Naposledy upravil Gabriela Farkašová 2025/03/20 11:35
Z verzie 27.1
upravil Jozef Tomeček
-
Zmeniť komentár: Pre túto verziu nie sú komentáre
Do verzie 52.3
upravil Jozef Tomeček
-
Zmeniť komentár: Pre túto verziu nie sú komentáre

Súhrn

Podrobnosti

Vlastnosti stránky
Obsah
... ... @@ -12,7 +12,6 @@
12 12  |**Vlastník projektu**| {{content id="projekt.vlastnik.nazov"}}Ministerstvo cestovného ruchu a športu Slovenskej republiky{{/content}}
13 13  **Schvaľovanie dokumentu**
14 14  
15 -
16 16  |**Položka**|**Meno a priezvisko**|**Organizácia**|**Pracovná pozícia**|**Dátum**|(((
17 17  **Podpis**
18 18  (alebo elektronický súhlas)
... ... @@ -24,6 +24,8 @@
24 24  |**Verzia**|**Dátum**|**Zmeny**|**Meno**
25 25  |//0.1//|//20.12.2024//|//Pracovný návrh//|
26 26  |//0.5//|//30.12.2024//|//Pracovný návrh//|
26 +|1.0|27.01.2025|Zapracované pripomienky|
27 +|2.0|26.02.2025|Aktualizácia a úpravy na základe pripomienok|
27 27  
28 28  = {{id name="_Toc152607284"/}}{{id name="_Toc683485446"/}}{{id name="_Toc365474999"/}}{{id name="_Toc1488819067"/}}{{id name="_Toc461533771"/}}{{id name="_Toc1193242276"/}}{{id name="_Toc738207424"/}}{{id name="_Toc2067375730"/}}{{id name="_Toc336064095"/}}{{id name="_Toc62328600"/}}{{id name="_Toc1636304797"/}}{{id name="_Toc635885549"/}}{{id name="_Toc152607283"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
29 29  
... ... @@ -88,22 +88,20 @@
88 88  
89 89  == 2.2 Konvencie pre typy požiadaviek (príklady) ==
90 90  
91 -//Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atd. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek, rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách je možné rozšíriť podľa potrieb projektu, napríklad~://
92 92  //**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu~://
93 -//**FRxx**//
93 +//**RFxx**//
94 94  
95 -* //U – užívateľská požiadavka//
96 96  * //R – označenie požiadavky//
96 +* //U – užívateľská požiadavka//
97 97  * //xx – číslo požiadavky//
98 98  
99 -//**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu~://
99 +//**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu~://
100 100  
101 -//**NRxx**//
101 +**RNF//xx//**
102 102  
103 -* //N – nefukčná požiadavka (NFR)//
104 104  * //R – označenie požiadavky//
104 +* //N – nefunkčná požiadavka (RNF)//
105 105  * //xx – číslo požiadavky//
106 -//Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.//
107 107  
108 108  = {{id name="_Toc47815693"/}}{{id name="_Toc152607289"/}}{{id name="_Toc2101596728"/}}{{id name="_Toc21597077"/}}{{id name="_Toc200637902"/}}{{id name="_Toc1533185111"/}}{{id name="_Toc1887694913"/}}{{id name="_Toc824463063"/}}{{id name="_Toc2032956156"/}}{{id name="_Toc1083272272"/}}{{id name="_Toc1535460233"/}}{{id name="_Toc2126332012"/}}{{id name="_Toc461677146"/}}{{id name="_Toc152607288"/}}3. DEFINOVANIE PROJEKTU =
109 109  
... ... @@ -115,16 +115,13 @@
115 115  
116 116  Predmetom projektu je zavedenie nástrojov kybernetickej a informačnej bezpečnosti na Ministerstve cestovného ruchu a športu SR. Kybernetická bezpečnosť je z pohľadu architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry. Toto novovzniknuté ministerstvo, ktoré iba zakladá infraštruktúru a základné aplikačné celky, považuje za nutné spísanie základných bezpečnostných štandardov a nasadenie úvodných bezpečnostných technológií pri vzniku aplikačných celkov a zavádzaní interných procesov a smerníc. Z pohľadu infraštruktúry je ideálne budovať bezpečnostné princípy na začiatku, čo zásadne znižuje náklady na dodatočné prispôsobovanie aplikácií moderným požiadavkám.
117 117  
118 -Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zvýšenie úrovne kybernetickej a informačnej bezpečnosti zabezpečením základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečením iných vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne:
117 +Predmetom projektu v súlade s hodnotiacim kritériami výzvy je zabezpečenie základných činností v oblasti kybernetickej a informačnej bezpečnosti v organizácii žiadateľa a zabezpečenie vybraných činností zameraných na prevenciu pred kybernetickými bezpečnostnými incidentmi v organizácii žiadateľa konkrétne:
119 119  
120 -* (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
121 -* (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dáta
122 -* (SIEM, SOAR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktiví
123 -* (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port securit
124 -* (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov
125 -* (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
126 -* incident response, remediation a audit služba
127 -* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materialy pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu
119 +* Kryptografické nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
120 +* SIEM a Threat Intelligence nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít, platforma pre sumarizáciu a zhodnotenie Attack Surface, Risk Management, Exposure Management, obohatenie informácií z externého ako aj interného prostredia prostredníctvom Vulnerability management, Cloud Posture a nástrojov pre kontinuálne testovanie bezpečnosti webových aplikácií ako aj monitoring externého prostredia prostredníctvom Threat Intelligence a Platformy pre IoC management
121 +* Incident response, remediation a audit služba s proaktívnou ochranou proti Ransomware nezávislou od AV riešenia
122 +* Web Aplikačný Firewall s DDoS ochranou webových aplikácií
123 +* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materialy pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu. Vypracovanie bezpečnostného projektu ISVS, podľa prílohy č. 3 vyhlášky UPVII č. 179/2020 Z. z.
128 128  
129 129  Pri realizácií projektu **nebudú** realizované aktivity, ktoré súvisia s:
130 130  
... ... @@ -161,9 +161,9 @@
161 161  |**Interná skratka projektu** |**ZUKIBMCRS**
162 162  |Realizátor a vlastník projektu|Ministerstvo cestovného ruchu a športu Slovenskej republiky
163 163  |ID MetaIS |projekt_3223
164 -|Dátum začatia realizačnej fáz |09/2025
165 -|Dátum ukončenia dokončovacej fázy  |09/2027
166 -|Plánovaný rozpočet projektu |2 964 678 EUR vrátane DPH
160 +|Dátum začatia realizačnej fáz |04/2025
161 +|Dátum ukončenia dokončovacej fázy  |11/2025
162 +|Plánovaný rozpočet projektu |2 985 797 EUR vrátane DPH
167 167  |Zdroj financovania |Program Slovensko 2021 – 2027 (SK – EFRR/KF/FST/ESF+)
168 168  |Kód výzvy|PSK-MIRRI-616-2024-DV-EFRR
169 169  |Miesto realizácie|Slovenská republika
... ... @@ -277,10 +277,8 @@
277 277  |(% style="width:67px" %)**ID**|(% style="width:180px" %)
278 278  \\**Názov cieľa**|**Názov strategického cieľa**|**Spôsob realizácie strategického cieľa**
279 279  |1.|Centralizované zabezpečenie a správa šifrovacích kľúčov|Centralizované zabezpečenie a správa šifrovacích kľúčov pre technické zabezpečenie dátovej suverenity a elimináciu neautorizovaného prístupu k údajom.|Pre dosiahnutie cieľa budú implementované nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovaného prístupu k údajom.
280 -|2.|Identifikovanie a riadenie bezpečnostných incidentov|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM)|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM.
281 -|3.|Monitoring a správa bezpečnostných hrozieb, udalostí a rizík|Monitoring a správa zraniteľností (vulnerability scaner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.|Implementácia nástroja na monitoring a správu zraniteľností (vulnerability scaner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.
282 -|4.|Ochrana prístupov, aplikácií a zariadení|Zamedzenie prístupu k závadnému a nebezpečnému obsahu, ochrana webových aplikácií, izolácia prístupov na základe kategorizácie a klasifikácie zariadení, aplikácií a údajov.|Implementácia nástrojov umožňujúcich filtrovanie obsahu, integráciu s Microsoft Entra, poskytujúcich funkcionality web aplikačného firewallu a umožňujúcich nastavenie pravidiel pre ochranu zariadení, aplikácií a prístupov.
283 -|5.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a pishingových testov.
276 +|2.|Identifikovanie a riadenie bezpečnostných incidentov a správa bezpečnostných hrozieb, udalostí a rizík|Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM), rozšírený o Monitoring a správa zraniteľností (vulnerability scanner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.|Vyhodnocovanie a analýzy budú zabezpečené implementáciou nástroja SIEM. Implementácia nástroja na monitoring a správu zraniteľností (vulnerability scanner), bezpečnostných hrozieb a riadenie rizík informačných a komunikačných systémov a technológií podľa ich kategorizácie.
277 +|3.|Overovanie prijatých opatrení kybernetickej bezpečnosti|Overovanie prijatých opatrení kybernetickej bezpečnosti realizáciou penetračných a phishingových testov pre zabezpečenie auditných a kontrolných činností|Overovanie prijatých opatrení kybernetickej bezpečnosti bude zabezpečené vykonávaním penetračných a phishingových testov.
284 284  
285 285  Tabuľka 4 Ciele projektu
286 286  
... ... @@ -287,6 +287,7 @@
287 287  
288 288  == {{id name="_Toc152607308"/}}3.5 Merateľné ukazovatele (KPI) ==
289 289  
284 +(% style="width:1632px" %)
290 290  |**ID**|
291 291  \\**ID/Názov cieľa**|**Názov
292 292   ukazovateľa **(KPI)|**Popis
... ... @@ -295,7 +295,7 @@
295 295   merateľné hodnoty
296 296   **(aktuálne)|**TO BE
297 297  Merateľné hodnoty
298 - **(cieľové hodnoty)|**Spôsob ich merania**|**Pozn.**
293 + **(cieľové hodnoty)|**Spôsob ich merania**|(% style="width:60px" %)**Pozn.**
299 299  |1.|PO095 / PSKPSOI12|Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne, napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.|Verejné inštitúcie|0|1|(((
300 300  Vykonanie interného auditu kybernetickej bezpečnosti po implementácií  technických opatrení na zistenie skutočnej úrovne prijatých bezpečnostných opatrení
301 301  
... ... @@ -302,7 +302,7 @@
302 302  Čas plnenia:
303 303  
304 304  Fyzické ukončenie realizácie hlavných aktivít projektu
305 -)))|Výstup
300 +)))|(% style="width:60px" %)Výstup
306 306  |2.|PR017 / PSKPRCR11|Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov|Počet používateľov v oblasti KB a IB|Počet|0|5|(((
307 307  Vyhodnocovanie funkciami nástroja na analýzu logov a udalostí.
