Wiki zdrojový kód pre projektovy_zamer
Version 2.2 by milica_okaliova on 2024/11/20 14:00
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | = {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]] pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]] = | ||
| 2 | |||
| 3 | == {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a) Popis projektu[[**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]] == | ||
| 4 | |||
| 5 | \\ | ||
| 6 | |||
| 7 | Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb. | ||
| 8 | |||
| 9 | \\ | ||
| 10 | |||
| 11 | Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti. | ||
| 12 | |||
| 13 | \\ | ||
| 14 | |||
| 15 | Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík. | ||
| 16 | |||
| 17 | \\ | ||
| 18 | |||
| 19 | Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov. | ||
| 20 | |||
| 21 | \\ | ||
| 22 | |||
| 23 | == {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b) Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa == | ||
| 24 | |||
| 25 | ÚVO ako prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb využíva na pokrytie týchto základných služieb informačné systémy, aplikačnú a komunikačnú infraštruktúru. Správa a prevádzka týchto systémov je v prevažnej miere zabezpečovaná formou služieb prostredníctvom zmlúv na prevádzku, údržbu a rozvoj. Bezpečnostné opatrenia v oblasti správy privilegovaných účtov na ÚVO majú teda vysokú prioritu a zatiaľ nie sú implementované v plnom rozsahu požiadaviek pre zabezpečenie a udržanie zákonom požadovanej kybernetickej bezpečnosti v podmienkach ÚVO. V súčasnosti jednou z dôležitých úloh v oblasti kybernetickej bezpečnosti je zabezpečenie centrálnej správy, riadenia a monitorovania privilegovaných používateľov, evidencia informačných aktív, ich klasifikácia, kategorizácia IS a sietí, riadenie a taktiež vyhodnocovanie identifikovaných rizík, hrozieb, incidentov, ktoré nie je podporované nástrojmi IS. | ||
| 26 | |||
| 27 | Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď. | ||
| 28 | |||
| 29 | \\ | ||
| 30 | |||
| 31 | V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k: | ||
| 32 | |||
| 33 | - Informačným systémom (**Systémy úradu** [[ISVS (gov.sk)>>url:https://metais.vicepremier.gov.sk/cilist/ISVS?page=1&count=30&filter%5BglobalSearch%5D=%257B%2522attributes%2522%253A%255B%255D%252C%2522metaAttributes%2522%253A%257B%2522liableEntity%2522%253A%255B%2522cb45bee5-c165-43dc-b3b1-bb4abc823215%2522%255D%257D%257D||shape="rect"]]) | ||
| 34 | |||
| 35 | - Operačným systémom (Windows, RedHat, CentOS,..) | ||
| 36 | |||
| 37 | - Databázam (Oracle, SQL, MySQL,..) | ||
| 38 | |||
| 39 | - Komunikačným prvkom a firewallom | ||
| 40 | |||
| 41 | - atď. | ||
| 42 | |||
| 43 | \\ | ||
| 44 | |||
| 45 | **Riadenie IB a KB** | ||
| 46 | |||
| 47 | UVO má definované a schválené základné strategické bezpečnostné ciele pre oblasť' riadenia IB a KyB. V zmysle platnej legislatívy boli prijaté a sú dodržiavané bezpečnostné opatrenia, jedná sa hlavne o smernice na riadenie IB a KB na úrade, ale aj ďalšie opatrenia v zmysle legislatívnych požiadaviek. | ||
| 48 | |||
| 49 | Organizácia informačnej bezpečnosti ÚVO má tri úrovne: | ||
| 50 | |||
| 51 | - Úroveň stratégie a auditu | ||
| 52 | |||
| 53 | - Úroveň metodiky a operačného riadenia | ||
| 54 | |||
| 55 | - Úroveň implementácie, prevádzky a administrácie | ||
| 56 | |||
| 57 | \\ | ||
| 58 | |||
| 59 | Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení. | ||
