový iniciálny dokument

63

|PM|Projektový manažér

64

|PO|Právnická osoba

65

|PPO|Posilnenie preventívnych opatrení

66

|PZS|Prevádzkovateľ základnej služby

67

|RVP|Riadiaci výbor projektu

68

|SIEM|Systém pre management bezpečnostních informací a událostí (Security Information and Event Management)

69

|SOAR|Proces orchestrácie, automatizácie a odozvy zabezpečenia (Security orchestration, automation and response)

70

|SOC|Bezpečnostné Dohľadové Centrum (Security Operations Center)

71

|SR|Slovenská republika

72

|SSD|Solid-State Drive

73

|TP|Technické prostriedky

74

|TTP|Techniky, taktiky a procedúry

75

|VA|Voltampér

76

|VISKB|Vládny informačný systém kybernetickej bezpečnosti

77

|VJ CSIRT|Vládna jednotka CSIRT (Computer Security Incident Response Team Slovakia, niekedy označovaná aj skratkou CSIRT.SK)

78

|VM|Manažment zraniteľností (Vulnerability management)

79

|VO|Verejné obstarávanie

80

81

//Tabuľka 1 Zoznam použitý skratiek a pojmov //

82

83

1.

84

11. Konvencie pre typy požiadaviek (príklady)

85

86

V zmysle vyhlášky č. 401/2023 Z. z. o riadení projektov je zoznam funkčných, nefunkčných a technických požiadaviek špecifikovaný v samostatnom dokumente **M-05 – Analýza nákladov a prínosov **a preto nie je súčasťou tejto kapitoly.

87

88

Samotné požiadavky sú rozdelené do troch kategórií:

1. funkčné,

1. nefunkčné,

1. technické.

Rozsah požiadaviek uvedených v tomto dokumente nemusí byť konečný a v realizačnej fáze projektu môžu byť upravené alebo doplnené o ďalšie požiadavky, ak si to projekt bude vyžadovať.

95

96

97

Pri označovaní samotných katalógových požiadaviek, ktoré sú súčasťou prílohy tohto dokumentu bola použitá nasledovná konvencia:

98

99

1. Funkčné požiadavky majú nasledovnú konvenciu: **//FP_XX//**

100

101

1. FP – funkčná požiadavka

102

1. XX – poradové číslo požiadavky

103

104

1. Nefunkčné požiadavky majú nasledovnú konvenciu: **//NP_XX//**

105

106

1. NP – nefukčná požiadavka

107

1. XX – poradové číslo požiadavky

108

109

1. Technické požiadavky majú nasledovnú konvenciu: **//TP_XX//**

110

111

1. TP – technická požiadavka

112

1. XX – poradové číslo požiadavky

113

114

115

1. Popis navrhovaného riešenia

116

117

Cieľom projektu je zabezpečiť obstaranie a implementáciu technických a programových prostriedkov, ako aj overiť účinnosť prijatých bezpečnostných opatrení, ktoré majú priamy vplyv na zvyšovanie úrovne kybernetickej a informačnej bezpečnosti na MPRV SR. Tieto opatrenia sa týkajú správy informačných technológií v oblastiach, kde bola identifikovaná najvyššia miera rizika a najväčší dopad, alebo kde je najväčší nesúlad s požiadavkami vyplývajúcimi zo všeobecne záväzných právnych predpisov, na základe výsledkov vykonaného auditu kybernetickej bezpečnosti.

118

119

120

Audit kybernetickej bezpečnosti bol zrealizovaný MPRV SR v období od 13.12.2023 do 14.03.2024, pričom bolo zistených celkovo 97 nesúladov a 37 čiastočných súladov (ďalej len „nesúlady“). Na nápravu zistených nesúladov je potrebné prijať adekvátne technické opatrenia, ktoré zahŕňajú predovšetkým implementáciu bezpečnostných technických a programových prostriedkov na podporu riadenia rizík a zraniteľností, riadenie incidentov a bezpečnostný monitoring.

Predmet projektu:

* implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov[[~[1~]>>path:#_ftn1]] (Log manažment),

126

* konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM),

127

* implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner),

128

* implementácia bezpečnostných sieťových prvkov (napr. sieťový firewall),

129

* implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management),

130

* bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5,

131

* implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,

132

* testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).

133

134

135

Projekt „Technické opatrenia na zvýšenie úrovne kybernetickej a informačnej bezpečnosti informačných technológií v správe MPRV SR“ je zameraný na vybudovanie bezpečnostnej infraštruktúry vo forme technických (programových a technických prostriedkov) nástrojov, technológií a procesov pre posilnenie kybernetickej bezpečnosti MPRV SR.

136

137

Okrem odstránenia nesúladov zistených pri audite kybernetickej bezpečnosti bude nasadenie technických riešení znamenať aj dosiahnutie zlepšenia procesov, komunikácie, zberu dát, analýzy, predchádzanie kybernetickým bezpečnostným incidentom, zrýchlenie riešenia kybernetických bezpečnostných incidentov, zvýšenie personálnej a znalostnej spôsobilosti odborných zamestnancov MPRV SR.

138

139

Pri realizácií projektu **nebudú** realizované aktivity, ktoré súvisia s:

140

141

* vybudovaním jednotky na reakciu na kybernetické bezpečnostné incidenty (jednotka CSIRT),

142

* analytické nástroje na pokročilú malvérovú analýzu, forenznú analýzu a budovanie forenzných laboratórií,

143

* vypracovaním bezpečnostnej dokumentácie,

144

* školeniami pre zamestnancov za účelom zvýšenia ich povedomia v oblasti kybernetickej a informačnej bezpečnosti,

145

* realizáciou stavebných úprav a prác.

146

147

V obecnej rovine sú prínosy projektu zadefinované ako:

148

149

* **Zlepšenie monitorovania a detekcie kybernetických hrozieb**

150

151

Implementácia systému na zaznamenávanie činností sietí a informačných systémov (Log manažment) umožní efektívnejšie sledovanie prevádzkových záznamov a včasnú detekciu kybernetických** **hrozieb na predchádzanie kybernetických bezpečnostných incidentov.

152

153

* **Rýchla identifikácia zraniteľností**

154

155

Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner) zabezpečí, že potenciálne bezpečnostné slabiny v IT budú včas identifikované a môžu byť rýchlo odstránené.

156

157

* **Posilnenie bezpečnosti sietí**

158

159

Zavedenie sieťových firewallov a ďalších bezpečnostných prvkov výrazne zvýši ochranu pred vonkajšími kybernetickými hrozbami a neoprávneným prístupom do IT v správe MPRV SR.

160

161

* **Nepretržitý bezpečnostný dohľad**

162

163

Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service) umožnia dohľad nad činnosťami v IT a rýchlu reakciu v prípade kybernetických hrozieb.