308 308  
... ... @@ -309,8 +309,36 @@
309 309  Čas plnenia:
310 310  
311 311  V rámci udržateľnosti projektu
312 -)))|Výstup
307 +)))|(% style="width:60px" %)Výstup
308 +|3|3|NW security pre aplikácie|Služby súvisiace so zaistením bezpečnosti serverových aplikácií po NW úrovni|Počet|0|1|(((
309 +Natívnymi implementovanými nástrojmi WAF a DDoS
313 313  
311 +Čas plnenia:
312 +
313 +V rámci udržateľnosti projektu
314 +)))|(% style="width:60px" %)výstup
315 +|4|4|Zabezpečenie kryptografického materiálu|Zabezpečenie kľúčov vo FIPS140-3 lvl 3 zariadení kompatibilnom a rozšíritešnom o možnosti vládneho cloudu|počet|0|4|(((
316 +2 zariadenia typu HSM a 2 zaridenia tymu KMS
317 +
318 +Čas plnenia:
319 +
320 +V rámci udržateľnosti projektu
321 +)))|(% style="width:60px" %)výstup
322 +|5|5|SIEM a TI systém|Zber logov zo zariadení a aplikácií a iných XDR čiastkových nástrojov, vyhodnocovanie udalostí a možnož automatickej reakcie|počet|0|1|(((
323 +Existencia centralizovanej platformy napojenej na Risk Management, attack surface, Threat Intell a exposure management
324 +
325 +Čas plnenia:
326 +
327 +V rámci udržateľnosti projektu
328 +)))|(% style="width:60px" %)Výstup
329 +|6|6|Incident respose|Kontrakt pre eskaláciu problémov v prípade núdze a zabezpečenie proti Ransomware|počet|0|1|(((
330 +Zabezpečenie eskalačného kontraktu pre riešenie pokročilých kybernetických hrozieb a audit prostredia
331 +
332 +Čas plnenia:
333 +
334 +V rámci udržateľnosti projektu
335 +)))|(% style="width:60px" %)výstup
336 +
314 314  Tabuľka 5 Merateľné ukazovatele
315 315  
316 316  
... ... @@ -375,8 +375,7 @@
375 375  
376 376  **Nevýhody:**
377 377  
378 -* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné a personálne zdroje na implementáciu nových technických riešení.
379 -* Dlhšie implementačné obdobie. Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
401 +* Vyššie počiatočné investície. Táto alternatíva si vyžaduje značné finančné na implementáciu nových technických riešení.
380 380  
381 381  === 3.8.3 Alternatíva 3 – Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení ===
382 382  
... ... @@ -391,7 +391,6 @@
391 391  **Výhody:**
392 392  
393 393  * Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MinCRS SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
394 -* Rýchlejšia implementácia niektorých opatrení. Vzhľadom na použitie dostupných nástrojov môžu byť niektoré opatrenia zavedené rýchlejšie.
395 395  
396 396  **Nevýhody:**
397 397  
... ... @@ -398,46 +398,119 @@
398 398  * Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
399 399  * Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
400 400  * Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
422 +* Dlhšia implementačná doba vzhľadom na absenciu interného personálu schopného integrovať riešenia od nuly bez zazmluvnenej podpory výrobcu
423 +* Chýbajúce medzinárodné certifikácie o bezpečnosti nasadzovaného riešenia
401 401  
402 402  == {{id name="_Toc152607316"/}}{{id name="_Toc272880027"/}}{{id name="_Toc1555402845"/}}{{id name="_Toc202773756"/}}{{id name="_Toc184325397"/}}{{id name="_Toc668554681"/}}{{id name="_Toc1254416069"/}}{{id name="_Toc1027950788"/}}{{id name="_Toc1148271670"/}}{{id name="_Toc113941326"/}}{{id name="_Toc531942663"/}}{{id name="_Toc154507425"/}}3.9 Multikriteriálna analýza ==
403 403  
427 +
428 +Stakeholders pre multikriteriálnu analýzu:
429 +
430 +Interní užívatelia: využívajúce prístup k interným aplikáciám. Systém musí chrániť komunikačnú vrstvu, zabezpečiť prístup k dátam iba povolenou cestou pre overenú identitu.
431 +
432 +Administrátori: zabezpečujúci integritu dát a stablitu systémov. Dáta musia byť chránené pred administrátormi, ktorí sú zodpovední za riešenie a systémy, nemusia mať však prístup k citlivým údajom.
433 +
434 +Externí užívatelia: ich dáta sú spracovávané. V rámci prístupu k dátam je potrebné zabezpečiť ich ochranu pred insider threats, ako aj pred neznámymi vektormi. V prípade odcudzenia dát potrebujeme zabezpečiť OOB šifrovanie (v prípade odcudzenia dát budú nečitateľné)
435 +
436 +Ministerstvo ako celok: garantujúce kvalitu dát a dostupnosť služieb
437 +
438 +Externí administrátori: dodávky expertných činností pre jednotlivé aplikačné celky. Administrátori nemusia mať prístup k čitateľným dátam, pri zmene externého dodávateľa nie nutná rotácia kľúčov a rešifrovanie celého prostredia.
439 +
440 +Kontrolná jednotka CSIRT, NBÚ, eskalační experti: analýza a vyšetrovanie útokov na základe kvalitných metadát a logov z prostredia. Jednoduché hľadanie súvislostí a korelovanie záznamov z viacerých bezpečnostných nástrojov a aplikácií samotných.
441 +
404 404  {{id name="_Toc152607317"/}}{{id name="_Toc2141037501"/}}{{id name="_Toc305797393"/}}{{id name="_Toc757025235"/}}{{id name="_Toc799792984"/}}{{id name="_Toc1320898353"/}}{{id name="_Toc662890955"/}}{{id name="_Toc2002161453"/}}{{id name="_Toc463175707"/}}{{id name="_Toc660959900"/}}{{id name="_Toc1051940062"/}}{{id name="_Toc1081082045"/}}{{id name="_Toc47815700"/}}{{id name="_Toc521508981"/}}(% style="color:inherit; font-family:inherit; font-size:max(20px, min(24px, 12.8889px + 0.925926vw))" %)3.10 Stanovenie alternatív v aplikačnej vrstve architektúry
405 405  
406 -Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Z tohto dôvodu chceme zabezpečiť aplikácie pomocou ZTNA SASE princípu pre minimalizovanie rizika útoku, nezaoberáme sa špecializovaným samoučiacim WAF alebo DDoS ochranou. Jednotli komponenty aplikácií sú prevne postavené alebo plánované na využití microservices, čo znamená, že je nutné zabezpečiť integritu spojenia medzi jednotlivými službami.
444 +Aplikačná vrstva pozostáva z plánovaných 20 aplikácií, ktoré sú postupne nasadzované, ich primárne použitie je pre interné potreby a nie je plánované ich publikovať do internetu pre širokú verejnosť. Publikované aplikácie budú chránené pomocou WAF s DDoS ochranou. Vzhľadom na existenciu plnohodnotného NG firewall on-prem a aj v Azure Cloud sa neuvažuje s použim ZTNA, aplikácie budú sprístupnené pomocou existujúcich VPN koncentrátorov. Integritu komunikácie jednotlivých microservices v rámci prostre bude zabezpečovať NG firewall za poitia IPSec tunelov.
407 407  
408 -Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, kde tradičVPN riešenie je neefektívne.
446 +Externé systémy nie sú pripojené k interným aplikáciám, nie je to však vylúčené v blízkej budúcnosti. Bezpečnostný systém ako celok navrhujeme tak, aby bolo možné tieto prepojenia realizovať aj medzi komponentami Cloud infraštruktúry, zabezpečenie je plánované na úrovni WAF s inšpekciou spojenia.
409 409  
410 -== {{id name="_Toc152607318"/}}{{id name="_Toc1308618109"/}}{{id name="_Toc1709724880"/}}{{id name="_Toc1118245238"/}}{{id name="_Toc416893103"/}}{{id name="_Toc1814703501"/}}{{id name="_Toc1969952445"/}}{{id name="_Toc1495260625"/}}{{id name="_Toc1603455053"/}}{{id name="_Toc245422461"/}}{{id name="_Toc1058442113"/}}{{id name="_Toc2040067840"/}}{{id name="_Toc47815701"/}}{{id name="_Toc521508982"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
448 +Alternatívy zabezpečenia v aplikačnej vrstve:
411 411  
412 -Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe nemonitorované a dodatočne nechránené. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. Legacy systémy hostované v Azure a vládnom cloude sú chránené pomocou peer to site VPN, izolované štandarným firewallom poskytovaným v rámci Cloud prostredia. V prípade Azure hovoríme o statefull firewall. Pri existujúcom nasadený je iba obmedzený prehľad o dátových tokoch (v prostredí M365), nie sme schopní identifikovať insider threats. Na základe existujúcich bezpečnostných služieb, kto sú súčasťou M365 E5 je možné iba čiastočne identifikovať, resp. zabrániť úniku dát.
450 +**Alternatíva 1: ponechanie existujúceho riešenia**
413 413  
414 -LAN sieť v centrálnej lokalite je chráne NG FW s implementovanou mikrosegmentáciou pre hosting serveroch služieb v interných priestoroch. Je tu absencia centralizovaného IPAM, DNS security, DHCP security, 802.1x. Fyzická bezpečno portov a prestupových pravidiel je bez možnosti auditu a potrebnej centralizácie.
452 + Alternatíva je rozpore so zákonom 69/2018 a jeho doplňujúcimi usmerneniami. V existujúcom stave nie je ministerstvo schopné zabezpečiť bezpečno dát naprieč systémami, odhaliť potenciálne riziko, predchádzať riziku na viacerých vrstch (sieť), efektívne povoľovať prístup aplikáciám a dátam pre užívateľov za perimetrom siete (filtrovanie spravovaných zariadení od nespravovaných), ako aj neschopnosť poskytnúť dostatočné dáta pre fornezné vyšetrovanie.
