Program : Fundusze Europejskie na Rozwój Cyfrowy (FERC)
Priorytet : II Zaawansowane usługi cyfrowe
Działanie : 2.2. Wzmocnienie krajowego systemu cyberbezpieczeństwa
Fundusz : Europejski Fundusz Rozwoju Regionalnego (EFRR)
Numer naboru : FERC.02.02-CS.01-001/23
Tytuł projektu : Cyberbezpieczny Samorząd UMiG Prochowice
Wartość projektu – 646.220,00 zł
Wydatki kwalifikowalne – 646.220,00 zł
Dofinansowanie – 594.522,99 zł
Wkład własny – 51.697,01 zł
Celem projektu jest rozwój cyfrowy systemu informatycznego Urzędu Gminy w Prochowicach i 4 jednostkach organizacyjnych oraz zwiększenie bezpieczeństwa cyfrowego poprzez wprowadzenie niezbędnych procedur, zwiększenie świadomości użytkowników, wdrożenie urządzeń i programów zwiększających dostępność i bezpieczeństwo informacji oraz narzędzi do testowania podatności.
Do jednostek organizacyjnych objętych działaniem projektu należą:
1. Szkoła Podstawowa nr 1 im. Mikołaja Kopernika w Prochowicach
2. Szkoła Podstawowa nr 2 im. Tadeusza Kościuszki w Prochowicach
3. Szkoła Podstawowa im. ks. Jana Twardowskiego w Dąbiu
4. Przedszkole Miejskie w Prochowicach
Realizacja projektu wynika z potrzeby zwiększenia poziomu bezpieczeństwa informacji poprzez modernizację i rozbudowę struktur cyberbezpieczeństwa z wykorzystaniem technologii informatycznych i operacyjnych, w tym zakup zapór sieciowych i systemów cyberbezpieczeństwa, wdrożenie niezbędnych procedur a także przeszkolenia pracowników w zakresie stosowania opracowanych procedur bezpieczeństwa informacji.
Projekt odnosi się do celu programu Fundusze Europejskie na Rozwój Cyfrowy 2021-2027 (FERC) działanie 2.2 w zakresie wsparcia krajowego systemu cyberbezpieczeństwa. Efektem realizacji projektu będzie zwiększenie poziomu bezpieczeństwa informacji poprzez wzmocnienie odporności oraz zdolności do skutecznego zapobiegania i reagowania na incydenty w systemach informacyjnych.
Okres realizacji: 1.01.2024 – 31.12.2025r.
Wszystkie efekty projektu zostaną utrzymane przez min. 2 lata od zakończenia projektu. Urząd Miast i Gminy zobowiązuje się, że na każdym etapie realizacji projektu zapewnieni zgodność z zasadami: równości szans i niedyskryminacji, w tym dostępności dla osób z niepełnosprawnościami; równości kobiet i mężczyzn.
W ramach projektu wykonane zostaną działania:
1. Dla Urzędu Miasta i Gminy oraz jednostek org.:
1) Przeprowadzenie podstawowych szkoleń dla pracowników JST i szkoleń specjalistycznych dla kadry zarządzającej w zakresie zastosowanych środków bezpieczeństwa. W związku z tym, że szkolenia z tego zakresu są przeprowadzane nieregularnie oraz ze względu na nieustanny rozwój technik wykonywania ataków konieczne jest przeprowadzenie szkoleń zwiększających świadomość kadry kierowniczej, poprawiających umiejętność rozpoznania zagrożeń oraz organizacji pracy z uwzględnieniem bezpieczeństwa cyfrowego. Urząd Miasta i Gminy oraz jednostki organizacyjne nie zatrudniają informatyków i specjalistów z zakresu cyberbezpieczeństwa (korzystają z usług podmiotów zewnętrznych). Dlatego specjalistyczne szkolenia dla służb informatycznych nie będą realizowane. Ze względu na niezatrudnianie informatyków i specjalistów z zakresu cyberbezpieczeństwa konieczny będzie zakup usług informatycznych związanych z wdrożeniem i konfiguracją urządzeń oraz systemów bezpieczeństwa zakupionych w ramach projektu.
2) Audyt SZBI, audyt zgodności KRI. W związku z tym, że audyty bezpieczeństwa informacji były przeprowadzane nieregularnie i wyłącznie w wybranych obszarach konieczne jest wykonanie kompleksowego audytu SZBI.
2. Dla Urzędu Miasta i Gminy:
1) Zakup usług wsparcia ekspertów z zakresu cyberbezpieczeństwa. Urząd Miasta i Gminy nie zatrudnia informatyków i specjalistów z zakresu cyberbezpieczeństwa więc konieczny będzie zakup ich usług w celu szczegółowego określenia potrzeb w zakresie poprawy odporności cyfrowej, doboru parametrów urządzeń, określenia funkcjonalności systemów, oceny technicznej ofert oraz wykonania odbiorów urządzeń i systemów. Opracowanie, wdrożenie, przegląd, aktualizacja dokumentacji SZBI, wprowadzenie i aktualizacja PBI. W związku z tym, że wprowadzona w Urzędzie Miasta i Gminy Polityka Bezpieczeństwa Informacji nie opisuje szczegółowo wszystkich obszarów i procesów związanych z ochroną informacji a w jednostkach taki dokument praktycznie nie występuje niezbędne jest stworzenie i wprowadzenie PBI oraz jej przegląd i aktualizacja w kolejnych okresach.
