projektovy_zamer

Vzhľadom na zameranie projektu a jeho zverejnenie v systéme Metais táto verzia dokumentu neobsahuje zoznam opatrení resp. nálezov, ktoré tento projekt bude riešiť. Na základe vyjadrenia KIB by zverejnenie týchto informácii mohlo spôsobiť potenciálne narušenie KIB mesta, ako aj schopnosti poskytovať základnú službu.

34

35

Na vyžiadanie je dostupná plná verzia dokumentu, ktorá bude sprístupnená podľa vopred dohodnutých pravidiel relevantným subjektom a osobám.

)))

**~ **

**Schvaľovanie dokumentu**

(% class="" %)|(((

Položka

)))|(((

Meno a priezvisko

)))|(((

Organizácia

)))|(((

Pracovná pozícia

)))|(((

Dátum

)))|(((

Podpis

(alebo elektronický súhlas)

)))

(% class="" %)|(((

Vypracoval

)))|(((

PhDr. Vladimíra Pazderová, PhD.

)))|(((

Novo Funding

)))|(((

Projektový manažér

)))|(((

19.4.2024

)))|(((

\\

)))

(% class="" %)|(((

Schválil

)))|(((

Marcel Badín

)))|(((

Mesto Trstená

)))|(((

Správca IT siete

)))|(((

29.4.2024

)))|(((

\\

)))

(% class="" %)|(((

Schválil

)))|(((

RNDr. Saniel Schikor

)))|(((

Mesto Trstená

)))|(((

Manažér kybernetickej bezpečnosti

)))|(((

29.4.2024

)))|(((

\\

)))

**~ **

= {{id name="projekt_2489_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1. História DOKUMENTU =

(% class="" %)|(((

Verzia

)))|(((

Dátum

)))|(((

Zmeny

)))|(((

Meno

)))

(% class="" %)|(((

1.0

)))|(((

10.4.2024

)))|(((

Prvá verzia dokumentu

116

)))|(((

117

PhDr. Vladimíra Pazderová, PhD.

)))

(% class="" %)|(((

1.1

)))|(((

29.4.2024

)))|(((

Finálna verzia dokumentu

125

)))|(((

126

PhDr. Vladimíra Pazderová, PhD.

)))

**~ **

= {{id name="projekt_2489_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

132

133

V súlade s Vyhláškou č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy je dokument Projektový́ zámer pre prípravnú a iniciačnú fázu určený́ na rozpracovanie detailných informácií prípravy projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Trstená financovaného z výzvy č. PSK-MIRRI-611-2024-DV-EFRR.

**~ **

== {{id name="projekt_2489_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

(% class="" %)|(((

SIEM

)))|(((

Security Information and Event Management

)))

(% class="" %)|(((

SOC

)))|(((

Security Operations Center

)))

(% class="" %)|(((

IS

)))|(((

Informačný systém

)))

(% class="" %)|(((

SLA

)))|(((

Service Desk Manager

)))

(% class="" %)|(((

SW

)))|(((

Softvér

)))

(% class="" %)|(((

MsÚ

)))|(((

Mestský úrad

)))

(% class="" %)|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

MCA

)))|(((

Multikriteriálna analýza

)))

(% class="" %)|(((

PZS

)))|(((

Poskytovateľ základnej služby

)))

(% class="" %)|(((

NKIVS

)))|(((

Národná koncepcia informatizácie verejnej správy

)))

== {{id name="projekt_2489_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek(príklady)"/}}Konvencie pre typy požiadaviek (príklady) ==

**~ **

= {{id name="projekt_2489_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

213

214

V súčasnosti pre oblasť kybernetickej a informačnej bezpečnosti platí, že situácia, zabezpečenie a prijaté opatrenia nie sú dostatočné. Subjekty čoraz viac evidujú zvyšujúcu sa frekvenciu a závažnosť útokov, z interného hľadiska sa neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov, ktoré evidujú aj subjekty v oblasti verejnej správy, čo si uvedomuje aj Mesto Trstená.

215

216

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, ktoré nastavujú požiadavky a štandard z pohľadu bezpečnostných opatrení, sú povinné aj pre mestá ako poskytovateľov základných služieb, v dôsledku čoho sa mesto rozhodlo zapojiť sa do danej výzvy.

217

218

V sektore verejná správa, kde sa nachádza najväčší počet poskytovateľov základných služieb sa situácia v oblasti kybernetickej bezpečnosti dlhodobo nemení (Správa o kybernetickej bezpečnosti v Slovenskej republike v roku 2022). V tejto oblasti je možné pozorovať až kritické zanedbávanie bezpečnosti. Najmä samosprávy a menší prevádzkovatelia si dostatočne neuvedomujú dôležitosť témy kybernetickej bezpečnosti, k problematike pristupujú povrchovo a zameriavajú sa skôr na formálne aktivity, ako napríklad kupovanie generickej dokumentácie. Celkové riadenie kybernetickej bezpečnosti pri PZS v tomto sektore často chýba, je chaotické alebo čiastkové. Samosprávy sa snažia preniesť zodpovednosti pre túto oblasť na externých poskytovateľov služieb (podľa správy NBÚ, 2022).