415 415  
454 +**Alternatíva 2: Implementácia čiastkových opatrení pomocou vlastných možností a OpenSource riešení**
455 +
456 +Táto alternatíva predpokladá implementáciu iba čiastkových technických opatrení s využitím dostupných riešení typu OpenSource a vlastných technických kapacít MinCRS SR. Riešenie by sa zameriavalo len na kritické oblasti a nešlo by o komplexný systémový prístup. Technické opatrenia by boli implementované postupne, s využitím existujúcich možností a kapacít. Doba implementácie by bola príliš dlhá.
457 +
458 +Dôsledky implementácie čiastkových opatrení pomocou vlastných možností a OpenSource riešení:
459 +
460 +* Čiastočné zlepšenie kybernetickej bezpečnosti. Aj keď dôjde k zlepšeniu zabezpečenia infraštruktúry, toto riešenie nebude pokrývať všetky oblasti. Môže preto vzniknúť nerovnomerná ochrana v rôznych častiach IT MinCRS SR.
461 +* Nedostatočné odstránenie nesúladov z auditu kybernetickej bezpečnosti. Táto alternatíva by v krátkej dobe nezabezpečila zvýšenú zhodu so zákonnými povinnosťami, čím by zostali niektoré povinnosti aj naďalej nesplnené. Naďalej pretrváva riziko udelenia sankcií.
462 +* Obmedzené zlepšenie odolnosti proti kybernetickým útokom. Postupné a čiastkové riešenia by nezaručili úplnú ochranu, najmä v prípade vysoko sofistikovaných kybernetických útokov.
463 +
464 +Výhody:
465 +
466 +* Nižšie náklady na implementáciu. Využitie OpenSource riešení a vlastných kapacít znamená nižšie počiatočné investície avšak OpenSourse si rovnako bude vyžadovať náklady spojené s poskytovaním podpory a interné kapacity ľudských zdrojov na jeho udržiavanie a upravovanie na potreby MinCRS SR a nové bezpečnostné hrozby, ktoré sa dynamicky menia.
467 +
468 +Nevýhody:
469 +
470 +* Nízka efektivita v dlhodobom horizonte. Čiastočné riešenia nemusia zabezpečiť dostatočnú ochranu IT a je vyšší predpoklad vzniku kybernetického bezpečnostného incidentu, čo môže viesť k vyšším nákladom na riešenie kybernetických bezpečnostných incidentov.
471 +* Riziko neefektívnosti. OpenSource riešenia nemusia byť komplexné, dostatočne spoľahlivé alebo kompatibilné s ostatnými systémami, čo môže viesť k prevádzkovým problémom.
472 +* Nesplnenie zákonných povinností. Nepokrytie všetkých požiadaviek znamená pretrvávajúce riziko udelenia sankcií.
473 +* Chýbajúca zábezpeka výrobcu, že dané riešenie bude inovované súbežne s vývojom nových hrozieb
474 +* Potreba udržovať expertné pozície pre vývoj riešení
475 +
476 +**Alternatíva 3: Implementácia navrhovaných technických opatrení**
477 +
478 +Táto alternatíva predstavuje systémové a komplexné riešenie zamerané na implementáciu moderných technických opatrení, ktoré zvýšia úroveň kybernetickej a informačnej bezpečnosti MinCRS SR. Ide o riešenie, ktoré zahŕňa zavedenie pokročilých technológií, ako je systém na riadenie a evidenciu prístupov, inventarizáciu, ochranu a kontrolu zariadení, ochranu údajov pred neautorizovaným prístupom, odcudzením a zneužitím, SIEM (Security Information and Event Management) pre identifikovanie a analyzovanie bezpečnostných udalostí, vulnerability scanner na detekciu zraniteľností na všetkých prvkoch infraštruktúry, ochranu záloh pred neautorizovanou obnovou a iných ochranných technológií.
479 +
480 +Zmena stavu dôsledkom implementácie navrhovaných technických opatrení:
481 +
482 +* Zvýšenie súladu s požiadavkami na kybernetickú a informačnú bezpečnosť. Implementáciou tejto alternatívy dôjde k splneniu významnej časti povinností vyplývajúcich zo zákona č. 69/2018 Z. z. a zákona č. 95/2019 Z. z., čím sa odstránia nesúlady zistené najmä auditom kybernetickej bezpečnosti.
483 +* Zvýšená odolnosť proti kybernetickým útokom. Systémové opatrenia a technológie zvyšujú celkovú odolnosť voči rôznym kybernetickým hrozbám, či už ide o malvér, phishingové útoky alebo iné formy kybernetických útokov.
484 +* Zvýšená bezpečnosť dát a infraštruktúry. Identifikácia a hodnotenie zraniteľností, modernizovaná bezpečnosť pri prevádzke informačných systémov a sietí s funkciami jednotnej ochrany pred hrozbami a ďalšie bezpečnostné mechanizmy zabezpečia ochranu  údajov.
485 +
486 +Výhody:
487 +
488 +* Zvýšenie bezpečnosti infraštruktúry. Komplexné technické riešenie prinesie vysokú úroveň ochrany.
489 +* Prevencia pred kybernetickými bezpečnostnými incidentmi. Efektívne riadenie a monitorovanie bezpečnostných hrozieb a kybernetických bezpečnostných incidentov v reálnom čase pre odhalenie útokov zvonku aj zvnútra.
490 +* Dlhodobé úspory. Investícia do komplexného riešenia znižuje budúce náklady spojené s riešením potenciálnych kybernetických bezpečnostných incidentov alebo sankcií za nesplnenie zákonných požiadaviek.
491 +* Ručenie za funkčnosť riečenia a jeho aktualizácia a adaptácia na nové hrozby 3ťou stranou
492 +* Nie je nutné mať vysoko kvalifikovaných expertov pre rozvoj a údržbu riešenia. Takýto experti nie sú ekonomicky udržateľní v rámci využiteľnosti na vnútorné potreby.
493 +
494 +Nevýhody:
495 +
496 +* Vyššie počiatočné investície. Táto alternatíva si vyžaduje finančné zdroje na implementáciu nových technických riešení.
497 +* Kompletné zavedenie systémov môže trvať určitý čas, počas ktorého je potrebné zabezpečiť priebežnú ochranu.
498 +
499 +== {{id name="_Toc152607318"/}}{{id name="_Toc1308618109"/}}{{id name="_Toc1709724880"/}}{{id name="_Toc1118245238"/}}{{id name="_Toc416893103"/}}{{id name="_Toc1814703501"/}}{{id name="_Toc1969952445"/}}{{id name="_Toc1495260625"/}}{{id name="_Toc1603455053"/}}{{id name="_Toc245422461"/}}{{id name="_Toc1058442113"/}}{{id name="_Toc2040067840"/}}{{id name="_Toc47815701"/}}{{id name="_Toc521508982"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==
500 +
501 +Pripojenie celej sieťovej infraštruktúry je prostredníctvom verejného internetu, v súčasnej dobe monitorované prostredníctvom NG FW služieb a dodatočne chránené prostredníctvom S2S VPN. Jediná ochrana prepoju medzi komponentami a sieťami je pomocou TLS spojení. LAN sieť v centrálnej lokalite je chránená NG FW s implementovanou mikrosegmentáciou pre hosting serverových služieb v interných priestoroch. FW  spolu s Microsoft Networking zabezpečuje centralizovaným spôsobom IPAM, DNS, DHCP, 802.1x. Fyzická bezpečnosť portov a prestupových pravidiel je centralizovaná prostredníctvom Network Access Control komponentu.
502 +
416 416  = {{id name="_Toc152607319"/}}{{id name="_Toc235638817"/}}{{id name="_Toc2038485909"/}}{{id name="_Toc1889369710"/}}{{id name="_Toc54886926"/}}{{id name="_Toc472227250"/}}{{id name="_Toc1379517775"/}}{{id name="_Toc540855301"/}}{{id name="_Toc1475201524"/}}{{id name="_Toc1214716058"/}}{{id name="_Toc240714683"/}}{{id name="_Toc476051484"/}}{{id name="_Toc47815703"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =
417 417  
418 418  * Projektové výstupy v zmysle vyhlášky 401/2023 o riadení projektov
419 -* (CASB, ZTNA, DLP, WAF) implementovaná ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
420 -* (HSM, KMS, HYOK) implementované nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
421 -* (SIEM, XDR) implementované nástroje pre centrálnu evidenciu logov z informačných systémov a zavedené procesy pre vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
422 -* (Exposure, Risk, Vulnerability, CIAM) implementované nástroje a zavedené procesy pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov
423 -* (Threat Intelligence, IoC, Supply Chain) implementované nástroje a zavedené procesy na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
424 -* (IPAM, 802.1x) implementované zabezpečenie základných sieťových služieb v heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security
425 -* implementované incident response, remediation a auditné služby a procesy
426 -* rozšírenie výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológií
427 -* vypracovaný bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík
506 +* Kryptografia: nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
507 +* SIEM a TI:  nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít, platforma pre sumarizáciu a zhodnotenie Attack Surface, Risk Management, Exposure Management, obohatenie informácií z externého ako aj interného prostredia prostredníctvom Vulnerability management, Cloud Posture a nástrojov pre kontinuálne testovanie bezpečnosti webových aplikácií ako aj monitoring externého prostredia prostredníctvom Threat Intelligence a Platformy pre IoC management
508 +* Incident response, remediation a audit služba s proaktívnou ochranou proti Ransomware nezávislou od AV riešenia
509 +* Web Aplikačný Firewal s DDoS ochranou webových aplikácií
510 +* Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík podľa Zákona 69/2018 (Kybernetická bezpečnosť, 95/2019 (IT verejnej správy), 18/2018 (GDPR), Školiace materiály pre MKB, riadenie kontinuity (BCP, BIA, DRP), vulenrability a incident management a pridružené procesy podľa ITIL/ITSM, klasifikácia informácií, bezpečnosť koncových prvkov, a služby bezpečnostného architekta počas implementácie projektu
428 428  
429 429  = {{id name="_Toc982854671"/}}{{id name="_Toc744122543"/}}{{id name="_Toc1493751813"/}}{{id name="_Toc452731307"/}}{{id name="_Toc1695646942"/}}{{id name="_Toc534841930"/}}{{id name="_Toc654836100"/}}{{id name="_Toc1570812277"/}}{{id name="_Toc1016816405"/}}{{id name="_Toc609127555"/}}{{id name="_Toc1888607264"/}}{{id name="_Toc47815704"/}}5. NÁHĽAD ARCHITEKTÚRY =
430 430  
431 431  [[image:1735579792213-181.png]]
432 432  
433 -Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Aplikácia ISšport je naviazaná na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloudu a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu.