164

165

* **Zvýšenie bezpečnosti prístupov**

166

167

Implementácia dvojfaktorovej autentizácie posilní ochranu prístupu k IT, čo zníži riziko neoprávneného prístupu.

168

169

* **Testovanie účinnosti bezpečnostných opatrení**

170

171

Realizácia penetračných a phishingových testov umožní overiť, ako efektívne sú implementované bezpečnostné opatrenia a zistiť prípadné slabiny, ktoré je potrebné riešiť čo prinesie zvýšenú bezpečnosť riešení.

172

173

174

Z pohľadu samotnej implementácie predmetu projektu a jeho jednotlivých častí, medzi prínosy projektu patria:

175

176

1. Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):

177

178

Zvýšená viditeľnosť a kontrola - centralizovaný log manažment umožňuje lepšie sledovanie a auditovanie činnosti používateľov a systémov, čo prispieva k rýchlej identifikácii bezpečnostných incidentov.

179

180

Zefektívnenie riešenia incidentov - zaznamenávanie prevádzkových záznamov umožní rýchlejšiu a presnejšiu analýzu incidentov, čím sa zníži reakčný čas na potenciálne hrozby.

181

182

1. Konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM):

183

184

* Rýchla detekcia hrozieb - SIEM umožňuje okamžitú detekciu kybernetických útokov a podozrivých aktivít v reálnom čase, čo výrazne zlepšuje schopnosť reakcie na kybernetické bezpečnostné incidenty.

185

* Zníženie rizika narušenia bezpečnosti - automatizované analýzy logov a udalostí znižujú pravdepodobnosť narušenia bezpečnosti prostredníctvom identifikácie anomálií a slabých miest.

186

187

1. Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner):

188

189

* Proaktívna ochrana - skenovanie zraniteľností umožní pravidelné preverovanie systémov a identifikáciu bezpečnostných nedostatkov ešte predtým, než sa stanú terčom útokov.

190

* Zvýšenie odolnosti infraštruktúry - včasné odhalenie a oprava zraniteľností minimalizuje riziko využitia známych slabín, čím sa posilní celková bezpečnosť informačných systémov.

191

192

1. Implementácia bezpečnostných sieťových prvkov (sieťové Firewall-y):

193

194

* Posilnenie ochrany perimetra - nasadenie firewallov zabezpečí ochranu proti neautorizovanému prístupu do siete a zníži riziko narušenia sieťovej infraštruktúry.

195

* Lepšia kontrola prístupu a segmentácia sietí - Firewally umožnia detailnú kontrolu a riadenie sieťového prenosu, čo zlepší schopnosť izolovať a obmedziť bezpečnostné hrozby.

196

197

1. Implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management):

198

199

* Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí – nástroj umožní automatizovať, ovládať a zabezpečovať administráciu mobilných zariadení pripojených k sieti MPRV SR.

200

* Zníženie rizika kompromitácie IT prostredia - správa mobilných zariadení zavedie súhrn opatrení akými sú ochrana firemných údajov šifrovaním, nastavenie vynucovania silných hesiel na mobilných zariadeniach, možnosť vzdialeného vymazania stratených alebo odcudzených zariadení, automatická inštalácia, aktualizácia alebo odstraňovanie aplikácií podľa potrieb MPRV SR a oddelenie pracovných a osobných údajov.

201

202

1. Bezpečnostný monitoring a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5:

203

204

* Nepretržitý bezpečnostný dohľad - Zabezpečí nepretržité monitorovanie a vyhodnocovanie bezpečnostných udalostí, čo umožní rýchlu reakciu na akékoľvek bezpečnostné incidenty.

205

* Odborná podpora - Zlepšenie kvality bezpečnostného dohľadu prostredníctvom profesionálnych služieb SOCaaS, vrátane expertných analýz a reportov.

206

207

1. Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií:

208

209

* Zvýšená ochrana prístupu - dvojfaktorová autentizácia výrazne zvyšuje bezpečnosť prihlasovania a ochranu citlivých údajov pred neautorizovaným prístupom.

210

* Zníženie rizika kompromitácie účtov - ochrana pred phishingom, krádežou hesiel alebo neoprávneným prístupom vďaka pridaniu ďalšej vrstvy autentizácie.

211

212

1. Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov):

213

214

* Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.

215

* Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.

216

217

218

V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich riešenia:

219

220

|ID|Názov cieľa|Názov strategického cieľa|Spôsob realizácie strategického cieľa

221

|1.|Centralizované ukladanie a správa prevádzkových záznamov|Centralizované ukladanie a správa prevádzkových záznamov/logov, chránených proti modifikácii pre analýzu správania s v sieti a informačnom systéme pri kybernetických bezpečnostných incidentoch|Pre dosiahnutie cieľa bude implementovaný nástroj pre zber a ukladanie prevádzkových záznamov tzv. log manažment.

222

|2.|Identifikovanie a riadenie bezpečnostných incidentov|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM)|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM.

223

|3.|Bezpečnostné hrozby/udalosti|Implementácia automatizovaného nástroja na skenovanie zraniteľností (vulnerability scaner) informačných systémov podľa ich kategorizácie a prvkov sieťovej infraštruktúry.|Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner).

224

|4.|Bezpečné sieťové pripojenie do externých sietí|Zabezpečenie zvýšenia bezpečného sieťového pripojenia do externých sietí (Internet, GovNet, MPLS a pod.)|Cieľ bude dosiahnutý nasadením nových sieťových prvkov/sieťových firewallov (NGFW) s funkciami jednotnej ochrany pred hrozbami.

225

|5.|Bezpečnosť pri prevádzke informačných systémov a sietí|Zníženie rizika kompromitácie IT prostredia prostredníctvom mobilného zariadenia|Cieľ bude realizovaný nasadením nástroja pre správu mobilných zariadení a to najmä služobných mobilných telefónov príp. tabletov.

226

|6.|Nepretržitý bezpečnostný monitoring informačných technológií|Nepretržitý bezpečnostný monitoring IT vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu|Implementáciou služby SOC (SOCaaS) sa zabezpečí nepretržitý bezpečnostný monitoring a vykonávanie bezpečnostného dohľadu v režime 8/5.

227

|7.|Riadenie prístupov|Zvýšenie ochrany prístupu k príslušným informačným technológiám zavedením dvojfaktorovej autentizácie|Konfiguráciou dvojfaktorovej autentizácie vo vnútornom IT prostredí ale aj pri vzdialenom prihlásení z externého prostredia.

228

|8.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a pishingových testov.

229

230

//Tabuľka 2 Ciele projektu//

231

232

1. Architektúra riešenia projektu

233

234

Tento projekt predstavuje riešenie vybraných základných prvkov bezpečnostnej architektúry a zároveň aj ďalšie bezpečnostné funkcie realizované v rámci MPRV SR.

