Wiki zdrojový kód pre projekt_2306_Projektovy_zamer_detailny
Naposledy upravil Admin-metais MetaIS 2024/11/20 14:01
Show last authors
| author | version | line-number | content |
|---|---|---|---|
| 1 | = {{id name="projekt_2306_Projektovy_zamer_detailny-Deklaráciasúladuprojektushorizontálnymprojektom[1]predopytovúvýzvu„RozvojgovernanceaúrovneinformačnejakybernetickejbezpečnostivpodsektoreVS(ďalejako„Deklaráciasúladu“)[2]"/}}Deklarácia súladu projektu s horizontálnym projektom[[(% class="wikiinternallink" %)**~[1~]**>>path:#_ftn1||name="_ftnref1" shape="rect"]](%%) pre dopytovú výzvu „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS (ďalej ako „Deklarácia súladu“)[[(% class="wikiinternallink" %)**~[2~]**>>path:#_ftn2||name="_ftnref2" shape="rect"]](%%) = | ||
| 2 | |||
| 3 | == {{id name="projekt_2306_Projektovy_zamer_detailny-a)Popisprojektu[3]"/}}a) Popis projektu[[(% class="wikiinternallink" %)**~[3~]**>>path:#_ftn3||name="_ftnref3" shape="rect"]](%%) == | ||
| 4 | |||
| 5 | |||
| 6 | Cieľom nasadenia informačného systému (IS) Riadenie a správa privilegovaných účtov (RaSPU) a modulu evidenciu informačných aktív (EIA) je zabezpečiť hlavne centralizovanú správu, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel, riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam v ICT infraštruktúre a aplikáciách, evidenciu informačných aktív (EIA), ich klasifikáciu, kategorizáciu IS a sietí, riadenie a vyhodnocovanie identifikovaných rizík, hrozieb, incidentov a bezpečnostných udalosti, pomáhať pri odhaľovaní prístupov, ktoré môžu ohroziť prevádzku informačných systémov ÚVO a tým obmedziť, prípadne znemožniť poskytovanie základných služieb. | ||
| 7 | |||
| 8 | |||
| 9 | Úrad pre verejné obstarávanie realizoval v roku 2021 Audit kybernetickej bezpečnosti v súlade so Zákonom 69/2018 Z.z. o kybernetickej bezpečnosti a zmene a doplnení niektorých zákonov. Následne boli vypracované smernice KaIB, prijaté bezpečnostné opatrenia a nastavená realizácia jednotlivých oblastí kybernetickej bezpečnosti. | ||
| 10 | |||
| 11 | |||
| 12 | Jedným z odporúčaní auditnej správy je v rámci kybernetickej bezpečnosti v súlade s §20, ods. 2 h) oblasť riadenia prístupov (§12 vyhlášky č. 362/2018 Z.z.) zvýšiť mieru kontroly, nastavenia a správy privilegovaných účtov a v súlade s plánom zrealizovať implementáciu centrálneho nástroja, ako aj v súlade s §20, ods. 2 b) oblasť riadenia aktív, hrozieb a rizík (§6 vyhlášky č. 362/2018 Z.z.) zlepšiť bezpečnostné opatrenia pre oblasť riadenia aktív, hrozieb a rizík. | ||
| 13 | |||
| 14 | |||
| 15 | Ako KPI projektu (Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov) bude nasadený SW nástroj na monitorovanie a riadenie bezpečnostných incidentov. | ||
| 16 | |||
| 17 | |||
| 18 | == {{id name="projekt_2306_Projektovy_zamer_detailny-b)Popisvýchodiskovejsituácie,relatívnadôležitosťkybernetickejbezpečnostiužiadateľa"/}}b) Popis východiskovej situácie, relatívna dôležitosť kybernetickej bezpečnosti u žiadateľa == | ||
| 19 | |||