516 +Existujúce prostredie je umiestnené vo verejnom cloude, vládnom cloude a vo vlastných priestoroch (1 lokácia). Dominantná platforma z pohľadu počtu aplikácií, jednoduchosti a efektívnosti rozvoja je zvolená Microsoft Azure a Microsoft 365, pričom väčšina aplikácií je založená na princípe Cloud Native Appliactions & Microservices. Systém ISŠport je naviazaný na externé vstupy z CSRU a GP, preto je umiestnená v prostredí vládneho cloud, a prepojená prostredníctvom GOVNET siete. Celý tento aplikačný celok je izolovaný od ostatných aplikácií alebo verejného internetu. Internú izoláciu zabezpečuje perimetrický a segmentový NG Firewall, ktorý má site-to-site VPN do Azure prostredia cez NG Firewall v Azure prostredí od rovnakého výrobcu ako v on-prem.
434 434  
435 435  Technologická architektúra sa oproti súčasnému stavu nemení a bude prevádzkovaná v rovnakom technologickom prostredí. Technologická vrstva budúceho stavu vychádza zo súčasného stavu a bude podporená novými nasadenými bezpečnostnými nástrojmi prevádzkovanými na viacerých technológiách. To znamená, že existujúci stav postavený na princípe dostupnosti prostredníctvom verejného internetu bude zachovaný a chceme implementovať bezpečnostné nástroje pre efektívne obmedzenie komunikácie. Takto zachovaná decentralizácia z pohľadu hostingu služieb a pripojení je efektívna pre jednoduché sťahovanie funkčných celkov a dáva možnosti optimalizácie nákladov, ako postupné navyšovanie výkonu podľa aktuálnych potrieb v čase.
436 436  
520 +[[**Šifrovanie, zabezpečenie a management šifrovacích kľúčov**>>image:Encryption.png||alt="key_management_encryption"]]
521 +
522 +
523 +[[**WAF a DDOS ochrana**>>image:waf_ddos.png||alt="waf_ddos_protection"]]
524 +
525 +
526 +
527 +[[**Identifikácia a management hrozieb a útokov**>>image:xdr_ti_soar.png||alt="xdr_ti_soar"]]
528 +
529 +
530 +
437 437  Zhodnotenie existujúceho stavu bezpečnostnej architektúry a návrh požadovaného rozšírenia:
438 438  
439 -|**Existujúce riešenie Microsoft 365 E5**|**Požadované rozšírenie:**|(% style="width:679px" %)**Poznámka**|(% style="width:251px" %)**Legislatívna úprava**
440 -|Microsoft Entra ID P2 (IAM + MFA)| |(% style="width:679px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:251px" %)(((
533 +|(% style="width:240px" %)**Existujúce riešenie Microsoft 365 E5**|(% style="width:80px" %)**Požadované rozšírenie:**|(% style="width:1022px" %)**Poznámka**|(% style="width:290px" %)**Legislatívna úprava**
534 +|(% style="width:240px" %)Microsoft Entra ID P2 (IAM + MFA)|(% style="width:80px" %) |(% style="width:1022px" %)Plne vyhovujúce požiadavkám na centrálnu evidenciu účtov a zariadení. Microsoft Entra P2 + MFA je natívne využiteľné pre SAML a OpenID overovanie pre web aplikácie s tzv. Modern Authentication, pričom rozšírenie o Microsoft NPS server umožňuje použitie RADIUS protokolu pre legacy aplikácie (napr. VPN)|(% style="width:290px" %)(((
441 441  ZoKB 69/2018, § 20 ods. 3 písm, c.
442 442  
443 443  ZoKB 69/2018, § 20 ods. 3 písm, h.
... ... @@ -446,7 +446,7 @@
446 446  
447 447  NIS2 A: 5,10
448 448  )))
449 -|Microsoft Defender for Endpoint|ZTNA, CASB|(% style="width:679px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Vážne nedostatky bez ZTNA prístupu kontrolujúceho spojenie doplňujúce URLF napríklad fileless útoky napr. na úrovni IPS. Nutné je rozšírenie existujúceho riešenia o NG FW služby pre aktívny Web protection a browser isolation.|(% style="width:251px" %)(((
543 +|(% style="width:240px" %)Microsoft Defender for Endpoint|(% style="width:80px" %) |(% style="width:1022px" %)Antivírus dostupný pre Windows, Linux, Android, iOS. Podporovaná je aj aplikačná izolácia pomocou work profile s absenciou NGFW služieb na klientskej strane. Tieto nedostatky dostatočne riešené prostredníctvom NG FW doplneného URLF a IPS (napríklad fileless útoky).|(% style="width:290px" %)(((
450 450  ZoKB 69/2018, § 20 ods. 3 písm, f.
451 451  
452 452  Dora ch.14
... ... @@ -453,7 +453,7 @@
453 453  
454 454  NIS2 A: 5, 15
455 455  )))
456 -|Microsoft Defender XDR|SIEM a SOAR riešenie|(% style="width:679px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov|(% style="width:251px" %)(((
550 +|(% style="width:240px" %)Microsoft Defender XDR|(% style="width:80px" %)SIEM a SOAR riešenie|(% style="width:1022px" %)Existujúce riešenie je viazané iba na služby M365 bez dodatočnej možnosti integrácie 3rd party nástrojov pre audit a rozšírenú automatizáciu externých vendorov. Potrebné je rozšírenie pre automatické vyhodnocovanie hrozieb z Azure prostredia, koncových staníc, 3ťo stranových komponentov a aplikácií s možnosťou automatických reakcií a doplňovania informácí z tretích strán.|(% style="width:290px" %)(((
457 457  ZoKB 69/2018, § 20 ods. 3 písm, e.
458 458  
459 459  ZoKB 69/2018, § 20 ods. 3 písm, j.
... ... @@ -460,7 +460,7 @@
460 460  
461 461  NIS2 A: 5, 6
462 462  )))
463 -|Microsoft Defender for Identity| |(% style="width:679px" %)Plne vyhovujúce riešenie|(% style="width:251px" %)(((
557 +|(% style="width:240px" %)Microsoft Defender for Identity|(% style="width:80px" %) |(% style="width:1022px" %)Plne vyhovujúce riešenie|(% style="width:290px" %)(((
464 464  ZoKB 69/2018, § 20 ods. 3 písm, e.
465 465  
466 466  Dora ch.4
... ... @@ -467,7 +467,7 @@
467 467  
468 468  NIS2 A: 5,10
469 469  )))
470 -|Microsoft Defender for Cloud Apps|ZTNA, CASB|(% style="width:679px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán, ne v bezpečnostné kontroly proti škodlivému du (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:251px" %)(((
564 +|(% style="width:240px" %)Microsoft Defender for Cloud Apps|(% style="width:80px" %) |(% style="width:1022px" %)Existujúce riešenie má viditeľnosť pre SaaS riešenia v rámci M365 integrácie, nerieši externé prostredie Azure, legacy systémy, vládny cloud, integrácie na microservisy z 3tích strán. Tieto nedostatky sú riešeprostredníctvom 3rd party NG FW riešenia s plnou podporou dodtaočných služieb (IPS, antimalware, antibot, DNS protection, URL filtering, WAF)|(% style="width:290px" %)(((
471 471  ZoKB 69/2018, § 20 ods. 3 písm, f.
472 472  
473 473  ZoKB 69/2018, § 20 ods. 3 písm, e.
... ... @@ -476,7 +476,7 @@
476 476  
477 477  NIS2 A: 5,10, 15
478 478  )))
479 -|Microsoft Defender for Office 365|DLP|(% style="width:679px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. s absenciou DLP zabraňujúcemu úniku dát za pomoci sofistikovanejších metód. |(% style="width:251px" %)(((
573 +|(% style="width:240px" %)Microsoft Defender for Office 365|(% style="width:80px" %) |(% style="width:1022px" %)Dostatočná ochrana pre Email, MS-Teams, Sharepoint. DLP zabraňujúce úniku dát za pomoci sofistikovanejších metód nie je zatiaľ nutné integrovať vzhľadom na množstvo a klasifikáciu spracovaných dát. Citlivé dáta budú zaistené prostredníctvom KMS.|(% style="width:290px" %)(((
480 480  ZoKB 69/2018, § 20 ods. 3 písm, e.
481 481  
482 482  Dora ch.13
... ... @@ -483,7 +483,7 @@
483 483  
484 484  NIS 2 A: 5, 9
485 485  )))
486 -|Information Protection and Governance|HSM, KMS|(% style="width:679px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:251px" %)(((
580 +|(% style="width:240px" %)Information Protection and Governance|(% style="width:80px" %)HSM, KMS|(% style="width:1022px" %)Ochrana je výhradne v rámci M365 prostredia, bez dodatočnej kryptografie. Pri rozšírení služieb o Azure Vault nie je zabezpečená dátová suverenita, pretože kľúče aj dáta sú spravované jedným subjektom.|(% style="width:290px" %)(((
487 487  ZoKB 69/2018, § 20 ods. 3 písm, i.
488 488  
489 489  ZoKB 69/2018, § 20 ods. 3 písm, l.
... ... @@ -492,7 +492,7 @@
492 492  
493 493  NIS 2 A 5, 10
494 494  )))
495 -|Microsoft Purview eDiscovery|CASB, DLP|(% style="width:679px" %)Iba čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Je nutné rozšíriť viditeľnosť a smerovanie dát aj mimo prostredia M365 do externých systémov. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP.|(% style="width:251px" %)(((
589 +|(% style="width:240px" %)Microsoft Purview eDiscovery|(% style="width:80px" %) |(% style="width:1022px" %)čiastočne vyhovujúce riešenie, zamerané výhradne na prostredie M365. Viditeľnosť a smerovanie dát mimo prostredia M365 do externých systémov je zabezpečená prostredníctvom content filtering na úrovni NG FW. PurView eDiscovery je čiastočné riešenie pre komplexnejšie DLP, ktoré nie je nutné zatiaľ implementovať.|(% style="width:290px" %)(((
496 496  ZoKB 69/2018, § 20 ods. 3 písm, l.