235

236

Za účelom zvýšenia úrovne kybernetickej bezpečnosti a informačnej bezpečnosti v rámci MPRV SR so sekundárnou perspektívou aj na právnické osoby v pôsobnosti MPRV SR, je potrebné doplniť existujúcu bezpečnostnú infraštruktúru o ďalšie prvky a technické opatrenia najmä v nasledovných oblastiach:

237

238

* riadenie prístupov,

239

* bezpečnosť pri prevádzke informačných systémov a sietí,

240

* hodnotenie zraniteľností a bezpečnostné aktualizácie,

241

* sieťová a komunikačná bezpečnosť,

242

* zaznamenávanie udalostí a monitorovanie,

243

* riešenie kybernetických bezpečnostných incidentov.

244

245

MPRV SR na základe auditu kybernetickej bezpečnosti identifikovalo najhlavnejšie nedostatočne bezpečnostné opatrenia v oblasti KB. Z týchto dôvodu bude projekt primárne zameraný na implementáciu absentujúcich opatrení zameraných na oblasť kybernetickej bezpečnosti vyplývajúcej zákona č. 69/2018 Z. z. a súčasnej na implementáciu opatrení informačnej bezpečnosti podľa zákona č. 95/2019 Z. z.

246

247

Vzhľadom na fakt, že nejde o implementáciu agendového alebo iného obdobného informačného systému verejnej správy, tak v tomto kontexte je upravený aj popis jednotlivých úrovni architektúry. Keďže MPRV SR požaduje podporu v aktivitách ako sú implementácia bezpečnostných systémov, zariadení alebo technických riešení, sú rovnako jednotlivé bloky architektúry rozpísané spôsobom zohľadňujúcim uvedené skutočnosti.

248

249

V prípade biznis architektúry je dôležité mať na zreteli, že projekt, resp. jeho aktivity, nerealizujú typické služby eGovernment-u a VS. V tomto prípade ide o služby na úrovni bezpečnostnej architektúry VS a preto ako také a z tohto dôvodu, nie sú vedené ako aplikačné služby v MetaIS.

250

251

Ďalej je potrebné poznamenať, že architektúra pre AS-IS stav nie je uvedená. Dôvodom je fakt, že aktuálne projektom riešené služby bezpečnostnej architektúry nie sú vôbec implementované, alebo sú implementované len čiastočne a s nedostatočnou úrovňou.

252

253

Úrovne architektúry sú ďalej rozpísané podľa jednotlivých aktivít projektu a biznis bezpečnostných funkcií.

254

255

Špecifikácia výstupov jednotlivých aktivít je uvedená v kapitole Požadované výstupy (produkt projektu).

1.

11. Biznis vrstva

Biznis architektúra bude pozostávať z nasledovných biznis funkcií, ktoré budú realizovať nižšie uvedené biznis procesy.

261

262

1. Bezpečnostný monitoring - zaznamenávanie udalostí a monitorovanie:

263

264

* Proces bezpečného ukladania a centrálneho zberu logov.

265

* Proces bezpečnostného monitoringu koncových staníc.

266

* Proces bezpečnostného monitoringu informačných systémov a dátových úložísk.

267

* Proces bezpečnostného monitoringu sieťových prvkov a sieťovej infraštruktúry.

268

* Proces bezpečnostného monitoringu aktivít používateľov.

269

* Proces bezpečnostného monitoringu aktivít privilegovaných používateľov.

270

* Proces vyhodnocovania udalostí podporovaný “machine learning” algoritmami a identifikácie kybernetických bezpečnostných incidentov.

271

* Proces orchestrácie, automatizácie a odozvy zabezpečenia (SOAR - Security Orchestration, Automation and Response).

272

273

1. Identifikácia zraniteľností a bezpečnostné testovanie:

274

275

* Proces skenovania zraniteľností jednotlivých IS a sieťových zariadení.

276

* Proces zvyšovania kybernetickej odolnosti formou bezpečnostných testovaní (phishingových simulácií).

277

278

1. Sieťová a komunikačná bezpečnosť:

279

280

* Proces ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.

281

282

1. Bezpečnosť pri prevádzke informačných systémov a sietí:

283

284

* Proces zvyšovania bezpečnosti IT prostredia zavedením správy mobilných zariadení pripájaných do internej siete.

285

286

1. Riešenie bezpečnostných incidentov:

287

288

* Proces detekcie, evidencie, analýzy, vyhodnotenia a riešenie kybernetických bezpečnostných incidentov a bezpečnostne relevantných udalostí s previazaním na SOC.

289

290

1. Riadenie prístupov:

291

292

* Proces dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.

293

294

Uvedené biznis funkcie bezpečnostnej architektúry sú na obrázku.

295

296

[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image001.png||alt="Obrázok, na ktorom je text, snímka obrazovky, písmo, rovnobežný

297

298

Automaticky generovaný popis"]] //Obrázok 2 Biznis funkcie bezpečnostnej architektúry//

1.

11.

111. Prehľad koncových služieb – budúci stav:

303

304

Výstupom projektu nie sú žiadne koncové služby.

1.

11.

111. Jazyková podpora a lokalizácia

310

311

Tie časti výstupov projektu, ktoré budú mať formu dokumentu, budú vyhotovené a akceptované výhradne v slovenskom jazyku. Rozhrania implementovaných informačných systémov/počítačových programov budú akceptované v slovenskom jazyku, českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku. Všetky dodané informačné systémy/počítačové programy alebo technické prostriedky IT budú sprevádzané návodom na použitie v slovenskom jazyku a českom jazyku alebo, po predchádzajúcom súhlase MPRV SR, aj v anglickom jazyku ak sa jedná o s informačné systémy/počítačové programy alebo technické prostriedky IT, pri ktorých výrobca nezabezpečil príslušnú lokalizáciu. Projektová dokumentácia bude spracovaná v slovenskom alebo českom jazyku.

312

313

Výstupy z prevádzky systémov budú akceptované primárne v slovenskom jazyku, pričom vo výnimočných prípadoch môže byť akceptovaný aj anglický jazyk. Niektoré špecifické výstupy, ako napríklad záznamy incidentov (logy), môžu byť poskytnuté v podobe skriptov, avšak musí byť zabezpečená ich možnosť transformácie do používateľsky zrozumiteľného jazyka alebo ich interpretácia v zrozumiteľnej podobe.

1.

11. Aplikačná vrstva

Aplikačná architektúra bude pre jednotlivé relevantné biznis funkcie, uvedené v časti biznis architektúry, tvorená ďalej popísanými aplikačnými modulmi.

Riadenie prístupov:

* Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií.

325

326

327

Sieťová a komunikačná bezpečnosť:

328

329

* Nasadenie ochrany kritických prvkov infraštruktúry využitím sieťových firewallov s funkciami jednotnej ochrany pred hrozbami.

330

331

332

Zaznamenávanie udalostí a monitorovanie – bezpečnostný monitoring:

333

334

* Implementácia log manažmentu.