219

220

Podľa štatistík Národného bezpečnostného úradu za rok 2022 /aktuálnejšie štatistiky nie sú dostupné/ je v sektore verejná správa 1417 poskytovateľov základných služieb, pričom počet PZS s povinnosťou auditu bol 1416 (bolo možné splniť aj samohodnotením podľa §34a ods. 2 ZoKB). Za rok 2022 bolo odovzdaných 99 auditných správ a 405 samohodnotení. Z odovzdaných auditov boli identifikované nasledovné nedostatky:

221

222

* nepreukázaný systém riadenia kybernetickej bezpečnosti,

223

* bezpečnostná stratégia kybernetickej bezpečnosti ani ďalšia bezpečnostná dokumentácia nebola predložená,

224

* manažér kybernetickej bezpečnosti nie je formálne menovaný, je v konfliktom záujmov a má nevhodne kumulované zodpovednosti,

225

* analýza rizík nie je zakotvená ako proces v interných predpisoch ani metodicky popísaná, nevykonáva sa,

226

* v organizácii sa nachádzajú vysoko privilegované účty, ktoré sú spoločné a nemajú definovaných vlastníkov a účel,

227

* v organizácii neexistuje definícia závažného kybernetického bezpečnostného incidentu, organizácia nevypracovala postupy a nemá dostatočné schopnosti na detekciu, zvládanie a poučenie sa z prípadných incidentov.

228

229

Obdobné nedostatky sú identifikované aj v meste Trstená /popísané v časti Motivácia a rozsah projektu/. Mesto má však pozíciu manažéra kybernetickej bezpečnosti obsadené externou osobou, prostredníctvom poskytovateľa tejto služby.

\\

Projekt "Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Trstená" je strategickou iniciatívou zameranou na posilnenie kybernetickej odolnosti mesta Trstená. Cieľom projektu je realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov prostredníctvom modernizácie IT infraštruktúry a zavedenia pokročilých bezpečnostných technológií a postupov.

\\

__Realizácia projektu prispeje k naplneniu špecifických cieľov výzvy:__

238

239

* **//RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy //**v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

\\

__V rámci projektu sa plánuje realizácia nasledujúcich kľúčových opatrení: __

244

245

1. **Implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík, **ktorý zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

246

1. **Vypracovanie a implementácia komplexného plánu kontinuity činností (BCM), **ktorý zahŕňa postupy pre rýchlu obnovu kritických systémov a služieb po narušení. Plán bude obsahovať scenáre pre rôzne typy udalostí a zahrnie analýzu funkčných dopadov, strategické zdroje na obnovu a časové rámce pre reakciu.

247

1. **Nasadenie nástroja na monitorovanie kapacít**, ktorý umožní real-time sledovanie výkonu a dostupnosti technologických zdrojov. Tento nástroj zahrnie automatické detekčné systémy na identifikáciu a upozornenie na potenciálne problémy, aby sa predišlo náhlym výpadkom a zabezpečila stabilná prevádzka.

248

1. **Vybudovanie Security Incident and Event Management (SIEM) a zabezpečenie SOC (Security Operations Center) as a service**. Opatrenie je zamerané na vytvorenie nástroja zabezpečujúceho analýzu informácií zo všetkých sieťových zariadení, OS, databáz, aplikácií a pod., ktorými žiadateľ disponuje (SIEM), ktoré bude kompletne vybudované vo vlastníctve žiadateľa, tzv. on premise. Vybudovaný́ SIEM bude tvoriť základ pre prevádzku Security Operation Center (SOC), ktorý́ bude zabezpečovať dohľad bezpečnosti sieťových zariadení, serverov, aplikácií a jednotlivých klientov. Fungovanie SOC bude riešené formou „as a service“ a teda externý́ dodávateľ poskytne skúsený́ tím odborníkov, SOC procesov, CSIRT procesov a pod. Takýto spôsob realizácie umožní jednak eliminovať mesačné náklady na prevádzku SOC-u a zároveň umožní zabezpečiť efektívny spôsob ochrany kybernetického priestoru mesta.

249

1. **Implementácia next-gen firewall technológie:** Umožní pokročilé filtrovanie obsahu, riadenie prestupov medzi sieťovými segmentami a integráciu s aktuálnymi bezpečnostnými systémami. Táto technológia adresuje zraniteľnosti spojené s nedostatočnou kontrolou sieťového obsahu a potenciálnymi sieťovými útokmi na infraštruktúru

250

1. **Nasadenie robustného zálohovacieho riešenia**, ktoré zahrnie automatizované zálohovanie kritických dát na viacerých miestach a technológie rýchlej obnovy dát v prípade zlyhania alebo útoku, ako je ransomware.

251

1. **Vypracovanie a pravidelná aktualizácia komplexného plánu manažmentu krízových situácií, **ktorý zahŕňa identifikáciu kritických období, analýzu dopadov, definíciu minimálne prijateľných množstiev práce a strategické zdroje potrebné pre rýchlu obnovu činností.