497 497  
498 498  Dora ch.13, 15
... ... @@ -499,7 +499,7 @@
499 499  
500 500  NIS2 A: 15
501 501  )))
502 -|Microsoft Purview Insider Risk Management|DLP|(% style="width:679px" %)Nevyhovujúce riešenie, ktoré nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie|(% style="width:251px" %)(((
596 +|(% style="width:240px" %)Microsoft Purview Insider Risk Management|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie nepokrýva Android klientov (cca 40% zariadení). Riešenie má výrazné kvalitatívne nedostatky, kde medzi hlavné patrí nefunkčnosť klienta v offline režime (teda nie je to aktívna ochrana na koncových zariadeniach), alebo ignorovanie kompresovaných dát v druhej úrovni. Samotné riešenie neefektívne vyhodnocuje potenciálne hrozby, umožňuje obmedzenie prístupu k dátam iba na úrovni conditional access namiesto napr. podmienej kryptografie. V rámci efektívneho zabezpečenia prístup k dátam bude limitovaný výhradne na Windows pracovné stanice prostredníctvom compliance check (InTune)|(% style="width:290px" %)(((
503 503  ZoKB 69/2018, § 20 ods. 3 písm, j.
504 504  
505 505  ZoKB 69/2018, § 20 ods. 3 písm, l.
... ... @@ -508,13 +508,13 @@
508 508  
509 509  NIS2 A 5, 9
510 510  )))
511 -|Endpoint analytics proactive remediation| |(% style="width:679px" %)Dostatočné riešenie|(% style="width:251px" %)(((
605 +|(% style="width:240px" %)Endpoint analytics proactive remediation|(% style="width:80px" %) |(% style="width:1022px" %)Nedostatočné riešenie pre interaktívny Incident Response. Riešenie je postavené výhradne na playblocks, ktoré rozširujeme o inteaktívne riešenie v rámci Incident response nástrojov|(% style="width:290px" %)(((
512 512  ZoKB 69/2018, § 20 ods. 3 písm, e.
513 513  
514 514  NIS2 A 5, 9
515 515  )))
516 -|Windows Autopatch| |(% style="width:679px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora|(% style="width:251px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
517 -|Windows Hello| |(% style="width:679px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:251px" %)(((
610 +|(% style="width:240px" %)Windows Autopatch|(% style="width:80px" %)Vulnerability management|(% style="width:1022px" %)Akceptované riešenie s vážnymi nedostatkami na detekciu a reportovanie existujúcich zraniteľností, obmedzená funkcionalita pre patch management výrobcov tretích strán, obmedzená multiplatformová podpora a bezagntský sken|(% style="width:290px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
611 +|(% style="width:240px" %)Windows Hello|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie dostatočné,nevhodn0 bez PKI z hľadiska implementácie centralizácie správy kľúčov. Samotný Windows Hello for Business je natívne viazaný na FIDO2 alebo PKI, ktorá nie je súčasťou M365 E5. Vystavanie PKI nie je súčasťou tohto projektu, aj keď prostredie je pripravené na 802.1x, ktorú je možné naviazať na Azure CA zaistenú HSM/KMS a distribúciu cez SCEP prostredníctvom Intune. Samotný RADIUS na strane 802.1x overovania je na to prispôsobený v sekcii Port a Network security.|(% style="width:290px" %)(((
518 518  ZoKB 69/2018, § 20 ods. 3 písm, f.
519 519  
520 520  Dora ch.12, 13, 16, 17
... ... @@ -521,7 +521,7 @@
521 521  
522 522  NIS2 A: 5,10
523 523  )))
524 -|DirectAccess|ZTNA|(% style="width:679px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií.|(% style="width:251px" %)(((
618 +|(% style="width:240px" %)DirectAccess|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie supluje tradičný VPN koncentrátor bez pridanej hodnoty na čistotu spojenia (NG FW ochrany toku dát) Direct Access nie je použiteľný na prepoj microservisov v rámci SaaS aplikácií. Zabezpečujeme pomocou NG FW.|(% style="width:290px" %)(((
525 525  ZoKB 69/2018, § 20 ods. 3 písm, f.
526 526  
527 527  ZoKB 69/2018, § 20 ods. 3 písm, l.
... ... @@ -530,13 +530,13 @@
530 530  
531 531  NIS2 A: 5,10, 15
532 532  )))
533 -|Mobile Device Management| |(% style="width:679px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:251px" %)(((
627 +|(% style="width:240px" %)Mobile Device Management|(% style="width:80px" %) |(% style="width:1022px" %)Nevyhovujúce riešenie, ktoré však dopĺňajú dodatočné produkty v balíku (Intune + Defender)|(% style="width:290px" %)(((
534 534  ZoKB 69/2018, § 20 ods. 3 písm, e.
535 535  
536 536  NIS 2 A 5, 9
537 537  )))
538 -|Microsoft Intune| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
539 -|Microsoft Pureview Data Loss Prevention (for email and files)|DLP|(% style="width:679px" %)Nevyhovujúce riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb.|(% style="width:251px" %)(((
632 +|(% style="width:240px" %)Microsoft Intune|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)ZoKB 69/2018, § 20 ods. 3 písm, e.
633 +|(% style="width:240px" %)Microsoft Pureview Data Loss Prevention (for email and files)|(% style="width:80px" %) |(% style="width:1022px" %)Riešenie obmedzené iba na únik dát z prostredia M365. Pre DLP je nutné mať všetky vrstvy (SaaS, Cloud, Endpoint, Network) v jednom konsolidovanom prostredí s centrálnou identifikáciou hrozieb. Vzhľadom na dostupnosť content filtering na úrovni NG FW zatiaľ nepovažujeme za nutné doplniť sofistikované riešenie.|(% style="width:290px" %)(((
540 540  ZoKB 69/2018, § 20 ods. 3 písm, l.
541 541  
542 542  Dora ch.15, 18
... ... @@ -543,9 +543,9 @@
543 543  
544 544  NIS2 A5, 9
545 545  )))
546 -|Credential Guard| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)
547 -|Device Guard| |(% style="width:679px" %)Vyhovujúce riešenie|(% style="width:251px" %)
548 -|Microsoft Security and Compliance Center|Exposure and Risk Management|(% style="width:679px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:251px" %)(((
640 +|(% style="width:240px" %)Credential Guard|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)
641 +|(% style="width:240px" %)Device Guard|(% style="width:80px" %) |(% style="width:1022px" %)Vyhovujúce riešenie|(% style="width:290px" %)
642 +|(% style="width:240px" %)Microsoft Security and Compliance Center|(% style="width:80px" %)Exposure and Risk Management|(% style="width:1022px" %)Nevyhovujúce riešenie aplikovateľné iba pre M365 platformu a spravované zariadenia. V rámci centralizácie je nutné vykryť všetky legacy systémy v každom prostredí, ako aj 3rd party SaaS aplikácie a ich vzájomné prepojenia. V rámci služby je chýbajúca kontinuálna kontrola na potenciálne exploity pre jednotlivé zariadenia a aplikácie, ako aj centrálny audit využiteľnosti práv a prístupov, kompletne absentujúca je dokumentácia kritickej cesty pre potenciálne zraniteľnosti alebo zneužitia systémov. Z pohľadu nekompletnosti vstupov nie je možné efektívne vypracovávať analýzu funkčného dopadu.|(% style="width:290px" %)(((
549 549  ZoKB 69/2018, § 20 ods. 3 písm, b.
550 550  
551 551  ZoKB 69/2018, § 20 ods. 3 písm, d.
... ... @@ -556,7 +556,7 @@
556 556  
557 557  NIS2 A: 5,6,15
558 558  )))
559 -| |Threat Intelligence|(% style="width:679px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:251px" %)(((
653 +|(% style="width:240px" %) |(% style="width:80px" %)Threat Intelligence|(% style="width:1022px" %)Spravodajské služby pre zisťovanie existujúcich únikov dát, účtov, napodobňovaniu VIP osôb, spoofingu domén, preverovanie externých dodávateľov, Platforma pre správu externých hrozieb, plánovaných útokov a prípadných remediačných služieb pre verejný internet, alebo TakeDown služieb, služby monitorovanie Deep a Dark webu.|(% style="width:290px" %)(((
560 560  ZoKB 69/2018, § 20 ods. 3 písm, d.
561 561  
562 562  ZoKB 69/2018, § 20 ods. 3 písm, k.
... ... @@ -565,7 +565,7 @@
565 565  
566 566  NIS2 A: 5, 15
567 567  )))
568 -| |DAST development|(% style="width:679px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:251px" %)(((
662 +|(% style="width:240px" %) |(% style="width:80px" %)DAST development|(% style="width:1022px" %)Kontinálne vyhodnocovanie a testovanie kódu web aplikácií z pohľadu bezpečnosti a doporučených best practicies na základe minimálne OWASP framework.|(% style="width:290px" %)(((
569 569  ZoKB 69/2018, § 20 ods. 3 písm, d
570 570  
571 571  Dora ch.3.
... ... @@ -572,7 +572,7 @@
572 572  
573 573  NIS2 A: 5, 15
574 574  )))
575 -| |IoC management|(% style="width:679px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:251px" %)(((
669 +|(% style="width:240px" %) |(% style="width:80px" %)IoC management|(% style="width:1022px" %)Chýbajúca tvorba vlastných Indicator of Compromise feeds, alebo import existujúcich IoC z overených zdrojov. Preverovanie podozrivých indikátorov na základe existujúcich IoC tretích strán|(% style="width:290px" %)(((
576 576  ZoKB 69/2018, § 20 ods. 3 písm, d.
577 577  
578 578  Dora ch. 18
... ... @@ -579,16 +579,7 @@
579 579  
580 580  NIS2 A: 5, 15
581 581  )))
582 -| |Physical NW security|(% style="width:679px" %)Posilnenie dôveryhodnosti zariadení v rámci Intune + Device certifikáty a aplikovanie 802.1x na úrovni PKI pre pripojenie na WIFI alebo do fyzického portu (samotná CA infraštruktúra nie je predmetom tohto projektu). Aplikovanie centralizovaného mechanizmu pre nastavenie port security na switchoch, ktoré povoľujú komunikáciu pre zariadenie nekompatibilné z 802.1x štandardom, centralizovaný IP address management, ako aj vlastný DNS a DHCP server (nie je implementovaný Microsoft Networking, pretože celá infraštruktúra je cloud native v rámci Microsoft Entra a hybridný setup by bola komplikácia existujúceho stavu)|(% style="width:251px" %)(((
583 -ZoKB 69/2018, § 20 ods. 3 písm, f.
584 -
585 -ZoKB 69/2018, § 20 ods. 3 písm, k.