| 60 | |||
| 61 | === {{id name="projekt_2306_Projektovy_zamer_detailny-"/}}** ** === | ||
| 62 | |||
| 63 | === {{id name="projekt_2306_Projektovy_zamer_detailny-Bezpečnostnádokumentácia"/}}**Bezpečnostná dokumentácia** === | ||
| 64 | |||
| 65 | |((( | ||
| 66 | P.č. | ||
| 67 | )))|((( | ||
| 68 | Názov dokumentu | ||
| 69 | )))|((( | ||
| 70 | Posledná aktualizácia | ||
| 71 | ))) | ||
| 72 | |((( | ||
| 73 | 1. | ||
| 74 | )))|((( | ||
| 75 | Stratégia informačnej a kybernetickej bezpečnosti | ||
| 76 | )))|((( | ||
| 77 | 10/2020 | ||
| 78 | ))) | ||
| 79 | |((( | ||
| 80 | 2. | ||
| 81 | )))|((( | ||
| 82 | Politika informačnej bezpečnosti | ||
| 83 | )))|((( | ||
| 84 | 10/2020 | ||
| 85 | ))) | ||
| 86 | |((( | ||
| 87 | 3. | ||
| 88 | )))|((( | ||
| 89 | Smernica č. 14-2020 o klasifikácii informačných aktív a kategorizácií sietí a informačných systémov | ||
| 90 | )))|((( | ||
| 91 | 10/2020 | ||
| 92 | ))) | ||
| 93 | |((( | ||
| 94 | 4. | ||
| 95 | )))|((( | ||
| 96 | Smernica č. 15-2020 pre riadenie bezpečnostných incidentov | ||
| 97 | )))|((( | ||
| 98 | 11/2020 | ||
| 99 | ))) | ||
| 100 | |((( | ||
| 101 | 5. | ||
| 102 | )))|((( | ||
| 103 | Smernica č. 16-2020 pre riadenie informačnej bezpečnosti | ||
| 104 | )))|((( | ||
| 105 | 12/2020 | ||
| 106 | ))) | ||
| 107 | |((( | ||
| 108 | 6. | ||
| 109 | )))|((( | ||
| 110 | Smernica č. 17-2020 pre riadenie prístupových práv | ||
| 111 | )))|((( | ||
| 112 | 12/2020 | ||
| 113 | ))) | ||
| 114 | |((( | ||
| 115 | 7. | ||
| 116 | )))|((( | ||
| 117 | Smernica č. 18-2020 správy a prevádzky informačných systémov a služieb | ||
| 118 | )))|((( | ||
| 119 | 12/2020 | ||
| 120 | ))) | ||
| 121 | |((( | ||
| 122 | 8. | ||
| 123 | )))|((( | ||
| 124 | Smernica č_1_2021 o informačnej bezpečnosti pre používateľov | ||
| 125 | )))|((( | ||
| 126 | 01/2021 | ||
| 127 | ))) | ||
| 128 | |((( | ||
| 129 | 9. | ||
| 130 | )))|((( | ||
| 131 | Štatút Výboru pre riadenie informačnej a kybernetickej bezpečnosti Úradu pre verejné obstarávanie | ||
| 132 | )))|((( | ||
| 133 | 10/2020 | ||
| 134 | ))) | ||
| 135 | |((( | ||
| 136 | 10. | ||
| 137 | )))|((( | ||
| 138 | Analýza rizík a BIA | ||
| 139 | )))|((( | ||
| 140 | 08/2020 | ||
| 141 | ))) | ||
| 142 | |((( | ||
| 143 | 11. | ||
| 144 | )))|((( | ||
| 145 | Plánovanie kontinuity činnosti (BCM) | ||
| 146 | )))|((( | ||
| 147 | 02/2021 | ||
| 148 | ))) | ||
| 149 | |||
| 150 | \\ | ||
| 151 | |||
| 152 | Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti. | ||
| 153 | |||
| 154 | Súčasťou sekundárnych aktivít na ktoré žiadame finančné zdroje prostredníctvom tejto Deklarácie súladu a pripravovanej Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zabezpečenie riešenia pre Riadenie a správa privilegovaných účtov (RaSPU) a zavedenie modulu pre evidenciu informačných aktív (EIA). | ||
| 155 | |||
| 156 | Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy) | ||
| 157 | |||
| 158 | \\ | ||
| 159 | |||
| 160 | Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**. | ||
| 161 | |||
| 162 | **~ ** | ||
| 163 | |||
| 164 | **PIM** – Privileged Identity Management - centralizovaná správa, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel | ||
| 165 | |||
| 166 | **PAM** – Privileged Access Management - centralizované riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam | ||
| 167 | |||