252

1. **Modernizácia serverovej infraštruktúry pre virtualizované prostredie:** Výmena serverových komponentov, sieťových prvkov, zavedenie high-availability riešenia, prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

253

1. **Modernizácia sieťovej infraštruktúry v mestskej informačnej sieti:** Zabezpečí sa výmena zastaraných sieťových prvkov, dobudovanie záložných trás a rozšírená segmentácia siete. Tieto kroky významne prispejú k zníženiu zraniteľností vyplývajúcich z používania EOL zariadení a ich nedostatočného zabezpečenia. Rovnako sa znížia zraniteľnosti súvisiace s chýbajúcou redundanciou na chrbticovej sieti a rizikom nízkej dostupnosti v súvislosti s nedostatočnou segmentácie sietí a nemožnosťou riadenia tokov dát medzi zariadeniami.

254

255

Uvedené opatrenia sa budú realizovať v rámci jednej hlavnej aktivity projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Trstená**, **ktorá bude prebiehať** od 01/2025 do 12/2025. **Obdobím realizácie sa zabezpečí rýchla a efektívna implementácia potrebných opatrení v súlade s dynamicky sa meniacim kybernetickým prostredím. Realizácia tohto projektu je kritickým krokom k zabezpečeniu digitálnej infraštruktúry mesta a ochrane jeho obyvateľov pred rastúcimi kybernetickými hrozbami.

256

257

__Realizáciou projektu bude zabezpečené naplnenie nasledujúcich merateľných ukazovateľov:__

258

259

1. __ukazovatele výstupu:__

260

261

* PO095 / PSKPSOI12 - //Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov - **1 verejná inštitúcia - Mesto Trstená **/možné overiť** **v** **//štatistickom registri organizácií vedenom Štatistickým úradom SR, ktoré sú zaradené v sektore verejnej správy/

262

263

1. __ukazovatele výsledku:__

264

265

* PR017 / PSKPRCR11 - //Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov// - 58 používateľov /interní zamestnanci mesta Trstená/.

266

267

Celkový rozpočet projektu je 415 412,06 Eur, ktorý pokryje všetky náklady spojené s nákupom, implementáciou a zaškolením kľúčových používateľov. Projekt prinesie mnohé prínosy, vrátane posilnenej kybernetickej a informačnej bezpečnosti, zníženia rizika incidentov, a zlepšenia dôvery a spokojnosti občanov a zamestnancov mesta s poskytovanými digitálnymi službami.

268

269

Projekt je predkladaný v rámci výzvy //PSK-MIRRI-611-2024-DV-EFRR Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni - verejná správa. //Projekt bude implementovaný v rámci Programu Slovensko a jeho špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, v rámci Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť).

270

271

Predkladaný projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021 - 2027 v nasledovných oblastiach:

272

273

1. súlad projektu so špecifickým cieľom: RSO 1.2 (opatrenie 1.2.1),

274

1. súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26

275

1. súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

280

281

Mesto stojí pred výzvami v oblasti kybernetickej a informačnej bezpečnosti, ktoré sú dôsledkom narastajúcich kybernetických hrozieb a stále prísnejších legislatívnych požiadaviek na ochranu dát. Súčasná úroveň kybernetickej a informačnej bezpečnosti nie je adekvátne pripravená na odvrátenie týchto hrozieb, čo ohrozuje nielen bezpečnosť dát občanov, ale aj celkovú integritu mestských informačných systémov a infraštruktúry.

282

283

V sektore verejná správa, kde sa nachádza najväčší počet poskytovateľov základných služieb sa situácia v oblasti kybernetickej bezpečnosti dlhodobo nemení (Správa o kybernetickej bezpečnosti v Slovenskej republike v roku 2022). V tejto oblasti je možné pozorovať až kritické zanedbávanie bezpečnosti. Najmä samosprávy a menší prevádzkovatelia si dostatočne neuvedomujú dôležitosť témy kybernetickej bezpečnosti, k problematike pristupujú povrchovo a zameriavajú sa skôr na formálne aktivity, ako napríklad kupovanie generickej dokumentácie. Celkové riadenie kybernetickej bezpečnosti pri PZS v tomto sektore často chýba, je chaotické alebo čiastkové. Samosprávy sa snažia preniesť zodpovednosti pre túto oblasť na externých poskytovateľov služieb (podľa správy NBÚ, 2022).

284

285

Podľa štatistík Národného bezpečnostného úradu za rok 2022 /aktuálnejšie štatistiky nie sú dostupné/ je v sektore verejná správa 1417 poskytovateľov základných služieb, pričom počet PZS s povinnosťou auditu bol 1416 (bolo možné splniť aj samohodnotením podľa §34a ods. 2 ZoKB). Za rok 2022 bolo odovzdaných 99 auditných správ a 405 samohodnotení. Z odovzdaných auditov boli identifikované nasledovné nedostatky:

286

287

* nepreukázaný systém riadenia kybernetickej bezpečnosti,

288

* bezpečnostná stratégia kybernetickej bezpečnosti ani ďalšia bezpečnostná dokumentácia nebola predložená,

289

* manažér kybernetickej bezpečnosti nie je formálne menovaný, je v konfliktom záujmov a má nevhodne kumulované zodpovednosti,

290

* analýza rizík nie je zakotvená ako proces v interných predpisoch ani metodicky popísaná, nevykonáva sa,

291

* v organizácii sa nachádzajú vysoko privilegované účty, ktoré sú spoločné a nemajú definovaných vlastníkov a účel,

292

* v organizácii neexistuje definícia závažného kybernetického bezpečnostného incidentu, organizácia nevypracovala postupy a nemá dostatočné schopnosti na detekciu, zvládanie a poučenie sa z prípadných incidentov.