586 -
587 -Dora ch.13, 14
588 -
589 -NIS2 A: 5, 9, 15
590 -)))
591 -| |Incident Response|(% style="width:679px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:251px" %)(((
676 +|(% style="width:240px" %) |(% style="width:80px" %)Incident Response|(% style="width:1022px" %)V rámci podpory pre všetky služby je zahrnutý „BreakFix“, čiže obnovenie operačnej prevádzky služby. Je nutné mať zakontrahované služby externého doávateľa pre vykonanie nezávislého auditu a riešenie kritických incidentov, ktoré vyplývajú z korelovaných zozbieraných dát (napríklad insider threats, ransomware multivektor attack, spear phishing), ako aj obnova služieb samotného rezortu a poskytovanie hĺbkoých forenzných vyšerovaní pre kritické prípady ohrozenia prevdzky alebo jej výpadku.|(% style="width:290px" %)(((
592 592  ZoKB 69/2018, § 20 ods. 3 písm, j.
593 593  
594 594  ZoKB 69/2018, § 20 ods. 3 písm, k.
... ... @@ -600,21 +600,15 @@
600 600  
601 601  Požadovaný stav:
602 602  
603 -* (CASB, ZTNA, DLP, WAF) ochrana prístupov k internetu, ochrana internetových aplikácií, správa prístupov k aplikáciám, sledovanie toku dát a ochrana pred odcudzením na základe kontextu a klasifikácie
604 -** Požadujeme nástroj, ktorý vie dodať aktívny URL filtering pre obmedzenie prístupu k nebezpečným alebo nemorálnym stránkam, phishingovým kampaniam alebo spoofovanému obsahu.
605 -** Súčasťou riešenia musí byť izolácia prehliadača tak, aby nemohlo byť kompromitované zariadenie pri pokuse o návštevu nebezpečných stránok, ak je povolená výnimka (napr. pre potreby threat intelligence)
606 -** riešenie musí pridať vrstvu bezpečnosti na úrovni NG FW (IPS, URLF, Content awareness) pre všetky zariadenia a platformy bez ohľadu na to, či sa nachádzajú na verejnom internete alebo v perimetri siete
607 -** Technológia musí byť integrovateľná na Microsoft Entra pre overovanie identity za účelom ZTNA prístupu k CNAPP. Zo serverovej strany je nutné vyhodnocovať, či sa jedná prístup k firemným prostriedkom zo spravovaného zariadenia alebo generický prístup a na základe toho aplikovať pravidlá prístupu (napr. prístup na OWA je povolený bez možnosti stiahnuť dokumenty, vs prístup k OneDrive a Sharepoint bude zamietnutý)
608 -** Publikované aplikácie musia byť chránené Web Aplikačným firewallom so základnou DDoS ochranou
609 -** Na spravovaných zariadeniach ako aj na sieťovej úrovni musia byť aplikovateľné DLP nastavenia pre kontrolu a obmedzenie prístupu k dokumentom podľa klasifikácie.
610 -* (HSM, KMS, HYOK) nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
611 -** je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption
688 +* Kryptografické nástroje na ochranu a distribúciu šifrovacích kľúčov pre technické zamedzenie neautorizovanému prístupu k dátam
689 +*
690 +** je požadované zabezpečenie dátovej suverenity prostredníctvom on-prem HSM modulu, ktorý s nadstavbou pre KMS je schopný v Azure prostredí zabezpečiť BYOK do Azure Vault, pripadne HYOK v prostredí Azure blob encryption alebo M365 prostredníctvom Doble Key Encryption
612 612  ** Key Management systém musí umožňovať centralizovanú správu kľúčov pre Legacy aplikácie, Transprent Encryption na úrovni filesystému s možnosťou Ransomware protection na základe identity užívateľa alebo servisu a procesu.
613 613  ** Je nutná integrácia KMS servera na základe identity do SQL systémov ako aj CNAPP databáz a aplikácií pre kryptovanie štruktúrovaných dát
614 614  ** KMS systém musí zabezpečovať tokenizáciu údajov minimálne prostredníctvom REAST API, vítaná je podpora C, .NET, Java SDK
615 615  ** KMS server musí vedieť spravovať kľúče primárne pre Azure, sekundárne aj pre ďalšie nadnárodné cloud prostredia (AWS, GoogleCloud, ...) pre využitie multicloud prostredia do budúcna. Požadovaná je funkcionalita poskytovania kľúčov aj do vládneho cloud prostredia
616 616  ** Nuntý je integrovaný systém v KMS pre rotáciou a versioning kľúčov, pričom dáta musia byť rešifrované bez obmedzenia dostupnosti, nikdy sa nemôžu nachádzať v systéme v nezakryptovanom stave.
617 -* (SIEM, XDR) nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
696 +* SIEM a Threat Intelligence nástroj pre centrálnu evidenciu logov z informačných systémov a následné vyhodnocovanie podozrivých alebo potenciálne nebezpečných aktivít
618 618  ** Nástroj pre centrálnu archiváciu logov z IT systémov, ktorý logy normalizuje pre účely efektívneho vyhľadávania a dodatočnej korelácie údajov
619 619  ** Pravidlá pre detekciu korelačných pravidiel podľa MITRE ATTACK vektorov musí byť aktualizované pravidelne výrobcom s možnosťou doplnenia vlastných pravidiel a detekčných metód, a to aj na základe deviácie metrík.
620 620  ** Integrácia s M365 auditnými logmi, Azure logmi
... ... @@ -623,28 +623,19 @@
623 623  ** Integrácia na 3rd party security vendorov a natívne porozumenie ich logom.
624 624  ** Súčasťou musí produktu musí byť neobmedzená SOAR platforma s verejným market place pre doplňovanie integrácií na 3ťostranové bezpečnostné produkty
625 625  ** Samotný nástroj musí umožňovať natívne komplexné DFIR analýzy minimálne za týždeň pred vznikom incidentu. Incidenty musia byt pre identitu alebo zariadenie zobrazene v časovej osi, kde musia byť viditeľné aj prislúchajúce SOAR akcie (remediačné, alebo automatické doplnenie dát)
626 -* (Exposure, Risk, Vulnerability, CIAM) nástroj pre posudzovanie a kategorizáciu potenciálnych rizík, vrátane správy zraniteľností, aplikačného testovania, a korektnej konfigurácie cloud prostredí a prístupov.
705 +** platforma pre sumarizáciu a zhodnotenie Attack Surface,
706 +** platforma pre centrálnu evidenciu Risk Management,
707 +** platforma pre evidenciu a tracking Exposure Management,
708 +** platforma pre obohatenie informácií z externého ako aj interného prostredia prostredníctvom Vulnerability management,
709 +** platforma pre kontrolu Cloud Posture, Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path
710 +** platforma pre kontinuálne testovanie bezpečnosti webových aplikácií
711 +** platfroma pre monitoring externého prostredia prostredníctvom Threat Intelligence a Platformy pre IoC management
627 627  ** Nástroj pre správu zraniteľností s detailnou možnosťou reportovania trendov a nájdených detailov. Nástroj musí mať agenta pre efektívny sken, musí vykonávať bez sken bez agenta, musí umožniť kaskádovanie skenovacieho engine do jednotlivých prostredí alebo segmentov siete
628 -** Nástroj zabezpečuje compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem
629 -** Nástroj pre kontrolu bezpečnosti kódu a pravidelného DAST testovania s integrovaným portálom pre evidenciu zistení a ich následné odstraňovanie
630 -** Nástroj pre detekciu exponovaných služieb do rôznych segmentov siete / internetu a ich zabezpečenia
631 -** Nástroj pre evidenciu a vyhodnocovanie Posture management minimálne pre Azure cloud aplikácie ako aj samotnú Azure infraštruktúru. Nástroj v prípade identifikovania hrozieb musí robiť kategorizáciu hrozieb ako aj musí byť schopný vykresliť prípadnú attack path
632 -** Nástroj pre CIAM evidenciu prav, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov).
633 -** Posture management a CIAM nástroj musí byť univerzálny s rovnakým názvoslovým pre využitie minimálne v AWS a Google Cloud
634 -* (Threat Intell, IoC, Supply Chain) Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
635 -** V náväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií
636 -** Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie
637 -** Nástroj musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov
638 -** Nástroj musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorázové a pravidelné preverovanie externých dodávateľov)
639 -** Nástroj musí identifikovať pokusy o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov
640 -* (IPAM, 802.1x) zabezpečenie základných NW služieb heterogénnom prostredí pre DNS, DHCP, IPAM, 802.1X, physical port security
641 -** všetky komponenty v clustrovom prevedení pre vysokú dostupnosť. s exportom logov do centrálneho SIEM
642 -** manažment cez web rozhranie pre všetky komponenty, vrátane reportingu a monitoringu
643 -** DNS server, DHCP server s rozšírenými rezerváciami a auditným logovaním
644 -** IPAM
645 -** 802.1x (RADIUS server vrátane suplikanta) pre iOS, Android, MacOS, Linux, Windows
646 -** Switch management s definiciou port rules, port protection, MAC restriction, Spanning tree definition, monitoring compliance nastavení pre jednotlivé porty,
647 -** Network Access Control na úrovni automatizácie zapínania portov
713 +** Nástroj pre compliance management s preddefinovanými politikami minimálne podľa všeobecných CIS noriem
714 +** Nástroj pre CIAM evidenciu práv, prístupov a ich auditovanie s aktívnym upozorňovaním na nepoužívané účty, prípadne účty zo zmenou príznakov v čase (v náväznosti na atribúty Microsoft Entra účtov).