2) Zakup klastra HA urządzeń UTM z obsługą: IPS, IDS, filtr treści, antyspam, antywirus, firewall, VLAN, VPN ze wsparciem na 24 mies. Połączenie z siecią Internet jest zabezpieczane przez jedno urządzenie, które nie jest już produkowane dlatego niemożliwe jest dokupienie drugiego w celu podłączenia w klaster HA. W związku z tym zaplanowano zakup dwóch jednakowych UTMów, które pracować będą w klastrze HA w celu zabezpieczenia Urzędu Gminy przed awarią pojedynczego urządzenia i brakiem dostępu do sieci Internet oraz brakiem dostępności usług publicznych.
3) Zakup 8-portowego zarządzalnego przełącznika warstwy drugiej obsługującego min. VLANy i autoryzację 802.1x; sztuk 4. Wymiana przełączników niezarządzalnych na modele zarządzalne w celu zwiększenia kontroli nad bezpieczeństwem sieci LAN oraz ograniczenia dostępu do zasobów.
4) Zakup 24-portowego zarządzalnego przełącznika warstwy drugiej obsługującego min. VLANy i autoryzację 802.1x oraz przełączników do klastra HA serwerów; sztuk 7. Ze względu na planowane wdrożenie klastra serwerów konieczny jest zakup przełączników, które pracując w klastrze HA zagwarantują dostęp do zasobów w przypadku awarii jednego z nich. Serwery na których przechowywane są archiwa zostaną odseparowane; zrealizowana zostanie również pełna izolacja sieci LAN różnego przeznaczenia i interfejsów zarządzania.
5) Zakup klastra serwerów wysokiej dostępności złożonego z dwóch serwerów, macierzy dyskowej z podwójnym kontrolerem LAN, systemów operacyjnych serwerów. System informatyczny Urzędu Miasta i Gminy pracuje w oparciu o pojedyncze serwery pracujące pod kontrolą Zarządcy XenSerwer który stracił wsparcie techniczne w związku z tym zaplanowany został zakup klastra dwóch serwerów pracujących w oparciu o zasoby dyskowe macierzy. Uzyskana zostanie odporność na awarię jednego z urządzeń i zastosowana zostanie wirtualizacja zasobów.
6) Zakup napędu taśmowego LTO do archiwizacji danych. Aktualnie archiwum danych wykonywane jest na pamięciach sieciowych oraz raz w miesiącu na płytach DVD. Zastosowanie napędu taśmowego sprawi, że wykonywane codziennie kopie będą odporne na działanie złośliwego oprogramowania a schemat wykonywania stanie się spójny i przejrzysty.
7) Zakup oprogramowania do archiwizacji danych i maszyn wirtualnych z licencją na 24 mies. Aktualnie do wykonywania kopii danych wykorzystywane jest darmowe oprogramowanie, np. CobianBackup i skrypty shell. Stosowane rozwiązania są mało stabilne i często nie wspierają szyfrowania archiwum więc konieczny jest zakup oprogramowania, które pozwoli usprawnić proces archiwizacji oraz zapewnić bezpieczeństwo plików archiwum.
8) Zakup ups-a do serwerów wraz z kartą SNMP. Aktualnie stare serwery nie posiadają podtrzymania napięcia zasilającego dlatego zaplanowany został zakup ups wraz z kartą SNMP.
9) Zakup NAS do archiwizacji danych wraz z dyskami twardymi. Aktualne użytkowane urządzenie jest przestarzałe i ograniczone doj ednego dysku więc zaplanowany został zakup nowego modelu z czterema dyskami HDD.
10) Zakup dysku twardego do serwera archiwizacji. Dołożenie dodatkowego dysku twardego do serwera który będzie działać z napędem taśmowym LTO.
11) Zakup wsparcia technicznego na system do agregowania i analizy logów urządzeń sieciowych oraz obserwacji parametrów (SYSLOG, SNMP) dla Urzędu Miasta i Gminy. Urząd Miasta i Gminy posiada takie rozwiązanie, potrzebna jest aktualizacja oprogramowania do najnowszych wersji oraz poprawa funkcjonalności.
12) Zakup i wdrożenie NAC do kontroli dostępu do sieci LAN. Urząd Miasta i Gminy nie wykorzystuje aktualnie systemu do kontroli dostępu do portów przełączników dlatego został zaplanowany jego zakup i wdrożenie w celu zwiększenia bezpieczeństwa LAN.
13) Zakup ITSM do kontroli stacji roboczych, oprogramowania i użytkowników Urząd Miasta i Gminy nie wykorzystuje systemu ITSM dlatego zaplanowany został jego zakup i wdrożenie w celu zwiększenia kontroli nad stacjami roboczymi oraz użytkowanym oprogramowaniem.
14) Zakup testów i badań bezpieczeństwa. Testy podatności oraz kampanie phishingowe nie były wykonywane więc planowane jest ich przeprowadzenie w celu weryfikacji ryzyk oraz oceny świadomości użytkowników.
3. Dla jednostek organizacyjnych:
1) Zakup UTMów ze wsparciem technicznym na okres 24-mies; sztuk 4. Jednostki org. użytkują routery różnych producentów dlatego zaplanowano zakup UTMów oraz wdrożenie ochrony IPS, IDS wraz z kontrolą SSL.
2) Zakup 24portowego zarządzalnego przełącznika warstwy drugiej obsługującego min. VLANy i autoryzację 802.1x – sztuk 4. Wymiana przełączników niezarządzalnych na modele zarządzalne w celu zwiększenia kontroli nad bezpieczeństwem sieci LAN oraz wprowadzenia izolacji sieci różnego przeznaczenia.