293

294

Uvedené nedostatky sú identifikované aj v meste Trstená. Mesto má pozíciu manažéra kybernetickej bezpečnosti obsadené externou osobou, prostredníctvom poskytovateľa tejto služby.

295

296

Podľa auditnej správy o samohodnotení plnenia povinností prevádzkovateľa základnej služby podľa zákona č. 69/2018 Z. z., ktorá bola realizovaná v 12/2023 v zmysle požiadaviek vyhlášky 362/2018, ktorá upravuje obsah bezpečnostných opatrení, obsah a štruktúru bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, definuje úplný nesúlad v nasledujúcich oblastiach:

\\

**//....Ďalšie informácie sú vzhľadom na KIB mesta a odporúčanie manažéra KIB dostupné iba v plnej verzii dokumentu.//**

\\

Projekt zasahuje do množstva biznis procesov mesta vrátane tých, ktoré sú zamerané na spracovanie a ochranu citlivých údajov, riadenie prístupu k informačným systémom, ako aj na efektívnu reakciu na potenciálne bezpečnostné incidenty. Cieľom je posilniť tieto procesy, čím sa zvýši odolnosť mesta voči kybernetickým hrozbám. Projekt sa špecificky sústredí na zlepšenie v oblasti kybernetickej a informačnej bezpečnosti, ktorá je nevyhnutná pre zabezpečené a efektívne fungovanie mestskej správy a poskytovanie základných služieb obyvateľom. To zahŕňa implementáciu kľúčových bezpečnostných opatrení, ako sú napr. systém SIEM ako aj zlepšenie infraštruktúry a procesov súvisiacich s bezpečnosťou sietí a dát.

305

306

Hlavnou motiváciou je zabezpečiť, aby mesto bolo schopné efektívne reagovať na kybernetické hrozby, ochraňovať dáta svojich obyvateľov a zabezpečiť neprerušené poskytovanie kritických služieb.

307

308

Projekt čelí obmedzeniam, ako sú obmedzené finančné zdroje, potreba súladu s legislatívou a nevyhnutnosť spolupráce naprieč rôznymi oddeleniami. Prekonanie týchto prekážok bude kľúčové pre úspešné dosiahnutie cieľov projektu a zabezpečenie dlhodobej udržateľnosti zvýšenej úrovne kybernetickej a informačnej bezpečnosti v meste.

309

310

{{view-file att--filename="Motivačná architektúra projektu.pdf" display="thumbnail" height="250"/}}

311

312

Obrázok 1 Motivačná architektúra projektu

313

314

V rámci rozsahu projektu, Mesto Trstená sa rozhodlo zvoliť najefektívnejšie technologické riešenie, ktoré prispeje k eliminácii najkritickejších problémov v oblasti kybernetickej a informačnej bezpečnosti. V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia:

\\

(% class="" %)|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))

(% class="" %)|(((

**1.**

)))|(((

**Implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

331

)))|(((

332

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

)))|(((

1. Implementácia IS

2. Vypracovanie prvotnej analýzy rizík a šablón

337

338

3. Dokumentácia a školenie

)))

(% class="" %)|(((

**2.**

)))|(((

**Vypracovanie a implementácia komplexného plánu kontinuity činností (BCM)**

344

)))|(((

345

Plán ktorý zahŕňa postupy pre rýchlu obnovu kritických systémov a služieb po narušení. Plán bude obsahovať scenáre pre rôzne typy udalostí a zahrnie analýzu funkčných dopadov, strategické zdroje na obnovu a časové rámce pre reakciu.

\\

)))|(((

1. Plán kontinuity činností musí obsahovať minimálne:

350

351

a. Plán kontinuity na stanovenie požiadaviek a zdrojov

352

353

b. Plán reakcie na incidenty a plány havarijnej obnovy prevádzky

354

355

c. Politiku a ciele kontinuity

356

357

d. Analýzu funkčných dopadov

358

359

e. Stratégiu riadenia kontinuity vrátane evakuačných postupov

360

361

f. Plán údržby a kontroly BCMS.

2. Školenie

)))

(% class="" %)|(((

**3.**

)))|(((

**Nasadenie nástroja na monitorovanie kapacít**

369

)))|(((

370

Nástroj ktorý umožní real-time sledovanie výkonu a dostupnosti technologických zdrojov. Tento nástroj zahrnie automatické detekčné systémy na identifikáciu a upozornenie na potenciálne problémy, aby sa predišlo náhlym výpadkom a zabezpečila stabilná prevádzka.