| 168 | Pod pojmom privilegovaný účet označujeme pre tento účel účet v informačnom systéme, ktorý má vysoké oprávnenia, t. j. účty typu/role root v Linux/UNIX systémoch, účty typu/role Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na fyzickú osobu. S týmito účtami pracujú privilegovaní užívatelia. Pojem privilegovaný užívateľ označuje fyzickú osobu, ktorá používa privilegované účty. Ide hlavne o pracovníkov prevádzky, dodávateľov, alebo vývojárov. Cieľový systém označuje systém, na ktorý sa privilegovaný užívateľ pripojuje prostredníctvom privilegovaných účtov. | ||
| 169 | |||
| 170 | Riešenie má zaznamenávať činnosť systémového administrátora, ktorý pristupuje k citlivým dátam alebo vykonáva konfiguračnú činnosť a vytvárať auditnú stopu pre potreby možného sledovať udalosti presne tak, ako sa v skutočnosti odohrali. | ||
| 171 | |||
| 172 | Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo. | ||
| 173 | |||
| 174 | \\ | ||
| 175 | |||
| 176 | Riešenie by malo zabezpečiť hlavne: | ||
| 177 | |||
| 178 | * skenovanie, identifikácia a enrolment privilegovaných účtov zariadení a aplikácií, | ||
| 179 | * automatickú zmenu/rotácia hesiel na základe definovaných politík a komplexicity hesla, úložisko hesiel, | ||
| 180 | * auditné záznamy o prístupoch k heslám o operáciách nad spravovanými privilegovanými prístupmi, účtami, | ||
| 181 | * delegovanie správy prístupov, členenie na logické celky s vymedzenými oprávneniami | ||
| 182 | * monitoring, správa a nahrávanie používateľských (administrátorských) session počas prístupu pod privilegovaným účtom, | ||
| 183 | * spracovanie metadát o nahrávaných session tak aby bolo možné v nahrávkach vyhľadávať napr. spustené aplikácie a príkazy, | ||
| 184 | * správa SSH kľúčov v prostredí UNIX a Linux, | ||
| 185 | * podpora využitia jump host (Windows RDP, Unix SSH) na nadviazanie spojenia s koncovým zariadením, | ||
| 186 | * zabezpečenie prístupu tak, aby administrátor nevedel heslo k privilegovaného účtu ku koncovému zariadeniu, | ||
| 187 | * podpora dvojfaktorovej autentifikácie, | ||
| 188 | * centrálnu autentizáciu a riadenie prístupu, | ||
| 189 | * full-textové vyhľadávanie v záznamoch, | ||
| 190 | * tvorba black-listov a white-listov, | ||
| 191 | * behaviorálnu analýzu správania užívateľov. | ||
| 192 | |||
| 193 | \\ | ||
| 194 | |||
| 195 | ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh: | ||
| 196 | |||
| 197 | * RFI_Privil_ucty_opis – Príloha k Deklarácií súladu | ||
| 198 | |||
| 199 | \\ | ||
| 200 | |||
| 201 | Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU. | ||
| 202 | |||
| 203 | == {{id name="projekt_2306_Projektovy_zamer_detailny-c)Spôsobrealizácieaktivítprojektu"/}}c) Spôsob realizácie aktivít projektu == | ||
| 204 | |||
| 205 | Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania podľa zákona 343/2015 z. z. o verejnom obstarávaní v súčinnosti s pracovníkmi ÚVO. | ||
| 206 | |||
| 207 | |((( | ||
| 208 | Harmonogram | ||
| 209 | )))|((( | ||
| 210 | Od – do | ||
| 211 | )))|((( | ||
| 212 | Dĺžka v mesiacoch | ||
| 213 | ))) | ||
| 214 | |((( | ||
| 215 | Riadenie projektu | ||
| 216 | )))|((( | ||
| 217 | 03/2022-7/2023 | ||
| 218 | )))|((( | ||
| 219 | 17 | ||
| 220 | ))) | ||
| 221 | |((( | ||
| 222 | Verejné obstarávanie | ||
| 223 | )))|((( | ||
| 224 | 03/2022-09/2022 | ||
| 225 | )))|((( | ||
| 226 | 7 | ||
| 227 | ))) | ||
| 228 | |||
| 229 | \\ | ||
| 230 | |||
| 231 | **Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:** | ||