| 20 | ÚVO ako prevádzkovateľ základnej služby zaradený do registra prevádzkovateľov základných služieb využíva na pokrytie týchto základných služieb informačné systémy, aplikačnú a komunikačnú infraštruktúru. Správa a prevádzka týchto systémov je v prevažnej miere zabezpečovaná formou služieb prostredníctvom zmlúv na prevádzku, údržbu a rozvoj. Bezpečnostné opatrenia v oblasti správy privilegovaných účtov na ÚVO majú teda vysokú prioritu a zatiaľ nie sú implementované v plnom rozsahu požiadaviek pre zabezpečenie a udržanie zákonom požadovanej kybernetickej bezpečnosti v podmienkach ÚVO. V súčasnosti jednou z dôležitých úloh v oblasti kybernetickej bezpečnosti je zabezpečenie centrálnej správy, riadenia a monitorovania privilegovaných používateľov, evidencia informačných aktív, ich klasifikácia, kategorizácia IS a sietí, riadenie a taktiež vyhodnocovanie identifikovaných rizík, hrozieb, incidentov, ktoré nie je podporované nástrojmi IS. | ||
| 21 | |||
| 22 | Spôsob riadenia a správy účtov v operačných systémoch tvorí základný prvok informačnej bezpečnosti v organizácii. Dôraz musí byť kladený najmä na privilegované účty. Jedná sa o účty, ktoré majú v operačnom systéme vysoké oprávnenia. Jedná sa o účty typu root v Linux/UNIX systémoch, účty typu Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na jedinú fyzickú osobu, atď. | ||
| 23 | |||
| 24 | |||
| 25 | V podmienkach ÚVO to znamená správu prevažne externých privilegovaných účtov k: | ||
| 26 | |||
| 27 | - Informačným systémom (**Systémy úradu** [[ISVS (gov.sk)>>url:https://metais.vicepremier.gov.sk/cilist/ISVS?page=1&count=30&filter%5BglobalSearch%5D=%257B%2522attributes%2522%253A%255B%255D%252C%2522metaAttributes%2522%253A%257B%2522liableEntity%2522%253A%255B%2522cb45bee5-c165-43dc-b3b1-bb4abc823215%2522%255D%257D%257D||shape="rect"]]) | ||
| 28 | |||
| 29 | - Operačným systémom (Windows, RedHat, CentOS,..) | ||
| 30 | |||
| 31 | - Databázam (Oracle, SQL, MySQL,..) | ||
| 32 | |||
| 33 | - Komunikačným prvkom a firewallom | ||
| 34 | |||
| 35 | - atď. | ||
| 36 | |||
| 37 | |||
| 38 | **Riadenie IB a KB** | ||
| 39 | |||
| 40 | UVO má definované a schválené základné strategické bezpečnostné ciele pre oblasť' riadenia IB a KyB. V zmysle platnej legislatívy boli prijaté a sú dodržiavané bezpečnostné opatrenia, jedná sa hlavne o smernice na riadenie IB a KB na úrade, ale aj ďalšie opatrenia v zmysle legislatívnych požiadaviek. | ||
| 41 | |||
| 42 | Organizácia informačnej bezpečnosti ÚVO má tri úrovne: | ||
| 43 | |||
| 44 | - Úroveň stratégie a auditu | ||
| 45 | |||
| 46 | - Úroveň metodiky a operačného riadenia | ||
| 47 | |||
| 48 | - Úroveň implementácie, prevádzky a administrácie | ||
| 49 | |||
| 50 | |||
| 51 | Opatrenia zatiaľ nie sú prijaté v dostatočnom rozsahu a v adekvátnej miere, a to hlavne na úrovni IKT riešení. | ||
| 52 | |||
| 53 | === {{id name="projekt_2306_Projektovy_zamer_detailny-"/}}** ** === | ||
| 54 | |||
| 55 | === {{id name="projekt_2306_Projektovy_zamer_detailny-Bezpečnostnádokumentácia"/}}**Bezpečnostná dokumentácia** === | ||
| 56 | |||
| 57 | |((( | ||
| 58 | P.č. | ||
| 59 | )))|((( | ||
| 60 | Názov dokumentu | ||
| 61 | )))|((( | ||
| 62 | Posledná aktualizácia | ||
| 63 | ))) | ||