335

* Implementácia SIEM.

336

337

338

Bezpečnosť pri prevádzke informačných systémov a sietí:

339

340

* Implementácia správy mobilných zariadení (MDM).

341

342

343

Riešenie kybernetických bezpečnostných incidentov:

344

345

* Využitie SOC ako služby od externého subjektu.

346

347

348

Identifikácia zraniteľností a bezpečnostné testovanie.

349

350

* Implementácia vulnerability skenera.

351

* Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).

352

353

354

[[image:file:///C:/Users/jan.segen/AppData/Local/Packages/oice_16_974fa576_32c1d314_267d/AC/Temp/msohtmlclip1/01/clip_image002.png||alt="Obrázok, na ktorom je text, snímka obrazovky, diagram, dizajn

355

356

Automaticky generovaný popis"]]

357

358

Obrázok 3 Aplikačná architektúra

1.

11.

111. Rozsah informačných systémov – AS IS

363

364

365

|Kód ISVS (z MetaIS)|Názov ISVS|(((

366

Modul ISVS

367

368

(zaškrtnite ak ISVS je modulom)

)))|(((

Stav IS VS

(AS IS)

)))|Typ IS VS|(((

Kód nadradeného ISVS

(v prípade zaškrtnutého checkboxu pre modul ISVS)

377

)))

378

|Isvs_9108|Dokumentačný informačný systém zabezpečujúci elektronické spracovanie spisov a administratívnych procesov |☐|(((

Prevádzkovaný a

plánujem rozvíjať

)))|Agendový|

|isvs_8183|Evidencia podnájomných vzťahov k poľnohospodárskym pozemkom |☐|(((

Prevádzkovaný a

plánujem rozvíjať

)))|Agendový|

|isvs_5896|Register zverejňovania ponúk prevodu vlastníctva poľnohospodárskeho pozemku |☐|(((

Prevádzkovaný a

plánujem rozvíjať

)))|Agendový|

|isvs_5893 |Webový portál Programu ovocie a zelenina do škôl |☐|(((

Prevádzkovaný a

plánujem rozvíjať

)))|Prezentačný|

|isvs_5892|Značka kvality SK |☐|(((

Prevádzkovaný a

plánujem rozvíjať

)))|Prezentačný|

//Tabuľka 3 Dotknuté ISVS//

1.

11.

111. Rozsah informačných systémov – TO BE

410

411

V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.

1.

11.

111. Využívanie nadrezortných a spoločných ISVS – AS IS

416

417

Projekt nebude využívať nadrezortné a spoločne ISVS.

1.

11.

111. Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE

423

424

V rámci realizácie projektu nevznikne žiadny nový informačný systém (ISVS) v zmysle definície Zákon č. 305/2013 Z. z. Zákon o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov (zákon o e-Governmente) zákona o ISVS a nedôjde k vytvoreniu novej integrácie na ISVS na nadrezortné ISVS. Výstupom projektu je set opatrení, ktorý ma za ciel zvýšiť kybernetickú a informačnú bezpečnosť MPRV SR.

1.

11.

111. Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

430

431

Súčasťou projektu nie sú plánované žiadne integrácie na ISVS, ISVS iných orgánov verejnej správy ani na IS tretích strán.

1.

11.

111. Aplikačné služby pre realizáciu koncových služieb – TO BE

437

438

Súčasťou projektu nie je plánovaná žiadna aplikačná služba.Aplikačné služby na integráciu – TO BE

439

440

Výstupom projektu nie sú žiadne aplikačné služby a zároveň výstup projektu nebude mať dopad na aktuálnu, už využívanú a fungujúcu integráciu.

1.

11.

111. Poskytovanie údajov z ISVS do IS CPDI – TO BE

446

447

Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu poskytovania údajov v porovnaní s aktuálnym stavom.

1.

11.

111. Konzumovanie údajov z IS CPDI – TO BE

453

454

Vzhľadom na charakter projektu, ktorý je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti, výstup projektu nemá vplyv na aktuálne agendové systémy a nezasahuje do rozsahu konzumovania údajov z IS CPDI v porovnaní s aktuálnym stavom.// //

1.

11. Dátová vrstva

Medzi výstupy realizované projektu nepatrí žiaden agendový systém, ktorý by nejakým spôsobom zabezpečoval spravovanie údajov ako takých patriacich pod správu MPRV SR. Plánované využitie krabicových počítačových programov zabezpečia výhradne zber a spracovanie údajov potrebných na podporu a udržiavanie kybernetickej a informačnej bezpečnosti. Medzi tieto údaje patria napríklad záznamy zo systému SIEM, informácie o monitorovaní a riešení kybernetických incidentov, zoznamy oprávnení na prístup do systémov, či iné špecifické dáta súvisiace s implementáciou bezpečnostných opatrení.

461

462

Pre ucelenosť informácií je potrebné zdôrazniť, že akýkoľvek nasadený krabicový systém nie je určený na priamu manipuláciu alebo integráciu s údajmi spravovanými MPRV SR v rámci jeho administratívnych či odborných agend. Jeho funkčnosť sa zameriava výhradne na oblasť bezpečnosti a ochrany infraštruktúry, pričom spravované údaje sú obmedzené na tie, ktoré podporujú efektívne riešenie bezpečnostných výziev. Vzhľadom na tento účel a obmedzený rozsah spravovaných údajov nie je potrebné uvádzať mapovanie štruktúry dát, ktoré patria do primárnej správy MPRV SR, keďže tieto údaje nie sú predmetom správy v rámci projektu.

1.

11.

111. Údaje v správe MPRV SR

468

469

Vzhľadom na charakter projektu nie v pláne akákoľvek zmena existujúceho stavu z pohľadu dátovej architektúry na úrovni objektovej evidencie a vzťahov medzi nimi.

1.

11.

111. Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

474

475

Súčasťou predmetu realizácie projektu nie je realizácia ISVS, resp. agendového systému, preto sa nepočíta s vytváraním nových objektov evidencie ani akoukoľvek úpravou existujúcich procesov a doménového modelu

1.

11.

111. Referenčné údaje

481

482

V rámci predmetu realizácie projektu nebudú využívané referenčné údaje ani projekt nebude poskytovať referenčné údaje.

1.

11.

111.

1111. Objekty evidencie z pohľadu procesu ich vyhlásenia za referenčné

488

489

V rámci predmetu realizácie projektu nebudú evidované objekty evidencie, nedôjde k vyhláseniu referenčných údajov.

1.

11.

111.

1111. Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CPDI

497

498

V rámci projektu nebudú spravované údaje určené na konzumovanie alebo poskytovanie do/z CPDI.

1.

11.

111. Kvalita a čistenie údajov

504

1111. Zhodnotenie objektov evidencie z pohľadu dátovej kvality

505

506

Výstupu predmetu realizácie projektu nesúvisí s hodnotím kvality ani čistou údajov týkajúcich sa objektov evidencie.