371

)))|(((

372

1. Implementácia nástroja na monitorovanie kapacít

373

374

2. Dokumentácia a školenie

)))

(% class="" %)|(((

**4.**

)))|(((

**Vybudovanie SIEM a zabezpečenie SOC**

380

)))|(((

381

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

382

)))|(((

383

1. Implementácia SIEM

384

385

2. Zriadenie služby SOC

386

387

3. Dokumentácia a školenie

)))

(% class="" %)|(((

**5.**

)))|(((

**Dodanie a implementácia next-gen firewall technológie**

393

)))|(((

394

Umožní pokročilé filtrovanie obsahu, riadenie prestupov medzi sieťovými segmentami a integráciu s aktuálnymi bezpečnostnými systémami

395

)))|(((

396

Dodanie a implementácia next-gen firewall technológie vratane:

397

398

1. Analýza súčasného stavu 

399

400

2. Návrh implementačného konceptu a dizajnu riešenia 

401

402

3. Inštalácia nového HW v priestoroch objednávateľa 

403

404

4. Základná konfigurácia FW (IP adresa, názov, zóny, manažment ....) 

405

406

5. Vytváranie nových pravidiel podľa pripraveného konceptu  

407

408

6. Konfigurácia VPN tunelov 

409

410

7. Migrácia objektov, smerovania, NAT 

411

412

8. Migrácia komunikačných pravidiel 

413

414

9. Integrácia so všetkými prvkami sieťovej infraštruktúry 

415

416

10. Testovanie riešenia v testovacom prostredí 

417

418

11. Migrácia do produkčného prostredia 

419

420

12. Vyriešenie komunikačných problémov (prepojenie na externé subjekty, portály a pod.  

421

422

13. Z inštalácie a kompletnej konfigurácie zariadenia 

423

424

14. Aktualizácia, vypracovanie a dodanie príslušnej systémovej a používateľskej dokumentácie k vykonaným zmenám 

425

426

15. Zaškolenie IT personálu 

)))

(% class="" %)|(((

**6.**

)))|(((

**Nasadenie robustného zálohovacieho riešenia**

432

)))|(((

433

Implementáciou pokročilých zálohovacích riešení sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru

434

)))|(((

435

1. Implementácia zálohovacieho systému -

436

437

2. Analýza zálohovacích boxov a pravidiel

438

439

3. Nasadenie obnovy záloh

440

441

4. Dokumentácia a školenie

\\

)))

(% class="" %)|(((

**7.**

)))|(((

**Vypracovanie a pravidelná aktualizácia komplexného plánu manažmentu krízových situácií**

449

)))|(((

450

Opatrenie zahŕňa identifikáciu kritických období, analýzu dopadov, definíciu minimálne prijateľných množstiev práce a strategické zdroje potrebné pre rýchlu obnovu činností

451

)))|(((

452

1. Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:

453

454

· Prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO.

455

456

· Zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy).

457

458

· Špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

)))

(% class="" %)|(((

**8.**

)))|(((

**Modernizácia serverovej infraštruktúry pre virtualizované prostredie:**

466

)))|(((

467

Výmena serverových komponentov, sieťových prvkov, prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

468

)))|(((

469

1. Výmena hostiteľského server

470

471

2. Operačný systém Windows server

3. SQL Server

4. Kompletná konfigurácia,migrácia

476

477

5. Dokumentácia a , zaškolenie IT pracovníkov

\\

)))

(% class="" %)|(((

**9.**

)))|(((

**Modernizácia sieťovej infraštruktúry v mestskej informačnej sieti:**

485

)))|(((

486

Zabezpečí sa výmena zastaraných sieťových prvkov, dobudovanie záložných trás a rozšírená segmentácia siete.

487

)))|(((

488

1. Výmena a inštalácia 8 AC(access pointov) na Wifi v 4 lokalitách

489

490

2. Dobudované záložné bezdrôtové trasy

491

492

3. Rekonfigurácia siete - rozšírená segmentácia, rozdelenie na VLAN

493

494

4. Dokumentácia a zmapovanie informačnej siete po zmenách

495

)))

496

497

Tabuľka 1 Obsah projektu

498

499

Zámerom predkladaného projektu v zmysle vyššie pomenovaných nedostatkov a plánovaných opatrení, je snaha Mesta Trstená vyriešiť uvedené nedostatky v oblasti kybernetickej a informačnej bezpečnosti tak, aby po ukončení realizácie projektu a vykonanom audite kybernetickej bezpečnosti bol konštatovaný plný súlad v oblasti legislatívnych požiadaviek KIB a súčasne bolo zabezpečené:

500

501

* ochrana IT systémov, ktoré zabezpečujú základnú službu, pred kybernetickými útokmi,

502

* prevádzka systémov počas implementácie projektu i počas udržateľnosti projektu,

503

* pripravenie IT technológií PZS na ďalší rozvoj,

504

* rozširovanie IT systémov bez ďalšieho ohrozenia súčasných i budúcich IT systémov mesta.

\\

Projekt sa primárne zaoberá oblasťou zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS. Ako bude uvedené ďalej, tento projekt má priamy dopad na všetky ISVS a technologické platformy, ktoré sú určené na poskytovanie základnej služby Mesta Trstená, nakoľko výsledky projektu budú ochraňovať všetky IS pred potenciálnymi hrozbami kybernetickej a informačnej bezpečnosti.