| 64 | |((( | ||
| 65 | 1. | ||
| 66 | )))|((( | ||
| 67 | Stratégia informačnej a kybernetickej bezpečnosti | ||
| 68 | )))|((( | ||
| 69 | 10/2020 | ||
| 70 | ))) | ||
| 71 | |((( | ||
| 72 | 2. | ||
| 73 | )))|((( | ||
| 74 | Politika informačnej bezpečnosti | ||
| 75 | )))|((( | ||
| 76 | 10/2020 | ||
| 77 | ))) | ||
| 78 | |((( | ||
| 79 | 3. | ||
| 80 | )))|((( | ||
| 81 | Smernica č. 14-2020 o klasifikácii informačných aktív a kategorizácií sietí a informačných systémov | ||
| 82 | )))|((( | ||
| 83 | 10/2020 | ||
| 84 | ))) | ||
| 85 | |((( | ||
| 86 | 4. | ||
| 87 | )))|((( | ||
| 88 | Smernica č. 15-2020 pre riadenie bezpečnostných incidentov | ||
| 89 | )))|((( | ||
| 90 | 11/2020 | ||
| 91 | ))) | ||
| 92 | |((( | ||
| 93 | 5. | ||
| 94 | )))|((( | ||
| 95 | Smernica č. 16-2020 pre riadenie informačnej bezpečnosti | ||
| 96 | )))|((( | ||
| 97 | 12/2020 | ||
| 98 | ))) | ||
| 99 | |((( | ||
| 100 | 6. | ||
| 101 | )))|((( | ||
| 102 | Smernica č. 17-2020 pre riadenie prístupových práv | ||
| 103 | )))|((( | ||
| 104 | 12/2020 | ||
| 105 | ))) | ||
| 106 | |((( | ||
| 107 | 7. | ||
| 108 | )))|((( | ||
| 109 | Smernica č. 18-2020 správy a prevádzky informačných systémov a služieb | ||
| 110 | )))|((( | ||
| 111 | 12/2020 | ||
| 112 | ))) | ||
| 113 | |((( | ||
| 114 | 8. | ||
| 115 | )))|((( | ||
| 116 | Smernica č_1_2021 o informačnej bezpečnosti pre používateľov | ||
| 117 | )))|((( | ||
| 118 | 01/2021 | ||
| 119 | ))) | ||
| 120 | |((( | ||
| 121 | 9. | ||
| 122 | )))|((( | ||
| 123 | Štatút Výboru pre riadenie informačnej a kybernetickej bezpečnosti Úradu pre verejné obstarávanie | ||
| 124 | )))|((( | ||
| 125 | 10/2020 | ||
| 126 | ))) | ||
| 127 | |((( | ||
| 128 | 10. | ||
| 129 | )))|((( | ||
| 130 | Analýza rizík a BIA | ||
| 131 | )))|((( | ||
| 132 | 08/2020 | ||
| 133 | ))) | ||
| 134 | |((( | ||
| 135 | 11. | ||
| 136 | )))|((( | ||
| 137 | Plánovanie kontinuity činnosti (BCM) | ||
| 138 | )))|((( | ||
| 139 | 02/2021 | ||
| 140 | ))) | ||
| 141 | |||
| 142 | |||
| 143 | Analýza rizík a BIA – nie je možné zverejňovať výsledky tejto analýzy, v prípade potreby oboznámiť sa s touto dokumentáciou je to možné na vyžiadanie (podľa oprávnenia). Taký istý prístup platí aj na dokument Stratégia informačnej a kybernetickej bezpečnosti. | ||
| 144 | |||
| 145 | Súčasťou sekundárnych aktivít na ktoré žiadame finančné zdroje prostredníctvom tejto Deklarácie súladu a pripravovanej Žiadosti o poskytnutie NFP na informačnú a kybernetickú bezpečnosť je zabezpečenie riešenia pre Riadenie a správa privilegovaných účtov (RaSPU) a zavedenie modulu pre evidenciu informačných aktív (EIA). | ||
| 146 | |||
| 147 | Evidenciu informačných aktív, ich klasifikáciu, kategorizáciu IS a sietí a riadenie identifikovaných rizík a incidentov plánujeme implementovať prostredníctvom klientskeho nástroja (modulu) CMRKB (Centralizovaný manažment riadenia kybernetickej bezpečnosti verejnej správy) | ||
| 148 | |||
| 149 | |||
| 150 | Riadenia a správu privilegovaných účtov plánujeme implementovať v rozsahu funkcionalít **PIM a PAM**. | ||
| 151 | |||
| 152 | **~ ** | ||