715 +** Nástroj na preverovanie bezpečnosti dodávateľského reťazca, integráciu známych bezpečnostných hrozieb a charakteristík do interných bezpečnostných nástrojov, zisťovanie a odhaľovanie potenciálnych plánovaných útokov, zisťovanie a dokazovanie zneužitia mena a prípadných únikov dát
716 +** V nadväznosti na identifikáciu rizík požadujeme nasadenie nástroja s prístupom k nezávislým 3ťostranovým IoC a ich prevzatie do interných bezpečnostných technológií, Nástroj musí mať integrovaný portál pre evidenciu externých rizík a ich vyšetrovanie, musí prehľadávať deep web a dark web na prítomnosť citlivých informácií na základe kľúčových slov, musí generovať reporty pre ohodnocovanie rizík 3tej strany (jednorazové a pravidelné preverovanie externých dodávateľov)
717 +** Nástroj pre identifikáciu pokusov o zneužitie značky, VIP osôb alebo interných aplikácií a web portálov
648 648  * incident response, remediation a audit služba
649 649  ** služba nezávislého dodávateľa pre audit prostredia, procesov
650 650  ** identifikácia komplexného vektora útoku
... ... @@ -652,8 +652,7 @@
652 652  ** Red teaming a preverovanie pripravenosti na útoky a schopnosť interne odhaliť prebiehajúci útok
653 653  ** Kontrola a odporúčanie pre plány kritických situácii pre zastavenie prebiehajúcich útokov, zvrátenia útokov, minimalizovanie škôd
654 654  ** Identifikácia insider threads z logov
655 -* Zabezpečenie rozšírenia výpočtového výkonu hypervisorovej farmy pre potreby nasadzovaných security technológii
656 -** rozšírenie VMware clustra o kompatibilný node tak, aby bol umožnený presun virtuálnych serverov medzi jednotlivými módmi bez výpadku (vMotion na základe CPU compatibility)
725 +** rozšírená ochrana proti ransomware, nezávislá od AV riešenia, s možnosťou zberu artefaktov pre DFIR vyšetrovanie a interaktívny incident response.
657 657  * Bezpečnostný projekt pre zmapovanie prostredia, zavedenie procesov a politík
658 658  ** Školiace materiály pre MKB a technikov,
659 659  ** riadenie kontinuity (BCP, BIA, DRP),
... ... @@ -660,7 +660,7 @@
660 660  ** management zraniteľností a incident management a pridružené procesy podľa ITIL/ITSM,
661 661  ** klasifikácia informácií,
662 662  ** bezpečnosť koncových prvkov,
663 -** služby bezpečnostného architekta počas implementácie projektu.
732 +** služby bezpečnostného architekta počas implementácie projektu
664 664  
665 665  == {{id name="_Toc152607321"/}}{{id name="_Toc823562243"/}}5.1 Prehľad e-Government komponentov ==
666 666  
... ... @@ -684,6 +684,52 @@
684 684  
685 685  Z analýzy nákladov a prínosov (CBA) vyplýva tzv. High-level sumarizácia rozpočtu projektu, ktorá poskytuje prehľad o celkových predpokladaných výdavkoch a očakávaných prínosoch.
686 686  
756 +|Hrubý domáci produkt SR 2023|HDP na Slovensku za rok 2023 v bežných cenách. Zdroj štatistický úrad: http:~/~/datacube.statistics.sk/#!/view/sk/VBD_INTERN/nu0002qs/v_nu0002qs_00_00_00_sk|EUR|122 156 200 000 €
757 +|Priemerné ročné ekonomické škody kybernetických útokov v EÚ|Ekonomické škody kybernetických útokov predstavujú 1% z HDP (priemerná hodnota). Zdroj: https:~/~/www.mcafee.com/blogs/other-blogs/executive-perspectives/the-hidden-costs-of-cybercrime-on-government/|%|1,00%
758 +|Priemerný rast ekonomických škôd ročne|[[https:~~/~~/www.weforum.org/agenda/2024/01/cybersecurity-cybercrime-system-safety/>>url:https://www.weforum.org/agenda/2024/01/cybersecurity-cybercrime-system-safety/]]|%|50,00%
759 +|Priemerný rast ekonomických škôd ročne GPSR|Vzhľadom na vyššie uvedené budeme pre MCRAS rátať výšky rastu ekonomickej škody len do výšky rastu štátneho rozpočtu pre MCRAS. Priemerný rast štátneho rozpočtu pre MCRAS je 5%.|%|6,00%
760 +|Štátny rozpočet 2023|Zdroj: https:~/~/www.cenastatu.sk/km-sr-vm/2023/|EUR|35 040 600 000 €
761 +|Štátny rozpočet MCRAS 2024|Zdroj: https:~/~/www.cenastatu.sk/km-sr-vm/2023/|EUR|240 000 000 €
762 +|Priemerné ročné ekonomické škody kybernetických útokov MCRAS|Hodnota prepočítaná pomerom štátneho rozpočtu MCRAS k celkovém HDP|EUR|2 400 000 €
763 +|Podiel škôd, ktorým projekt zabráni pri možných incidentoch|Prínos projektu v TOBE stave - expertný odhad (zabránenie škodám). Oblasti realizované projektom v oblasti zvýšenia bezpečnosti pokrývajú oblasti predovšetkým zabráneniu vzniku incidentu.|%|50,00%
764 +
765 +(% style="width:815px" %)
766 +|(% style="width:172px" %)**Náklady s DPH**|(% style="width:355px" %) |(% style="width:285px" %)** 7,855,236 €**
767 +|(% style="width:172px" %)**IT - CAPEX**|(% style="width:355px" %) |(% style="width:285px" %)** 2,745,875 €**
768 +|(% style="width:172px" %) |(% style="width:355px" %)Aplikácie|(% style="width:285px" %) 0 €
769 +|(% style="width:172px" %) |(% style="width:355px" %)SW|(% style="width:285px" %) 2,390,046 €
770 +|(% style="width:172px" %) |(% style="width:355px" %)HW|(% style="width:285px" %) 355,829 €
771 +|(% style="width:172px" %)**IT - OPEX**|(% style="width:355px" %) |(% style="width:285px" %)** 5,003,089 €**
772 +|(% style="width:172px" %) |(% style="width:355px" %)Aplikácie|(% style="width:285px" %) 0 €
773 +|(% style="width:172px" %) |(% style="width:355px" %)SW|(% style="width:285px" %) 4,259,380 €
774 +|(% style="width:172px" %) |(% style="width:355px" %)HW|(% style="width:285px" %) 743,709 €
775 +|(% style="width:172px" %)Riadenie projektu|(% style="width:355px" %) |(% style="width:285px" %) 106,272 €
776 +|(% style="width:172px" %)Výstupné náklady|(% style="width:355px" %) |(% style="width:285px" %) 0 €
777 +|(% style="width:172px" %)**Prínosy**|(% style="width:355px" %) |(% style="width:285px" %)** 14,616,954 €**
778 +|(% style="width:172px" %)Finančné prínosy|(% style="width:355px" %) |(% style="width:285px" %) 0 €
779 +|(% style="width:172px" %) |(% style="width:355px" %)Administratívne poplatky|(% style="width:285px" %) 0 €
780 +|(% style="width:172px" %) |(% style="width:355px" %)Ostatné daňové a nedaňové príjmy|(% style="width:285px" %) 0 €
781 +|(% style="width:172px" %)**Ekonomické prínosy**|(% style="width:355px" %) |(% style="width:285px" %)** 14,616,954 €**
782 +|(% style="width:172px" %) |(% style="width:355px" %)Občania (€)|(% style="width:285px" %) 0 €
783 +|(% style="width:172px" %) |(% style="width:355px" %)Úradníci (€) |(% style="width:285px" %) 0 €
784 +|(% style="width:172px" %) |(% style="width:355px" %)Úradníci (FTE)|(% style="width:285px" %) 0 €
785 +|(% style="width:172px" %) |(% style="width:355px" %)Kvalitatívne prínosy|(% style="width:285px" %) 14,616,954 €
786 +
787 +Kvalitatívne prínosy sú vyjadrené ako zníženie rizika možnej škody.
788 +
789 +Interpretácia výsledkov:
790 +
791 +Ekonomická a finančná efektívnosť projektu je v analýze prínosov nákladov projektu hodnotená kvantitatívne pomocou nasledujúcich ukazovateľov:
792 +
793 +* Pomer prínosov a nákladov (BCR): 1,70
794 +* Ekonomická vnútorná výnosová miera vyjadrená v % (EIRR): 57,0 %
795 +* Ekonomická čistá súčasná hodnota vyjadrená v eurách (ENPV): 6 Ekonomická čistá súčasná hodnota vyjadrená v eurách (ENPV): 6 498 399
796 +
797 +Pre účely financovania z prostriedkov EU vyjadruje Analýza nákladov a prínosov BC/CBA aj nasledovné ukazovatele:
798 +
799 +* Finančná vnútorná výnosová miera v % (FIRR): N/A
800 +* Finančná čistá súčasná hodnota v eur (FNPV): - 2 Finančná čistá súčasná hodnota v eur (FNPV): - 5 993 504
801 +
687 687  = {{id name="_Toc152607324"/}}{{id name="_Toc895423427"/}}{{id name="_Toc241209616"/}}{{id name="_Toc1109933817"/}}{{id name="_Toc1693584831"/}}{{id name="_Toc116189132"/}}{{id name="_Toc1157370114"/}}{{id name="_Toc1343589887"/}}{{id name="_Toc2053421042"/}}{{id name="_Toc1329406378"/}}{{id name="_Toc812300137"/}}{{id name="_Toc1301800014"/}}{{id name="_Toc47815707"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
688 688  
689 689  Projekt bude realizovaný pomocou vodopádového prístupu (Waterfall), vzhľadom na absenciu vývoja „diela na mieru“, ktoré by mohlo byť rozdelené do niekoľkých inkrementov s cieľom ich priebežného nasadenia do produkčnej prevádzky, implementácia predmetu predloženého projektu je naplánovaná v jednom ucelenom inkremente.
Encryption.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +70.7 KB
Obsah
NW_physical_security.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +16.1 KB
Obsah
NW_security.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +34.8 KB
Obsah
learning.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +11.9 KB
Obsah
waf_ddos.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +8.4 KB
Obsah
xdr_ti_soar.png
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Veľkosť
... ... @@ -1,0 +1,1 @@
1 +69.1 KB
Obsah
XWiki.XWikiComments[0]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,4 @@
1 +VYRIEŠENÉ
2 +
3 +Aj vzhľadom na novú fázu  - monitorovania a hodnotenia veľkého projektu - § 10 bod //1) Ak ide o veľký projekt, po ukončení dokončovacej fázy projektu sa vykoná monitorovanie a hodnotenie projektu, počas ktorého sa monitorujú náklady a vyhodnocujú ciele a prínosy definované v projekte.//
4 +sa chcem opýtať, aké merateľné ukazovatele sú nastavené pre jednotlivé ciele. Nižšie v rámci KPI sú 2 ukazovatele, ktoré neviem priradiť.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-15 14:33:07.715
Selection
... ... @@ -1,0 +1,1 @@
1 +3.5 Merateľné ukazovatele (KPI)
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[1]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +VYRIEŠENÉ
2 +
3 +k projektu sú v MetaIS momentálne evidované 2 informačné systémy- registratúra a ÚPVS adaptér. Prosím, z akého dôvodu sú evidované práve tieto 2 isvs?