1.

11.

111.

1111. Roly a predbežné personálne zabezpečenie pri riadení dátovej kvality

513

514

Vzhľadom na charakter realizovaného projektu nie je v pláne realizácia procesov riadenia dátovej kvality.

1.

11.

111. Otvorené údaje

Vzhľadom na charakter realizovaného projektu nie je v pláne vytvárať alebo modifikovať otvorené údaje MPRV SR.

1.

11.

111. Analytické údaje

527

528

V rámci projektu nebudú vytvárané žiadne analytické údaje z agendových ISVS. Pôjde o analytické údaje súvisiace s kybernetickou a informačnej bezpečnosti s ktorými bude pracovať úzka, vybraná a schválená skupina oprávnených používateľov za účelom identifikácie potenciálnych neoprávnených aktivít.

1.

11.

111. Moje údaje

Projekt je zameraný na kybernetickú a informačnú bezpečnosť. Z pohľadu „Mojich údajov“ pre IS MOU nebudú vytvárané a ani poskytované žiadne údaje.

1.

11.

111. Prehľad jednotlivých kategórií údajov

541

542

Predmet realizácie projektu sa nezaoberá údajmi, ktoré by boli klasifikované ako referenčné alebo zahrnuté v kategóriách „Moje údaje“ alebo „Otvorené údaje“. Rovnako sa v rámci projektu nebudú poskytovať údaje určené na analytické účely.

1.

11. Technologická vrstva

1.

11.

111. Prehľad technologického stavu - AS IS

552

553

Vzhľadom na charakter projektu zameraného na kybernetickú a informačnú bezpečnosť MPRV SR neuvádzame podrobný existujúci prehľad technologického stavu. Technické riešenia v projekte budú integrované v plnom rozsahu do súčasných IT, ktorej stav je detailne zdokumentovaný. Informácie o IT nebudú v tomto dokumente uvádzané, nakoľko ide podľa klasifikačnej schémy o chránené aktíva. Súčasné bezpečnostné mechanizmy v oblasti monitoringu a hodnotenia zraniteľnosti implementované v MPRV SR tvoria základ, ktorý si vyžaduje ďalší rozvoj pre zaistenie primeranej ochrany spracúvaných informácií voči kybernetickým hrozbám a zároveň zabezpečenie súladu s povinnosťami vyplývajúcimi z ustanovení zákona č. 69/2018 Z. z..

1.

11.

111. Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

559

560

561

|Parameter|Jednotky|Predpokladaná hodnota|Poznámka

562

|Počet EPS (Event per Second)|Počet|minimálne 50 000 EPS|

563

|Počet monitorovaných systémov|Počet kusov|minimálne 100 virtuálnych serverov|

564

|Počet sieťových zariadení|Počet kusov|minimálne 60|

565

|Zber dát a udalostí| |Log záznamy z rôznych zariadení v sieti.|

566

|Počet koncových zariadené (PC a NB)|Počet kusov|minimálne 450|

567

|Normalizácia dát| |Zjednotenie rôznych formátov z heterogénnych zdrojov.|

568

|Korelácia| |Definovanie vzťahu medzi generovanými udalosťami.|

569

|Log management| |Uloženie log záznamov, ich komprimácia a indexácia.|

570

|Monitoring používateľov a aplikácií| |Detekcia neobvyklých aktivít voči politike.|

571

|Počet používateľov|Počet|minimálne 453|Počet systemizovaných miest ku dňu prípravy dokumentácie.

572

|Počet manažovaných mobilných zariadení|Počet kusov| 0 (MPRV SR je v súčasnej dobe vlastníkom 170 ks mobilných zariadení)|

573

574

//Tabuľka 4 Výkonnostné parametre//

1.

11.

111. Návrh riešenia technologickej architektúry

580

581

IT prostredie MPRV SR je heterogénna infraštruktúra pozostávajúcej ako z hardvérovej tak aj virtualizovanej infraštruktúry. S ohľadom na charakter projektu zameraného na implementáciu technických opatrení pre zvýšenie úrovne kybernetickej a informačnej bezpečnosti MPRV SR nebude súčasťou projektu vývoj nových ITVS a rovnako nedôjde k preprogramovaniu starých ITVS do nového štandardu. Projekt je zameraný na implementáciu niekoľkých ucelených logických celkov:

582

583

1. Implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov (Log manažment):

584

1*. Zvýšená viditeľnosť a kontrola - centralizovaný log manažment umožňuje lepšie sledovanie a auditovanie činnosti používateľov a systémov, čo prispieva k rýchlej identifikácii bezpečnostných incidentov.

585

1*. Zefektívnenie riešenia incidentov - zaznamenávanie prevádzkových záznamov umožní rýchlejšiu a presnejšiu analýzu incidentov, čím sa zníži reakčný čas na potenciálne hrozby.

586

1. Konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM):

587

1*. Rýchla detekcia hrozieb - SIEM umožňuje okamžitú detekciu kybernetických útokov a podozrivých aktivít v reálnom čase, čo výrazne zlepšuje schopnosť reakcie na bezpečnostné incidenty.

588

1*. Zníženie rizika narušenia bezpečnosti - automatizované analýzy logov a udalostí znižujú pravdepodobnosť narušenia bezpečnosti prostredníctvom identifikácie anomálií a slabých miest.

589

1. Implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner):

590

1*. Proaktívna ochrana - skenovanie zraniteľností umožní pravidelné preverovanie systémov a identifikáciu bezpečnostných nedostatkov ešte predtým, než sa stanú terčom útokov.

591

1*. Zvýšenie odolnosti infraštruktúry - včasné odhalenie a oprava zraniteľností minimalizuje riziko využitia známych slabín, čím sa posilní celková bezpečnosť informačných systémov.

592

1. Implementácia bezpečnostných sieťových prvkov (sieťové Firewall-y):

593

1*. Posilnenie ochrany perimetra - nasadenie firewallov zabezpečí ochranu proti neautorizovanému prístupu do siete a zníži riziko narušenia sieťovej infraštruktúry.

594

1*. Lepšia kontrola prístupu a segmentácia sietí - Firewally umožnia detailnú kontrolu a riadenie sieťového prenosu, čo zlepší schopnosť izolovať a obmedziť bezpečnostné hrozby.

595

1. Implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management):

596

1*. Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí – nástroj umožní automatizovať, ovládať a zabezpečovať administráciu mobilných zariadení pripojených k sieti MPRV SR.

597

1*. Zníženie rizika kompromitácie IT prostredia - správa mobilných zariadení zavedie súhrn opatrení akými sú ochrana rezortných údajov šifrovaním, nastavenie vynucovania silných hesiel na mobilných zariadeniach, možnosť vzdialeného vymazania stratených alebo odcudzených zariadení, automatická inštalácia, aktualizácia alebo odstraňovanie aplikácií podľa potrieb MPRV SR a oddelenie pracovných a osobných údajov.