| 153 | |||
| 154 | **PIM** – Privileged Identity Management - centralizovaná správa, bezpečný prístup k heslám a zdieľaným účtom, riadenie prístupu k heslám, riadenie životného cyklu hesiel | ||
| 155 | |||
| 156 | **PAM** – Privileged Access Management - centralizované riadenie prístupu privilegovaných užívateľov, riadenie prístupu k aktívam, real-time monitoring prístupu k aktívam | ||
| 157 | |||
| 158 | Pod pojmom privilegovaný účet označujeme pre tento účel účet v informačnom systéme, ktorý má vysoké oprávnenia, t. j. účty typu/role root v Linux/UNIX systémoch, účty typu/role Administrátor vo Windows systémoch, systémové účty používané aplikáciami alebo zdieľané účty, ktoré nie sú viazané na fyzickú osobu. S týmito účtami pracujú privilegovaní užívatelia. Pojem privilegovaný užívateľ označuje fyzickú osobu, ktorá používa privilegované účty. Ide hlavne o pracovníkov prevádzky, dodávateľov, alebo vývojárov. Cieľový systém označuje systém, na ktorý sa privilegovaný užívateľ pripojuje prostredníctvom privilegovaných účtov. | ||
| 159 | |||
| 160 | Riešenie má zaznamenávať činnosť systémového administrátora, ktorý pristupuje k citlivým dátam alebo vykonáva konfiguračnú činnosť a vytvárať auditnú stopu pre potreby možného sledovať udalosti presne tak, ako sa v skutočnosti odohrali. | ||
| 161 | |||
| 162 | Riešenie má automatizovať, kontrolovať a zabezpečovať proces prideľovania privilegovaných poverení (pomocou správy hesiel, čiže privilegovaný užívateľ nepozná heslo do doby než ho potrebuje) so schvaľovateľmi úloh, núdzový prístup a exspiráciu platnosti politiky. Má zahŕňať taktiež schvaľovanie požiadaviek na heslo. | ||
| 163 | |||
| 164 | |||
| 165 | Riešenie by malo zabezpečiť hlavne: | ||
| 166 | |||
| 167 | * skenovanie, identifikácia a enrolment privilegovaných účtov zariadení a aplikácií, | ||
| 168 | * automatickú zmenu/rotácia hesiel na základe definovaných politík a komplexicity hesla, úložisko hesiel, | ||
| 169 | * auditné záznamy o prístupoch k heslám o operáciách nad spravovanými privilegovanými prístupmi, účtami, | ||
| 170 | * delegovanie správy prístupov, členenie na logické celky s vymedzenými oprávneniami | ||
| 171 | * monitoring, správa a nahrávanie používateľských (administrátorských) session počas prístupu pod privilegovaným účtom, | ||
| 172 | * spracovanie metadát o nahrávaných session tak aby bolo možné v nahrávkach vyhľadávať napr. spustené aplikácie a príkazy, | ||
| 173 | * správa SSH kľúčov v prostredí UNIX a Linux, | ||
| 174 | * podpora využitia jump host (Windows RDP, Unix SSH) na nadviazanie spojenia s koncovým zariadením, | ||
| 175 | * zabezpečenie prístupu tak, aby administrátor nevedel heslo k privilegovaného účtu ku koncovému zariadeniu, | ||
| 176 | * podpora dvojfaktorovej autentifikácie, | ||
| 177 | * centrálnu autentizáciu a riadenie prístupu, | ||
| 178 | * full-textové vyhľadávanie v záznamoch, | ||
| 179 | * tvorba black-listov a white-listov, | ||
| 180 | * behaviorálnu analýzu správania užívateľov. | ||
| 181 | |||
| 182 | |||
| 183 | ÚVO zrealizovalo prieskum trhu a pred jeho spustením boli vypracované podrobné požiadavky na riešenia RaSPU v rozsahu príloh: | ||