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

V rámci projektu "Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Trstená" sú zainteresované rôzne strany, ktoré zohrávajú kľúčovú úlohu v jeho realizácii a budúcom fungovaní. Tieto strany zastávajú rozličné role, od rozhodovania a riadenia projektu až po jeho konkrétnu implementáciu a využívanie výsledkov. Tu je prehľad hlavných zainteresovaných strán a ich rolí v projekte:

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Mestský úrad Trstená

)))|(((

Mesto Trstená

)))|(((

Vlastník a implementátor procesu

543

)))|(% rowspan="6" %)(((

544

ISVS poskytujúce základe služby

\\

)))

(% class="" %)|(((

2.

)))|(((

Interní zamestnanci Mesta Trstená

)))|(((

Mesto Trstená

)))|(((

Používateľ

)))

(% class="" %)|(((

3.

)))|(((

Manažér kybernetickej bezpečnosti Mesta Trstená

)))|(((

Mesto Trstená

)))|(((

Zodpovednosť za oblasť KIB Mesta Trstená

)))

(% class="" %)|(((

4.

)))|(((

Vybrané mestské organizácie

)))|(((

Mesto Trstená

)))|(((

Implementátor a používateľ

)))

(% class="" %)|(((

5.

)))|(((

Občan / podnikateľ

)))|(((

\\

)))|(((

Používateľ

)))

(% class="" %)|(((

6.

)))|(((

Poskytovateľ IT služby

)))|(((

\\

)))|(((

Poskytovateľ alebo konzument údajov IS Mesta Trstená v podobe dátových zdrojovom otvorených dát alebo vo forme služieb resp. rozhraní

592

)))

593

594

Tabuľka 2 Stakeholderi projektu

\\

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

599

600

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy a očakávanými výsledkami definovaných v Partnerskej dohode SR na roky 2021-2027. Definície tiež vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 - 2025.

\\

**__Hlavný cieľ projektu:__**

605

606

* **//realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, //**//čo nadväzuje na RSO 1.2** Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy **//v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

607

608

**Čiastkové ciele projektu:**

609

610

* **//Zabezpečenie identifikácie a riadenia rizík //**///v rámci oprávnenej podaktivity b) Riadenie rizík v rámci Výzvy /,//

611

* **//Zabezpečenie kontinuity prevádzky//**// /v rámci oprávnenej podaktivity n) Kontinuita prevádzky v rámci Výzvy /,//

612

* **//Zabezpečenia riadenia kapacít v Meste //**///v rámci oprávnenej podaktivity f) Bezpečnosť pri prevádzke informačných systémov a sietí v rámci Výzvy/,//

613

* **//Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov //**///v rámci oprávnenej podaktivity k) Zaznamenávanie udalostí a monitorovanie v rámci Výzvy/.//

Súlad cieľov v rámci relevantných strategických dokumentov:

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

629

)))|(((

630

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1.

)))|(((

Program Slovensko - Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

636

)))|(((

637

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

638

)))|(((

639

Rozvoj a implementácia konkrétnych technologických a organizačných opatrení, ktoré sú zamerané na posilnenie kybernetickej odolnosti a zabezpečenie dát mesta a jeho obyvateľov.

)))

(% class="" %)|(((

2.

)))|(((

NKIVS - Strategická priorita Kybernetická a informačná bezpečnosť

645

)))|(((

646

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

647

)))|(((

648

Projekt zvýši mestu schopnosť včasnej identifikácie kybernetických incidentov prostredníctvom implementácie systému SIEM pre real-time analýzu a monitorovanie bezpečnostných udalostí.

)))

(% class="" %)|(((

3.

)))|(((

Národná stratégia kybernetickej bezpečnosti - Strategický ciel Kybernetická bezpečnosť ako základná súčasť verejnej správy

654

)))|(((

655

Kybernetická bezpečnosť ako základná súčasť verejnej správy

656

)))|(((

657

Výsledkom projektu bude zvýšenie ochrany prevádzkovateľa základných služieb mesta z hľadiska kybernetickej bezpečnosti. Toto bude preukázané aj auditom na konci projektu ktorý preukáže pozitívny trend zlepšovania stavu kybernetickej bezpečnosti v meste.

658

)))

659

660

Tabuľka 3 Ciele projektu

661

662

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

\\

)))

(% class="" %)|(((

1

)))|(((

PO095 / PSKPSOI12

\\

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

704

)))|(((

705

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

verejné inštitúcie

)))|(((

0

)))|(((

1 verejná inštitúcia - Mesto Trstená

712

)))|(((

713

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

714

)))|(((

715

Typ ukazovateľa: Výstup

)))

(% class="" %)|(((

2

)))|(((

PR017 / PSKPRCR11

\\

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

725

)))|(((

726

Počet používatelov nových vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

68 používateľov - počet interných zamestnancov

733

)))|(((

734

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov v IAM, Databázou používateľov v oblasti KIB.

735

736

V prípade Mesta Trstená ide o počet zamestnancov, ktorí využívajú IS Mesta alebo akékoľvek elektronické zariadenia v správe mesta.

737

738

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

739

)))|(((

740

Typ ukazovateľa: Výsledok

741

)))

742

743

Tabuľka 4 Merateľné ukazovatele projektu

\\

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.5.1Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.5.1 Špecifikácia potrieb koncového používateľa ==

748

749

V kontexte Mesta Trstená, koncovým používateľom je IT oddelenie a sekundárne tiež interní zamestnanci Mesta Trstená, podnikateľské subjekty pôsobiace na území mesta, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky informačných systémov mesta, ktoré by znefunkčnili poskytovanie základnej služby Mesta Trstená.