598

1. Riešenie kybernetických bezpečnostných incidentov a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SCaaS), vrátane podpory analýzy bezpečnostných relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5:

599

1*. Nepretržitý bezpečnostný dohľad - Zabezpečí nepretržité monitorovanie a vyhodnocovanie bezpečnostných udalostí, čo umožní rýchlu reakciu na akékoľvek bezpečnostné incidenty.

600

1*. Odborná podpora - Zlepšenie kvality bezpečnostného dohľadu prostredníctvom profesionálnych služieb SOCaaS, vrátane expertných analýz a reportov.

601

1. Implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií:

602

1*. Zvýšená ochrana prístupu - dvojfaktorová autentizácia výrazne zvyšuje bezpečnosť prihlasovania a ochranu citlivých údajov pred neautorizovaným prístupom.

603

1*. Zníženie rizika kompromitácie účtov - ochrana pred phishingom, krádežou hesiel alebo neoprávneným prístupom vďaka pridaniu ďalšej vrstvy autentizácie.

604

1. Testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov):

605

1*. Penetračné testy umožnia preveriť, či sú zavedené opatrenia na mieste efektívne pri ochrane pred reálnymi útokmi.

606

1*. Phishingové testy pomáhajú identifikovať slabiny v povedomí zamestnancov o bezpečnosti a overujú ich ostražitosť voči kybernetickým hrozbám.

607

608

609

Implementáciou vyššie uvedených opatrení budú zároveň zrealizované nasledovné oprávnené oblasti z vyhlásenej výzvy zo dňa 24.05.2024 kód: **PSK-MIRRI-616-2024-DV-EFRR**, názov: **„Zvýšenie úrovne kybernetickej a informačnej bezpečnosti“**, priorita: **1P1 Veda, výskum a inovácie**, špecifický cieľ: **RSO 1.2 Využívanie prínosov digitalizácie pre občanov**, **podniky, výskumné organizácie a orgány verejnej správy**, opatrenie: 1.2.1** **Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť B. Kybernetická a informačná bezpečnosť) ktorá je financovaná z prostriedkov mechanizmu Program Slovensko 2021 - 2027, ktorej vyhlasovateľ je Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky:

610

611

1. Riadenie prístupov (súvisiaca oblasť výzvy písmeno a))

612

1. Bezpečnosť pri prevádzke informačných systémov a sietí (súvisiaca oblasť výzvy písmeno d))

613

1. Hodnotenie zraniteľností a bezpečnostné aktualizácie (súvisiaca oblasť výzvy písmeno e))

614

1. Sieťová a komunikačná bezpečnosť (súvisiaca oblasť výzvy písmeno g))

615

1. Zaznamenávanie udalostí a monitorovanie (súvisiaca oblasť výzvy písmeno i))

616

1. Riešenie kybernetických bezpečnostných incidentov (súvisiaca oblasť výzvy písmeno k))

1.

11.

111. Využívanie služieb z katalógu služieb vládneho cloudu

622

623

Projekt nebude využívať služby vládneho cloudu.

1.

11. Bezpečnostná architektúra

628

629

Audit kybernetickej bezpečnosti bol zrealizovaný MPRV SR v období od 13.12.2023 do 14.03.2024, pričom bolo zistených celkovo 97 nesúladov a 37 čiastočných súladov. Na nápravu zistených nesúladov je potrebné prijať adekvátne technické opatrenia, ktoré zahŕňajú predovšetkým implementáciu bezpečnostných technických a programových prostriedkov na podporu riadenia rizík a zraniteľností, riadenie incidentov a bezpečnostný monitoring. Odstránenie čo najväčšieho počtu nesúladov, ktoré vyplynuli z auditu kybernetickej bezpečnosti de facto znamená dosiahnutie súladu s nasledovnými všeobecne záväznými právnymi predpismi SR alebo právnymi aktami EÚ:

630

631

* Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe,

632

* Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti,

633

* Zákon č. 45/2011 Z. z. o kritickej infraštruktúre,

634

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre

635

* informačné technológie verejnej správy,

636

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa

637

* ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy,

638

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na

639

* ochranu osobných údajov,

640

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní

641

* osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o

642

* ochrane údajov),

643

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

644

645

646

1. Závislosti na ostatné ISVS / projekty

647

648

Projekt nie je závislý od iných ISVS alebo projektov.

1. Zdrojové kódy

Elementárne stavebné prvky realizácie projektu v zmysle projektového zámeru sú technické prostriedky IT „bežne“ dostupné (nie sú vyvíjané a vyrábané na mieru) a programové prostriedky, ktoré je zaužívané označovať ako „krabicový softvér“. Súčasťou projektu nie je vývoj informačného systému ako diela pre potreby MPRV SR a preto súčasťou realizácie projektu nie je plánované odovzdávanie zdrojových kódov.

654

655

656

1. Prevádzka a údržba

657

11. Prevádzkové požiadavky

658

659

Úroveň podpory používateľov: Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením:

660

661

* **L1 podpora **(Level 1, priamy kontakt zákazníka) – zabezpečuje MPRV SR,

662

663

* **L2 podpora ** (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje prevádzkovateľ IS – verejný obstarávateľ),

664

665

* **L3 podpora **(Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný uchádzač).

666

667

Pre služby sú definované takéto SLA: Služby pre zamestnancov úradu Po – Pia, 8:00 - 16:00 (8x5)

1.

11.

111. Úrovne podpory používateľov

672

673

Definícia jednotlivých úrovní podpory:

674

675

* **Podpora L1 (podpora 1. stupňa)** - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov (prevádzkových incidentov) a požiadaviek koncových používateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení a podobne.

676

677

678

* **Podpora L2 (podpora 2. stupňa)** – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

679

680

681

* **Podpora L3 (podpora 3. stupňa)** - podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobtiažnejších hlásení, vrátane prevádzania hĺbkových analýz a riešenie extrémnych prípadov.

682

683

684

Incidentom sa rozumie porucha alebo chyba informačného systému (IS), ktorá spôsobuje jeho správanie v rozpore s prevádzkovou alebo používateľskou dokumentáciou. Za incident sa nepovažuje chyba vzniknutá mimo prostredia IS, napríklad výpadok externej služby, ktorá nie je súčasťou IS.

1.

11.

111. Riešenie prevádzkových incidentov – SLA parametre

690

691

Závažnosť prevádzkového incidentu bude stanovená na základe jeho dopadu na prevádzku IS a úroveň poskytovaných služieb. Každý prevádzkový incident bude klasifikovaný podľa definovaných kritérií, čo umožní efektívne plánovanie a riešenie problému v súlade s parametrami SLA.