| 184 | |||
| 185 | * RFI_Privil_ucty_opis – Príloha k Deklarácií súladu | ||
| 186 | |||
| 187 | |||
| 188 | Uvedené podklady boli reálne použité v rámci daného RFI (prieskumu trhu), aby sme sa uistili, že požiadavky sú vhodne navrhnuté pre realizáciu projektu RaSPU. | ||
| 189 | |||
| 190 | == {{id name="projekt_2306_Projektovy_zamer_detailny-c)Spôsobrealizácieaktivítprojektu"/}}c) Spôsob realizácie aktivít projektu == | ||
| 191 | |||
| 192 | Projekt bude realizovaný „dodávateľsky“ na základe verejného obstarávania podľa zákona 343/2015 z. z. o verejnom obstarávaní v súčinnosti s pracovníkmi ÚVO. | ||
| 193 | |||
| 194 | |((( | ||
| 195 | Harmonogram | ||
| 196 | )))|((( | ||
| 197 | Od – do | ||
| 198 | )))|((( | ||
| 199 | Dĺžka v mesiacoch | ||
| 200 | ))) | ||
| 201 | |((( | ||
| 202 | Riadenie projektu | ||
| 203 | )))|((( | ||
| 204 | 03/2022-7/2023 | ||
| 205 | )))|((( | ||
| 206 | 17 | ||
| 207 | ))) | ||
| 208 | |((( | ||
| 209 | Verejné obstarávanie | ||
| 210 | )))|((( | ||
| 211 | 03/2022-09/2022 | ||
| 212 | )))|((( | ||
| 213 | 7 | ||
| 214 | ))) | ||
| 215 | |||
| 216 | |||
| 217 | **Implementácia projektu bude pozostávať z nasledovných hlavných aktivít:** | ||
| 218 | |||
| 219 | Hlavné aktivity[[~[4~]>>path:#_ftn4||name="_ftnref4" shape="rect"]]: - harmonogram realizácie (predpokladaný) od 10/2022 do 5/2023 | ||
| 220 | |||
| 221 | |((( | ||
| 222 | Harmonogram | ||
| 223 | )))|((( | ||
| 224 | Od – do | ||
| 225 | )))|((( | ||
| 226 | Dĺžka v mesiacoch | ||
| 227 | ))) | ||
| 228 | |((( | ||
| 229 | Aktivita 1 - Analýza a Dizajn | ||
| 230 | )))|((( | ||
| 231 | 10/2022-11/2022 | ||
| 232 | )))|((( | ||
| 233 | 2 | ||
| 234 | ))) | ||
| 235 | |((( | ||
| 236 | Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb | ||
| 237 | )))|((( | ||
| 238 | |||
| 239 | |||
| 240 | 10/2022-12/2022 | ||
| 241 | )))|((( | ||
| 242 | |||
| 243 | |||
| 244 | 3 | ||
| 245 | ))) | ||
| 246 | |((( | ||
| 247 | Aktivita 3 - Implementácia a Testovanie | ||
| 248 | )))|((( | ||
| 249 | 12/2022-4/2023 | ||
| 250 | )))|((( | ||
| 251 | 5 | ||
| 252 | ))) | ||
| 253 | |((( | ||
| 254 | Aktivita 4 – Nasadenie | ||
| 255 | )))|((( | ||
| 256 | 5/2023 | ||
| 257 | )))|((( | ||
| 258 | 1 | ||
| 259 | ))) | ||
| 260 | |||
| 261 | |||
| 262 | |||
| 263 | Hlavné aktivity: | ||
| 264 | |||
| 265 | Aktivita 1 - Analýza a Dizajn | ||
| 266 | |||
| 267 | * Analýzy - v rozsahu potreby projektu pre detailný návrh riešenia RasPU a modulu EIA , dátová, bezpečnostná, architektúra, integrácia, analýza prístupov, účtov, návrh procesov, katalógu rolí... | ||
| 268 | * DNR - detailný návrh riešenia - funkčný, architektúra technická, aplikačná, bezpečnosť, integrácia, testovanie - plán testov, školenia, dokumentácia, detailný harmonogram... | ||
| 269 | |||
| 270 | Aktivita 2 - Nákup technických prostriedkov, programových prostriedkov a služieb pre potreby projektu | ||
| 271 | |||
| 272 | Aktivita 3 - Implementácia a Testovanie | ||
| 273 | |||
| 274 | * Implementácia, alebo kastomizácia funkcionality RaSPU, príprava inštalačného prostredia, vytvorenie rolí,.. | ||