| 232 | |||
| 233 | Hlavné aktivity[[~[4~]>>path:#_ftn4||name="_ftnref4" shape="rect"]]: - harmonogram realizácie (predpokladaný) od 10/2022 do 5/2023 | ||
| 234 | |||
| 235 | |((( | ||
| 236 | Harmonogram | ||
| 237 | )))|((( | ||
| 238 | Od – do | ||
| 239 | )))|((( | ||
| 240 | Dĺžka v mesiacoch | ||
| 241 | ))) | ||
| 242 | |((( | ||
| 243 | Aktivita 1 - Analýza a Dizajn | ||
| 244 | )))|((( | ||
| 245 | 10/2022-11/2022 | ||
| 246 | )))|((( | ||
| 247 | 2 | ||
| 248 | ))) | ||
| 249 | |((( | ||
| 250 | Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb | ||
| 251 | )))|((( | ||
| 252 | \\ | ||
| 253 | |||
| 254 | 10/2022-12/2022 | ||
| 255 | )))|((( | ||
| 256 | \\ | ||
| 257 | |||
| 258 | 3 | ||
| 259 | ))) | ||
| 260 | |((( | ||
| 261 | Aktivita 3 - Implementácia a Testovanie | ||
| 262 | )))|((( | ||
| 263 | 12/2022-4/2023 | ||
| 264 | )))|((( | ||
| 265 | 5 | ||
| 266 | ))) | ||
| 267 | |((( | ||
| 268 | Aktivita 4 – Nasadenie | ||
| 269 | )))|((( | ||
| 270 | 5/2023 | ||
| 271 | )))|((( | ||
| 272 | 1 | ||
| 273 | ))) | ||
| 274 | |||
| 275 | \\ | ||
| 276 | |||
| 277 | \\ | ||
| 278 | |||
| 279 | Hlavné aktivity: | ||
| 280 | |||
| 281 | Aktivita 1 - Analýza a Dizajn | ||
| 282 | |||
| 283 | * Analýzy - v rozsahu potreby projektu pre detailný návrh riešenia RasPU a modulu EIA , dátová, bezpečnostná, architektúra, integrácia, analýza prístupov, účtov, návrh procesov, katalógu rolí... | ||
| 284 | * DNR - detailný návrh riešenia - funkčný, architektúra technická, aplikačná, bezpečnosť, integrácia, testovanie - plán testov, školenia, dokumentácia, detailný harmonogram... | ||
| 285 | |||
| 286 | Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb pre potreby projektu | ||
| 287 | |||
| 288 | Aktivita 3 - Implementácia a Testovanie | ||
| 289 | |||
| 290 | * Implementácia, alebo kastomizácia funkcionality RaSPU, príprava inštalačného prostredia, vytvorenie rolí,.. | ||
| 291 | * Implementácia, kastomizácia offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia prispôsobí na potreby ÚVO. | ||
| 292 | * Testovanie, vrátane akceptačnéh testovania | ||
| 293 | * Vyhotovenie dokumentácie | ||
| 294 | |||
| 295 | Aktivita 4 – Nasadenie | ||
| 296 | |||
| 297 | * Tvorba detailných plánov nasadenia do prevádzky (Cut-over) | ||
| 298 | * Nasadenie riešení do prevádzkového prostredia (inštalácie, konfigurácie, priradenie rolí, ...) podľa Cut-over | ||
| 299 | |||
| 300 | QA manažér bude vykonávať **riadenie kvality projektu** - realizácia aktivít projektu v oblasti Quality Assurance podľa aktuálne platnej Metodiky riadenia QAMPR z gescie MIRRI SR. | ||
| 301 | |||
| 302 | Ďalšie pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby úrad realizoval projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.). | ||
| 303 | |||
| 304 | Podporné aktivity: | ||
| 305 | |||
| 306 | Riadenie projektu: | ||
| 307 | |||
| 308 | * Projektový manažér: bude vykonávať činností spojené s riadením projektového tímu a samotné projektové riadenie v zmysle metodík pre riadenie projektov a v súlade s aktuálnymi Príručkami EŠIF platnými pre OPII PO7. PM je interný zamestnanec úradu. | ||
| 309 | |||
| 310 | Publicita a informovanosť: | ||
| 311 | |||
| 312 | * Bude uskutočnená s aktuálne platným Manuálom pre informovanie a komunikáciu. | ||
| 313 | |||
| 314 | **Zoznam produktov, ktoré projekt dodáva je nasledovný:** | ||
| 315 | |||
| 316 | - Analýza celkových nákladov na vlastníctvo (TCO) | ||