\\

Z výsledkov kybernetického auditu vyplynuli definície potrieb a požiadaviek na realizáciu konkrétnych opatrení v oblasti kybernetickej a informačnej bezpečnosti, v ktorých Mesto Trstená ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z.z. Požiadavky potrieb koncového používateľa úzko koreluje s definovanými oblasťami/opatreniami, ktoré sú riešené v rámci predkladaného projektu.

754

755

Realizáciou projektu budú očakávania a potreby koncového používateľa naplnené.

\\

**Technický popis riešenia s cieľom zabezpečenia potrieb používateľa:**

760

761

1. **Informačný systém pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie.**

762

763

* Riešenie zahŕňa správu aktív prostredníctvom vedenia zoznamu aktív subjektu, vrátane ich vlastníkov, správu zraniteľností prostredníctvom vedenia zoznamu rozpoznaných zraniteľností, vrátane ich vlastníkov, správu hrozieb prostredníctvom vedenia zoznamu rozpracovaných hrozieb, správu opatrení prostredníctvom vedenia zoznamu opatrení potrebných na potlačenie zraniteľností, správu vzťahov prostredníctvom evidencie rozpoznaných vzťahov medzi aktívami a zraniteľnosťami, správu rizík prostredníctvom identifikácie a ohodnotenia rizík na základe pravdepodobnosti hrozieb, uplatňovaných opatrení a dopadov na subjekt, semikvantitatívnu prípadne kvantitatívnu metódu hodnotenia významnosti rizík, číselné ohodnotenie pravdepodobnosti hrozieb a účinnosti opatrení, významnosť rizík vyjadrenú číselne a následne kategorizovanú.

764

* IS umožní vykonávať revízie a aktualizáciu rizikovej analýzy, riadiť riziká, aktíva, zraniteľnosti a hrozby systémom, ktorý dokumentuje históriu a je auditovateľný.

765

766

1. **Dokument kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17):**

767

768

* Riešenie zadefinuje scenáre rôznych udalostí, ktoré potenciálne môžu mať negatívny vplyv na bežné činnosti organizácie ako sú napríklad náhla nedostupnosť personálu či nepoužiteľnosť pracoviska/budovy, nedostupnosť technologickej infraštruktúry či potrebných médií, incident či živelná katastrofa.

769

* Riešenie stanoví požiadavky na zdroje (adekvátne finančné, materiálno-technické a personálne zdroje), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností.

770

* Súčasťou je aj vypracovanie analýzy funkčných dopadov a kvalifikácia potenciálnych dopadov a straty v prípade prerušenia alebo narušenia prevádzky u všetkých procesov organizácie.

771

* Kontinuitou budú zavedené postupy zálohovania na obnovy siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu (najmenej frekvenciu a rozsah zdokumentovania a schvaľovania obnovy záloh, určenie osoby zodpovednej za zálohovanie, časový interval, identifikáciu rozsahu údajov, zadefinovanie dátového média zálohovania a zabezpečenie vedenia dokumentácie o zálohovaní, umiestnenie záloh v zabezpečenom prostredí s riadeným prístupom, zabezpečenie šifrovania záloh obsahujúcich aktíva klasifikačného stupňa chránené a prísne chránené, vykonávanie pravidelného preverenia záloh na základe vypracovaného plánu, testovanie obnovy záloh a precvičovanie zavedených krízových plánov najmenej raz ročne.

772

773

1. **Monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb:**

774

775

* Nástroj zahŕňa monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel, informuje o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera, monitoruje rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke, porovnávanie dát v rôznych časových obdobiach, analyzuje históriu.

776

777

1. **Služby dohľadového centra (Security Operations Center):**

778

779

* Zahŕňa dodávku služieb súvisiacich s dohľadovým centrom bezpečnostných incidentov SOC (Security Operations Center), ktoré bude poskytovať:

780

* zber a monitorovanie udalostí v sieťach a kritických prvkoch informačných systémov v režime 24/7,

781

* nepretržitá detekcia kyberneticko-bezpečnostných incidentov,

782

* zber relevantných informácií pri zistených kybernetických incidentoch,

783

* návrh riešenia kybernetických bezpečnostných incidentov a zníženia následkov zistených kybernetických bezpečnostných incidentov,

784

* vyhodnocovanie riešenia kybernetických bezpečnostných incidentov a návrh systémových opatrení s cieľom minimalizovať výskyt obdobných kybernetických bezpečnostných incidentov,

785

* podrobná evidencia bezpečnostných incidentov, ich riešení a príslušnej komunikácie prostredníctvom na to určeného nástroja (ticketing/service desk),

786

* pravidelný reporting (1 x mesačne).

787

788

Súčasťou riešenia bude aj sonda pre zber dát/virtuálne zariadenie.