| 275 | * Implementácia, kastomizácia offline klientskeho nástroja evidencie informačných aktív, rizík a incidentov – pričom ako základ sa použije open source modul Vládneho informačného systému kybernetickej bezpečnosti (VISKB). Tento sa v aktivite Implementácia prispôsobí na potreby ÚVO. | ||
| 276 | * Testovanie, vrátane akceptačnéh testovania | ||
| 277 | * Vyhotovenie dokumentácie | ||
| 278 | |||
| 279 | Aktivita 4 – Nasadenie | ||
| 280 | |||
| 281 | * Tvorba detailných plánov nasadenia do prevádzky (Cut-over) | ||
| 282 | * Nasadenie riešení do prevádzkového prostredia (inštalácie, konfigurácie, priradenie rolí, ...) podľa Cut-over | ||
| 283 | |||
| 284 | QA manažér bude vykonávať **riadenie kvality projektu** - realizácia aktivít projektu v oblasti Quality Assurance podľa aktuálne platnej Metodiky riadenia QAMPR z gescie MIRRI SR. | ||
| 285 | |||
| 286 | Ďalšie pozície v rámci odborného interného riadenia projektu budú vytvorené v súlade s Vyhláškou UPVII č. 85/2020 o riadení projektov a s výsledkami prieskumu trhu, ktorého hodnoty vchádzajú do projektového rozpočtu, požiadavkou dodávateľa na súčinnosť a našim rozhodnutím tak, aby úrad realizoval projekt podľa pokynov daných výzvou a príslušnými metodickými pokynmi a príručkami pre riadenie projektov (pre žiadateľa, prijímateľa atď.). | ||
| 287 | |||
| 288 | Podporné aktivity: | ||
| 289 | |||
| 290 | Riadenie projektu: | ||
| 291 | |||
| 292 | * Projektový manažér: bude vykonávať činností spojené s riadením projektového tímu a samotné projektové riadenie v zmysle metodík pre riadenie projektov a v súlade s aktuálnymi Príručkami EŠIF platnými pre OPII PO7. PM je interný zamestnanec úradu. | ||
| 293 | |||
| 294 | Publicita a informovanosť: | ||
| 295 | |||
| 296 | * Bude uskutočnená s aktuálne platným Manuálom pre informovanie a komunikáciu. | ||
| 297 | |||
| 298 | **Zoznam produktov, ktoré projekt dodáva je nasledovný:** | ||
| 299 | |||
| 300 | - Analýza celkových nákladov na vlastníctvo (TCO) | ||
| 301 | |||
| 302 | - Funkčná a technická špecifikácia | ||
| 303 | |||
| 304 | - Projektový iniciálny dokument (PID) | ||
| 305 | |||
| 306 | - Detailný návrh riešenia (DNR) | ||
| 307 | |||
| 308 | - Plán Testov | ||
| 309 | |||
| 310 | - Dokumentácia (Aplikačná, Používateľská, Inštalačná a Konfiguračná, Prevádzková) | ||
| 311 | |||
| 312 | - Klientsky modul evidencie informačných aktív, ich klasifikácie a kategorizácie a riadenia rizík a incidentov | ||
| 313 | |||
| 314 | - Informačný systém RaSPU | ||
| 315 | |||
| 316 | |||
| 317 | Aktivity Implementácia a Testovanie, Nasadenie prispievajú k splneniu KPI „Počet nasadených nástrojov na rozpoznávanie, monitorovanie a riadenie bezpečnostných incidentov“ tým, že sa implementuje a prispôsobí potrebám ÚVO offline klient VISKB. | ||
| 318 | |||
| 319 | Informačný systém RaSPU plánujeme realizovať obstaraním dodávateľa na realizáciu IS, vrátane softvérových produktov. | ||
| 320 | |||
| 321 | Z realizovaného prieskumu trhu, podľa vyššie uvedenej špecifikácie, nám vyšla sumu 149 660,80 EUR s DPH, celková suma v Žiadosti o NFP spolu s internými výdavkami (priame a nepriame) je 164 234,71 EUR s DPH. | ||