692

693

Označenie naliehavosti prevádzkového incidentu:

694

695

|Označenie naliehavosti prevádzkového incidentu|Závažnosť prevádzkového incidentu|Popis naliehavosti prevádzkového incidentu

696

|A|Kritická|Kritické chyby, ktoré spôsobia úplné zlyhanie informačného systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS a nie je možné použiť IS ani náhradným riešením.

697

|B|Vysoká|Chyby a nedostatky, ktoré zapríčinia čiastočné zlyhanie informačného systému ale umožňuje používať časť informačného systému alebo je možné použiť IS náhradným riešením.

698

|C|Stredná|Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania informačného systému.

699

|D|Nízka|Nezávažné drobné chyby, ktoré nespôsobia funkčnosť informačného systému ako celku alebo jeho väčšej alebo podstatnej časti.

700

701

//Tabuľka 5 Riešenie incidentov//

možný dopad:

|Označenie závažnosti prevádzkového incidentu|Dopad|Popis dopadu

707

|1|katastrofický|katastrofický dopad, priamy finančný dopad alebo strata dát,

708

|2|značný|značný dopad alebo strata dát

709

|3|malý|malý dopad alebo strata dát

710

711

//Tabuľka 6 Označenie závažnosti prevádzkového incidentu//

712

713

714

Výpočet priority prevádzkového incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

715

716

|(% colspan="2" rowspan="2" %)Matica priority prevádzkových incidentov|(% colspan="3" %)Dopad

717

|Katastrofický - 1|Značný - 2|Malý - 3

718

|(% rowspan="4" %)Naliehavosť|Kritická - A|1|2|3

|Vysoká - B|2|3|3

|Stredná - C|2|3|4

|Nízka - D|3|4|4

//Tabuľka 7 Matica priority prevádzkových incidentov//

724

725

726

Vyžadované reakčné doby:

727

728

|Označenie priority prevádzkového incidentu|Reakčná doba^^(1)^^ od nahlásenia prevádzkového incidentu po začiatok jeho riešenia incidentu|Doba konečného vyriešenia prevádzkového incidentu od jeho nahlásenia incidentu (DKVI) ^^(2)^^|(((

729

Spoľahlivosť ^^(3)^^

730

731

(počet prevádzkovaných incidentov za mesiac)

732

)))

733

|1|0,5 hod.|4 hodín|1

734

|2|1 hod.|12 hodín|2

735

|3|1 hod.|24 hodín|10

736

|4|1 hod.|(% colspan="2" %)Vyriešené a nasadené v rámci plánovaných nových vydaní/aktualizácií

737

738

//Tabuľka 8 Požadovaná dostupnosť IS//

1.

11. Požadovaná dostupnosť IS:

743

744

|Popis|Parameter|Poznámka

745

|**Prevádzkové hodiny**|8 hodín|Po – Pia, 8:00 - 16:00

746

|(% rowspan="2" %)**Servisné okno**|14 hodín|od 17:00 hod. - do 7:00 hod. počas pracovných dní

747

|24 hodín|od 00:00 hod. - 23:59 hod. počas dní pracovného pokoja a štátnych sviatkov Servis a údržba sa bude realizovať mimo pracovného času.

748

|**Dostupnosť produkčného prostredia IS**|97%|(((

749

* 97% z 24/7/365 t. j. max ročný neplánovaný výpadok je 10,95 dňa. Maximálny mesačný neplánovaný výpadok je 21,9 hodiny.

750

* Vždy sa za takúto dobu považuje čas od 0.00 hod. do 23.59 hod. počas pracovných dní v týždni.

751

* Nedostupnosť IS sa počíta od nahlásenia prevádzkového incidentu Zákazníkom v čase dostupnosti podpory Poskytovateľa (t. j. nahlásenie prevádzkového incidentu na L3 v čase od 6:00 hod. - do 18:00 hod. počas pracovných dní). Do dostupnosti IS nie sú započítavané servisné okná a plánované odstávky IS.

752

753

V prípade nedodržania dostupnosti IS bude každý ďalší začatý pracovný deň nedostupnosti braný ako deň omeškania bez odstránenia prevádzkového incidentu.

754

)))

755

756

//Tabuľka 9 Požadovaná dostupnosť IS//

1.

11.

111. Dostupnosť (Availability)

762

763

Dostupnosť predstavuje jeden zo základných pilierov kybernetickej a informačnej bezpečnosti, ktorý zabezpečuje, že údaje a služby informačných systémov sú prístupné v čase, keď sú potrebné na zabezpečenie prevádzky MPRV SR. Tento aspekt je obzvlášť dôležitý pre ochranu kritických procesov a reakciu na kybernetické hrozby, pričom narušenie dostupnosti môže mať zásadný vplyv na chod MPRV SR a splnenie jej zákonných povinností.

764

765

Dostupnosť sa meria ako percento času, počas ktorého sú systémy plne funkčné, pričom sa využíva štandardizovaná metrika na hodnotenie dopadu výpadkov. Napríklad:

766

767

* 99% dostupnosť predstavuje maximálne 3,65 dňa výpadku za rok,

768

* 99,9% dostupnosť („tri deviatky“) znamená výpadok do 8,76 hodiny za rok,

769

* 99,999% dostupnosť („päť deviatok“) umožňuje len 5,26 minút nedostupnosti ročne.

770

771

Projekt pre kybernetickú a informačnú bezpečnosť (KIB) sa zameria na splnenie vysokých štandardov dostupnosti, pričom cieľom je minimalizovať riziko nedostupnosti kritických informačných systémov a údajov.

772

773

**Kľúčové parametre dostupnosti**

774

775

Pre meranie a riadenie dostupnosti budú v rámci projektu využité nasledovné ukazovatele:

776

777

* RTO (Recovery Time Objective) - doba potrebná na obnovu systému po výpadku, ktorá bude určená v súlade s potrebami jednotlivých komponentov informačného systému.

778

* RPO (Recovery Point Objective) - maximálne množstvo dát, ktoré môže byť stratené v dôsledku incidentu, pričom táto hodnota sa nastaví na základe analýzy kritických procesov.

779

* Recovery Time - čas potrebný na úplnú obnovu systému vrátane technologických a organizačných opatrení.

780

781

782

**Rizikové faktory ovplyvňujúce dostupnosť**

783

784

Na dostupnosť informačných systémov má vplyv viacero faktorov, ktoré budú v projekte aktívne riešené:

785

786

* Dostupnosť serverových infraštruktúr a sieťových prvkov,

787

* Stabilita pripojenia na internet a jeho redundancia,

788

* Spoľahlivosť databázových informačných systémov,

789

* Prevádzka webových aplikácií a ich dostupnosť pre používateľov.