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-15 14:50:03.194
Selection
... ... @@ -1,0 +1,1 @@
1 +Súčasťou projekt nie je budovanie žiadneho e-Governmentového komponentu.
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[2]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +VYRIEŠENÉ
2 +
3 +prosím upraviť začiatok realizačnej fázy tak, ako je to v úvode - od 09/2025 a aj v CBA
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-15 14:52:20.705
Selection
... ... @@ -1,0 +1,1 @@
1 +2. Realizačná fáza
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[3]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +VYRIEŠENÉ
2 +
3 +formálna pripomienka - toto je neupravený text zo šablóny. Ak používate nejakú konvenciu označovania požiadaviek, prosím, upravte kapitolu
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-16 07:42:36.101
Selection
... ... @@ -1,0 +1,1 @@
1 +Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu: RFxx R – označenie požiadavky U – užívateľská požiadavka xx – číslo požiadavky Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: RNFxx R – označenie požiadavky N – nefunkčná požiadavka (RNF) xx – číslo požiadavky
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[4]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +VYRIEŠENÉ
2 +
3 +Prosím v tejto kapitole sumarizovať rozpočet a prínosy. CBA je síce samostatný dokument, ktorý v detaile analyzuje položky rozpočtu, avšak zhrnutie má byť uvedené práve v tejto kapitole rovnako a popísané prínosy a proces ich výpočtu.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-16 08:31:41.315
Selection
... ... @@ -1,0 +1,1 @@
1 +Rozpočet a vypočítané prínosy sú súčasťou samostatného dokumentu
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[5]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +rátali ste v CBA už s novou sadzbou DPH?
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-16 08:43:17.644
Selection
... ... @@ -1,0 +1,1 @@
1 +-05 Analýza nákladov a prínosov (CBA - Cost Benefit Analysis)  v predpísanej štruktúrovanej forme
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[6]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,15 @@
1 +Momentálne v CBA v podstate nie sú narátané žiadne výdavky na pozície:
2 +
3 +**~1. externé pozície**
4 +
5 +Tým, že projekt neobsahuje funkčné požiadavky, ale len nefunkčné, na karte moduly k danému modulu nie sú narátané žiadne človeko-dni (man days), ktoré by sa potom prerozdelili a prerátali na jednotlivé pozície na záložke napr. externé pozície/aktivity_pozície. Takto to na záložke aktivity_pozície ráta len sumu za projektového manažéra a sumu za hlavné aktivity máte nulovú.
6 +
7 +
8 +**2. interné pozície**
9 +
10 +Podobne pri interných pozíciách tým, že nie sú man-days, nemáte narátané žiadne náklady na interné pozície. Rovnako ani nemáte priradené sadzby na jednotlivé pozície.
11 +
12 +Tu jediné, čo sa narátalo, je 7% paušál z Programu Slovensko
13 +
14 +
15 +Resp. nie sú práce nacenené cez záložku HW a licencie?
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-16 08:56:41.532
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +5
XWiki.XWikiComments[7]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,6 @@
1 +Ako bolo spomenuté už na stretnutí, prosíme zdroje k cenám, ktoré sú uvedené na hárku HW a licencie a zároveň rozviesť položku v riadku 11
2 +
3 +|Podporna infrastruktura:
4 +servery/OS …
5 +
6 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-16 08:58:16.570
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +6
XWiki.XWikiComments[8]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +VYRIEŠENÉ
2 +
3 +V rámci CBA nie sú žiadne prevádzkové náklady na riešenie. Aká je realita?
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-17 09:07:05.522
XWiki.XWikiComments[9]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené, prvé 2 KPI boli všeobecné z výzvy na KB, ďalšie, projektovo špecifické boli doplnené
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-27 14:20:22.189
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +0
XWiki.XWikiComments[10]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené väzby na ďalšie ISVS, aj tie, ktoré ministerstvo plánuje prevziať do správy
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-27 14:21:04.8
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +1
XWiki.XWikiComments[11]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravené
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-27 14:23:34.996
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +2
XWiki.XWikiComments[12]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravené
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-27 14:23:45.146
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +3
XWiki.XWikiComments[13]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +doplnené
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-28 13:51:40.102
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +4
XWiki.XWikiComments[14]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +aktualizovaná cba o novú sadzbu DPH
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-28 13:52:02.887
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +5
XWiki.XWikiComments[15]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,7 @@
1 +Ext:
2 +
3 +Ako píšete neobsahuje to žiadne funkčné požiadavky, ktoré by mali podliehať naceneniu z dôvodu povahy projektu. Samotné konfiguračné a inštalačné práce, ktoré sú rovnako súčasťou dodania a teda aj listprice ceny za jednotlivé komponenty, ktoré budú projektom obstarané.
4 +
5 +Int:
6 +
7 +Ako píšete neobsahuje to žiadne funkčné požiadavky, ktoré by mali podliehať naceneniu z dôvodu povahy projektu. Interné kapacity v zmysle výzvy sú nacenené ako 7% z programu Slovensko, čo predstavuje podporné aktivity, ako píšete, pretože na strane ministerstva je nutné aby za dodávku zodpovedal/zodpovedali interní zamestnanci.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-28 13:53:54.933
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +6
XWiki.XWikiComments[16]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravená CBA, doplnená štruktúra ceny
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-28 13:54:47.541
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +7
XWiki.XWikiComments[17]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +Prevádzka nie je obstarávaná/vyčíslovaná separátne, ale ako súčasť licencií.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-28 13:55:33.392
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +8
XWiki.XWikiComments[18]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +ako pozerám poslednú CBA, vyzerá, že táto suma už nesedí
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:18:22.637
Original Selection
... ... @@ -1,0 +1,1 @@
1 +2 964 678 EUR vrátane DPH
Selection
... ... @@ -1,0 +1,1 @@
1 +2 985 797 EUR vrátane DPH
State
... ... @@ -1,0 +1,1 @@
1 +UPDATED
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[19]
Autor
... ... @@ -1,0 +1,1 @@
1 +xwiki:XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +Odkiaľ je preberaná táto tabuľka? Nedošlo k aktualizácii CBA a týmpádom to už nesedí?
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:19:56.801
Selection
... ... @@ -1,0 +1,1 @@
1 +Náklady s DPH
State
... ... @@ -1,0 +1,1 @@
1 +SAFE
Target
... ... @@ -1,0 +1,1 @@
1 +Dokumenty.projekt_3223.projektovy_zamer.WebHome
XWiki.XWikiComments[20]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +Ak ale projekt neráta so žiadnymi man-days, tak aj externé pozície, kde rátate napr. s IT architektom a špecialistom na kybernetickú bezpečnosť alebo QA, nebudú nacenené prostredníctvom záložky "externé pozície".  Ak je to tak OK a pozície sú uvedené, len formálne, aby sa uviedlo, v ktorej etape je aká pozícia zastúpená ako, a zároveň je činnosť potrebných pozícií nacenená inde, tak by to prešlo.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:23:49.86
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +15
XWiki.XWikiComments[21]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +opakovane sa pýtam na predloženie PHZ k cenám v CBA. Pokiaľ PHZ nebudete predkladať, žiadame Vás o uvedenie riadneho dôvodu, z akého PHZ alebo výsledky prieskumu trhu nebudú predkladané. Vo výzve sú predložené aj iné projekty a tam nám boli predložené PHZ bez problémov.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:28:08.174
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +14
XWiki.XWikiComments[22]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,7 @@
1 +Ospravedlnujem sa, prikladam vysvetlenie:
2 +
3 +Preverovali sme moznosti poskytnutia kompletnej dokumentacie k stanoveniu PHZ. Vzhladom na skutocnost, ze sa jedna o pripravu samotneho verejneho obstaravania, nasledne by sme museli identifikovat vsetky osoby, ktore sa na priprave VO podielali. Co v pripade poskytnutia tretej strane alebo uverejnenia cez MetaIS mozne nebude. Tiez sa jedna o sadu nastrojov a uz aj pri zverejneni ponuk moze byt ohrozena a narusena potencionalna bezpecnost (nazvy produktov, verzie a pod.) k comu musime bohuzial v dnesnej dobe pristupovat obzvlast opatrne.
4 +
5 +V pripade projektov je ale dokumentacia k VO (kompletna), predmetom kontroly pri cerpani financnych prostriedkov (v tom case uz je ale process VO ukonceny a nehrozi uvedeny konflikt ako pri priprave) a samotne MIRRI/UVO posudzuje okrem stanovenia PHZ aj dalsie aspekty ako podmienky ucasti, opis, sutazne podklady, proces VO, …
6 +
7 +Zaroven poukazujeme na skutocnost, ze v tejto faze sa hodni samotny projekt a jeho podstata (prinos, CBA, …).
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:34:50.415
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +21
XWiki.XWikiComments[23]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravene
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:49:19.915
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +18
XWiki.XWikiComments[24]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +aktualizovane
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-29 10:49:31.652
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +19
XWiki.XWikiComments[25]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,5 @@
1 +Priznám sa, že nerozumiem, ale podľa CBA sú náklady na projekt 3 049 955 Eur (záložka TCO obstarávacie náklady + riadenie projektu).
2 +
3 +Sumu 6 350 298 nikde nevidím.
4 +
5 +
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-30 14:51:20.760
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +23
XWiki.XWikiComments[26]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.gabriela\.farkasova@mirri\.gov\.sk
Komentár
... ... @@ -1,0 +1,3 @@
1 +podobne ako vyššie, aspoň ja vidím stále sumy, ktoré sú rozdielne od CBA - napr. v CBA je na záložke Sumarizácia IT CAPEX     2 745 875 €, ale tu v zámere vidím ** ** 2,185,743 €,
2 +
3 +|
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-01-30 15:02:06.725
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +24
XWiki.XWikiComments[27]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravene, pardon
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-02-04 15:10:09.334
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +25
XWiki.XWikiComments[28]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +upravene, pardon
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-02-04 15:10:15.190
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +26
XWiki.XWikiComments[29]
Autor
... ... @@ -1,0 +1,1 @@
1 +XWiki.jozef\.tomecek@mincrs\.sk
Komentár
... ... @@ -1,0 +1,1 @@
1 +Ano, ako pisete, takto je to OK.
Dátum
... ... @@ -1,0 +1,1 @@
1 +2025-02-04 15:11:40.34
Odpovedať
... ... @@ -1,0 +1,1 @@
1 +20