| 322 | |||
| 323 | Analýzu a implementáciu modulu EIA plánujeme realizovať internými kapacitami zapojenými do projektu. | ||
| 324 | |||
| 325 | == {{id name="projekt_2306_Projektovy_zamer_detailny-d)Situáciaporealizáciiprojektuaudržateľnosť"/}}d) Situácia po realizácii projektu a udržateľnosť == | ||
| 326 | |||
| 327 | ÚVO bude mať k dispozícii IS, ktorý mu zabezpečí dostatočnú podporu pre riadenie prístupov privilegovaných používateľov k IS ÚVO a jeho infraštruktúre, vrátane modulu EIA na evidenciu informačných aktív, ich klasifikáciu, kategorizáciu, riadenia rizík a incidentov. Tým zabezpečí primeranú kybernetickú a informačnú bezpečnosť vo vzťahu k poskytovaniu základných služieb. Zabezpečenie prevádzky, údržby a podpory IS RaSPU bude zabezpečené prostredníctvom SLA zmluvy financovanej z vlastných finančných zdrojov, ktorá pokryje prevádzku IS a budúci rozvoj. | ||
| 328 | |||
| 329 | V rámci udržateľnosti ÚVO plánuje nasledovné riešenie: | ||
| 330 | |||
| 331 | 1. Realizáciu diela – implementáciu RaSPU (do majetku) a licencií | ||
| 332 | 1. Uzatvorenie SLA zmluvy s dodávateľom diela na (Údržbu, t.j. odstraňovanie vád kategórií A, B, C v dohodnutých dňoch a časoch s definovanými časmi odozvy (response time) a časmi fixácie vzniknutého problému (fix time), zabezpečenie maintenance softvéru (update a upgrade), poskytovanie služieb Hotline) | ||
| 333 | 1. Základný bezpečnostný monitoring, reporting, analytickú činnosť - Špecialistom informačnej a kybernetickej bezpečnosti. | ||
| 334 | |||
| 335 | |||
| 336 | [[(% class="wikiinternallink" %)//**~[1~]**//>>path:#_ftnref1||name="_ftn1" shape="rect"]](%%)// //[[Horizontálny projekt „Rozvoj governance a úrovne informačnej a kybernetickej bezpečnosti v podsektore VS“>>url:https://metais.vicepremier.gov.sk/detail/Projekt/1ee7ab77-cc98-441e-827f-872698386460/cimaster?tab=documentsForm||shape="rect"]]. | ||
| 337 | |||
| 338 | [[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] Minimálne obsahové a formálne náležitosti Deklarácie súladu sú uvedené v prílohe č. 9 Výzvy. | ||
| 339 | |||
| 340 | [[~[3~]>>path:#_ftnref3||name="_ftn3" shape="rect"]] Žiadateľ je povinný vypracovať Deklaráciu súladu a predložiť ju na posúdenie Ministerstvu investícií, regionálneho rozvoja a informatizácie SR (ďalej ako „MIRRI“), sekcii kybernetickej bezpečnosti, ktorá vydá k Deklarácii súladu stanovisko. Následne žiadateľ predkladá Stanovisko a Deklaráciu súladu ako prílohu Žiadosti o NFP v rámci konania o Žiadosti o NFP na MIRRI, sekcii sprostredkovateľského orgánu informatizácie spoločnosti v súlade s podmienkou poskytnutia príspevku „**Podmienka súladu Žiadosti o NFP s horizontálnym projektom a s minimálnymi obsahovými a formálnymi náležitosťami definovanými Prílohou č. 9. výzvy**“. | ||
| 341 | |||
| 342 | [[~[4~]>>path:#_ftnref4||name="_ftn4" shape="rect"]] V súlade s [[Vyhláškou Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu o riadení projektov>>url:https://www.slov-lex.sk/vyhladavanie-pravnych-predpisov?text=85%2F2020||shape="rect"]] |