| 317 | |||
| 318 | - Funkčná a technická špecifikácia | ||
| 319 | |||
| 320 | - Projektový iniciálny dokument (PID) | ||
| 321 | |||
| 322 | - Detailný návrh riešenia (DNR) | ||
| 323 | |||
| 324 | - Plán Testov | ||
| 325 | |||
| 326 | - Dokumentácia (Aplikačná, Používateľská, Inštalačná a Konfiguračná, Prevádzková) | ||
| 327 | |||
| 328 | - Klientsky modul evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov | ||
| 329 | |||
| 330 | - Informačný systém RaSPU | ||
| 331 | |||
| 332 | \\ | ||
| 333 | |||
| 334 | Aktivity Implementácia a Testovanie, Nasadenie prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB. | ||
| 335 | |||
| 336 | Informačný systém RaSPU plánujeme realizovať obstaraním dodávateľa na realizáciu IS, vrátane softvérových produktov. | ||
| 337 | |||
| 338 | Z realizovaného prieskumu trhu, podľa vyššie uvedenej špecifikácie, nám vyšla sumu 149 660,80 EUR s DPH, celková suma v Žiadosti o NFP spolu s internými výdavkami (priame a nepriame) je 164 234,71 EUR s DPH. | ||
| 339 | |||
| 340 | Analýzu a implementáciu modulu EIA plánujeme realizovať internými kapacitami zapojenými do projektu. | ||
| 341 | |||
| 342 | == {{id name="projekt_2306_Projektovy_zamer_detailny-d)Situáciaporealizáciiprojektuaudržateľnosť"/}}d) Situácia po realizácii projektu a udržateľnosť == | ||
| 343 | |||
| 344 | ÚVO bude mať k dispozícii IS, ktorý mu zabezpečí dostatočnú podporu pre riadenie prístupov privilegovaných používateľov k IS ÚVO a jeho infraštruktúre, vrátane modulu EIA na evidenciu informačných aktív, ich klasifikáciu, kategorizáciu, riadenia rizík a incidentov. Tým zabezpečí primeranú kybernetickú a informačnú bezpečnosť vo vzťahu k poskytovaniu základných služieb. Zabezpečenie prevádzky, údržby a podpory IS RaSPU bude zabezpečené prostredníctvom SLA zmluvy financovanej z vlastných finančných zdrojov, ktorá pokryje prevádzku IS a budúci rozvoj. | ||
| 345 | |||
| 346 | V rámci udržateľnosti ÚVO plánuje nasledovné riešenie: | ||
| 347 | |||
| 348 | 1. Realizáciu diela – implementáciu RaSPU (do majetku) a licencií | ||
| 349 | 1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline) | ||
| 350 | 1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti. | ||
| 351 | |||
| 352 | \\ | ||
| 353 | |||
| 354 | [[//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]]// //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]]. | ||
| 355 | |||
| 356 | [[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy. | ||
| 357 | |||
| 358 | [[~[3~]>>path:#_ftnref3||name="_ftn3" shape="rect"]] Žiadateľ je povinný vypracovať Deklaráciu súladu a predložiť ju na posúdenie Ministerstvu investícií, regionálneho rozvoja a informatizácie SR (ďalej ako „MIRRI“), sekcii kybernetickej bezpečnosti, ktorá vydá k Deklarácii súladu stanovisko. Následne žiadateľ predkladá Stanovisko a Deklaráciu súladu ako prílohu Žiadosti o NFP v rámci konania o Žiadosti o NFP na MIRRI, sekcii sprostredkovateľského orgánu informatizácie spoločnosti v súlade s podmienkou poskytnutia príspevku „**Podmienka súladu Žiadosti o NFP s horizontálnym projektom a s minimálnymi obsahovými a formálnymi náležitosťami definovanými Prílohou č. 9. výzvy**“. | ||
| 359 | |||
| 360 | [[~[4~]>>path:#_ftnref4||name="_ftn4" shape="rect"]] V súlade s [[Vyhláškou Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o riadení projektov>>url:https://www.slov-lex.sk/vyhladavanie-pravnych-predpisov?text=85%2F2020||shape="rect"]] |