790

791

V prípade, že sú niektoré časti infraštruktúry zabezpečované existujúcimi externými dodávateľmi, dostupnosť týchto služieb je pokrytá zmluvou SLA (Service Level Agreement), ktorá presne určuje minimálne požadované parametre dostupnosti. V prípadoch, pri ktorých dôjde k dodaniu nových častí infraštruktúry bude, obdobne ako pri existujúcej infraštruktúre, vypracovaná nová zmluva o SLA.

792

793

**Návrh opatrení na zaistenie dostupnosti**

794

795

V rámci projektu budú implementované nasledovné opatrenia:

796

797

* implementácia systému na zaznamenávanie činnosti sietí a informačných systémov a ich používateľov prostredníctvom prevádzkových záznamov[[~[2~]>>path:#_ftn2]] (Log manažment),

798

* konfigurácia a plná implementácia nástroja na analýzu a vyhodnocovanie prevádzkových záznamov (SIEM),

799

* implementácia nástroja na detegovanie zraniteľností (Vulnerability scanner),

800

* implementácia bezpečnostných sieťových prvkov (napr. sieťový firewall),

801

* implementácia nástroja pre správu mobilných zariadení (MDM - Mobile Device Management),

802

* riešenie bezpečnostných incidentov a kontrola prevádzkových záznamov na dennej báze (SOC as a Service - SOCaaS), vrátane podpory analýzy bezpečnostne relevantných udalostí a vykonávanie bezpečnostného dohľadu v režime 8/5,

803

* implementácia dvojfaktorovej autentizácie pre príslušné prístupy do informačných technológií,

804

* testovanie prijatých opatrení kybernetickej bezpečnosti (formou penetračných a phishingových testov).

805

806

807

Spolupráca so SOC: Rýchla reakcia na incidenty v súčinnosti so službami bezpečnostného operačného centra (SOC).

808

809

Projekt tak zabezpečí, že dostupnosť informačných systémov a služieb bude v súlade s požiadavkami kybernetickej a informačnej bezpečnosti a ustanoveniami všeobecne záväzných právnych predpisov, čím prispeje k ochrane kľúčových procesov a prevádzky MPRV SR.

810

811

1. Požiadavky na personál

812

813

V súlade s požiadavkami samotnej výzvy ako aj v súlade s vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov je interný projektový tím MPRV SR zostavený projektový tím tak, aby zabezpečil realizáciu projektu v súlade s požiadavkami všeobecne záväzných právnych predpisov. Výzva stanovuje nevyhnutnú účasť IT odborníkov, pričom minimálne je požadovaný manažér kybernetickej bezpečnosti (MKB). Tento tím bude zodpovedný za koordináciu a implementáciu projektu podľa definovaných pravidiel a postupov a pozostáva z nasledovných pozícií:

Projektové role:

* Projektový manažér,

818

* Kľúčový používateľ,

* Analytik IT,

* Architekt IT,

* Tester IT

* Biznis vlastník (vlastník alebo vlastníci procesov),

823

* Manažér kybernetickej bezpečnosti,

824

* Manažér prevádzky IT.

825

826

Ďalšie projektové role:

* Finančný manažér

* Asistent PM (PMO)

Takto zostavený projektový tím predstavuje záruku úspešnej realizácie projektu po zabezpečení jeho financovania na základe Žiadosti o nenávratný finančný príspevok (ŽoNFP) podanej v rámci príslušnej výzvy.

|2.|(((

Mgr. Roman Branderský

839

840

Bc, René Salic

841

)))| |Odbor prevádzky IT a kybernetickej bezpečnosti|Kľúčový používateľ

842

|3.|(((

843

Mgr. Roman Branderský

844

845

Ing. Róbert Červenec

846

)))| |Odbor prevádzky IT a kybernetickej bezpečnosti|Analytik IT

|6.|(((

Ing. Jaroslav Rohaľ

Ing. Petra Hudáková

)))| |Odbor stratégie a implementácie IT|Biznis vlastník (vlastník alebo vlastníci procesov)

//Tabuľka 10 Projektový tím [[~[HP1~]>>path:#_msocom_1]] [[~[MOU2~]>>path:#_msocom_2]] //

860

861

862

1. Implementácia a preberanie výstupov projektu

863

864

Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), ktorá zabezpečuje logickú nadväznosť jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej počas prípravnej fázy projektu. Tento prístup bol zvolený z dôvodu potreby vykonania opatrení kybernetickej bezpečnosti (KB) a informačnej bezpečnosti (IB) vo vzájomných súvislostiach a v správnom postupnom poradí. Hoci niektoré aktivity môžu byť realizované paralelne rôznymi tímami, musia byť koordinované na základe jasne stanovenej stratégie a harmonogramu projektu. Agilný prístup by nebol vhodný vzhľadom na špecifickú povahu projektu a nutnosť jeho realizácie za plnej prevádzky základných služieb MPRV SR.

865

866

Implementácia a preberanie výstupov projektu budú prebiehať podľa nasledovného harmonogramu:

867

868

* **Dodávka technických a programových prostriedkov** zahŕňa obstaranie všetkých technických prostriedkov IT, programových prostriedkov vrátane príslušných licencií na ich užívanie, príp. používanie a služieb potrebných na realizáciu predmetu projektu. V zmysle harmonogramu bude dodávka realizovaná maximálne v rozsahu 6 mesiacov od vydania písomného pokynu na začatie tejto časti projektu.

869

* **Analýza a dizajn**: ako súčasť realizačnej fázy zameraná podrobnú analýzu a návrh riešenia a bude prebiehať počas obdobia 5 mesiacov od vydania písomného pokynu na jej začatie.

870

* **Implementácia a testovanie** navrhovaných riešení a opatrení a ich komplexné testovanie bude trvať 8 mesiacov od dodania potrebných technických a programových prostriedkov.

871

* V záverečnej fáze projektu sa zabezpečí **nasadenie riešenia do prevádzky** a jeho integrácia do existujúcich systémov a existujúcej infraštruktúry. Táto fáza bude trvať 3 mesiace od ukončenia „implementácia a testovanie“.

872

873

Každá z uvedených realizačných fáz bude predstavovať samostatný fakturačný míľnik, čím sa zabezpečí transparentnosť a postupná kontrola priebehu projektu.

1. Prílohy

Dokument neobsahuje prílohy.

----

[[~[1~]>>path:#_ftnref1]] Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.

884

885

[[~[2~]>>path:#_ftnref2]] Pojmom „prevádzkový záznam“ je pre jednoznačnosť v tomto dokumente chápaný ako udalosť (event) zaznamenaná hardvérovým alebo softvérom komponentom, ktorá je relevantná z pohľadu kybernetickej a informačnej bezpečnosti. Nejde o udalosť (event), ktorú je potrebné sledovať z pohľadu prevádzky IT.

----

[[~[HP1~]>>path:#_msoanchor_1]]Projektový tím bude pozostávať z pozícií:

Projektové role:

Projektový manažér,