789

790

* Systém SIEM /Security Incident and Event Management/ umožní centralizovanú správu, širokú podporu monitorovacích systémov, podporu rozhrania a protokolov pre získavanie informácií v definovanom rozsahu, rozšírenie na vyšší počet EPS v bdúcnosti, posielanie notifikácií o každej zmene prístupových práv do SIEM, logovanie informácií prostredníctvom vlastného logovacieho modulu, generovanie viacerých úrovní reportov, personalizovanie exportovaných reportov, individualizovať vytváranie a nastavovanie korelačných algoritmov, vyšetrovanie vektora zachyteného útoku, integráciu s threat intelligence feeds podľa štandardov STIX/TAXII, behaviorálnu analýzu používateľov - administrátorov, rýchle vyhľadávanie v auditných záznamoch, riadenie prístupov na základe najmenších privilégií, analyzovanie a vyhodnocovanie incidentov aj na základe strojového učenia, analyzovanie dlhodobých trendov, ktoré vychádzajú z predchádzajúcich udalostí.

791

792

1. **Nasadenie zálohovania: **

793

794

* Jedná sa o riešenie na osobitnom zálohovacom serveri, nasadenie obnovy záloh, analýza zálohovacích boxov a pravidiel v rámci pokročilej technológie vytvárania snímkov, ktorú umožní plánovateľnú a takmer okamžitú ochranu dát zdieľaných zložiek a jednotiek LUN.

795

* Riešenie umožní automatické opravy súborov, obnovu dát na úrovni súborov a zložiek s obnovením konkrétnych súborov alebo zložiek, zálohovanie bez licencií určených k ochrane počítačov a serverov so systémom Windows, konsolidáciu úloh zálohovania pre fyzické i virtuálne prostredie s možnosťou rýchleho obnovenia súborov, celých fyzických počítačov a virtuálnych počítačov.

\\

1. **Vypracovanie analýzy dopadov:**

800

801

* Identifikuje rôzne kategórie procesov na základe ich kritickosti a posúdiť ich vzájomné závislosti, určí potenciálne dôsledky (škody/straty) pri rôznych dobách trvania kritických situácií, stanoví maximálne akceptovateľné doby prerušenia (MTO) a minimálne ciele kontinuity podnikania (MBCO), určí cieľové časy obnovy (RTO) a cieľové body obnovy (RPO), identifikuje potenciálne dopady vyplývajúce z možného prerušenia činností, zdroje a prostriedky na obnovu procesov so zásadným vplyvom na kontinuitu činností organizácie na základe hodnoty RTO procesu.

802

* Výstupom analýzy dopadov bude záverečná správa s prehľadom vykonávaných činností, zoznamom procesov, špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

\\

1. **Modernizácia serverovej infraštruktúry pre virtualizované prostredie:**

807

808

* Obsahom je výmena serverových komponentov, sieťových prvkov, zavedenie high-availability riešenia, čo prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

\\

1. **Modernizácia sieťovej infraštruktúry v mestskej informačnej sieti:**

813

814

* opatrením sa zabezpečí výmena zastaraných sieťových prvkov, dobudovanie záložných trás a rozšírená segmentácia siete. Tieto kroky významne prispejú k zníženiu zraniteľností vyplývajúcich z používania EOL zariadení a ich nedostatočného zabezpečenia. Rovnako sa znížia zraniteľnosti súvisiace s chýbajúcou redundanciou na chrbticovej sieti a rizikom nízkej dostupnosti v súvislosti s nedostatočnou segmentácie sietí a nemožnosťou riadenia tokov dát medzi zariadeniami.

\\

V rámci projektu bude vytvorená interná pozícia manažéra kybernetickej bezpečnosti /aktuálne má Mesto Trstená pozíciu zabezpečené externým poskytovateľom služieb/. Mesto si v rámci projektu obstará tiež **notebook s príslušenstvom**, ktorý bude využívaný v rámci novovytvorenej pozície manažéra kybernetickej bezpečnosti /špecifikácia je súčasťou popisu v rámci dokumentu Minimálna špecifikácia, ktorý bol využívaný v rámci určenia predpokladanej hodnoty zákazky/.

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.6Rizikáazávislosti"/}}3.6 Riziká a závislosti ==

823

824

Zoznam rizík a závislostí je uvedený́ v prílohe Zoznam rizík a závislosti. Dokument bude počas celej realizácie projektu aktualizovaný.

\\

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.7Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.7 Stanovenie alternatív v biznisovej vrstve architektúry ==

Zamestnanci a vedenie Mesta Trstená zvažovali tri alternatívy riešenia vzhľadom na potreby v oblasti KIB a vzhľadom na finančnú náročnosť realizácie a finančnú náročnosť udržateľnosti riešenia:

(% class="" %)|(((

**Alternatíva**

)))|(((

**Stručný popis**

)))|(((

**Výhody**

)))|(((

**Nevýhody**

)))

(% class="" %)|(((

**Alternatíva 1: **Realizácia projektu v plnej miere

845

)))|(((

846

Kompletná realizácia všetkých naplánovaných opatrení na modernizáciu IT infraštruktúry a implementáciu bezpečnostných technológií. Cieľom je dosiahnuť maximálnu možnú úroveň kybernetickej a informačnej bezpečnosti a zabezpečiť celkovú odolnosť mesta proti kybernetickým hrozbám, ochranu citlivých dát a kontinuitu kritických služieb. Táto alternatíva predstavuje najkomplexnejšie riešenie, ktoré ponúka najvyššie zabezpečenie a zodpovedá aktuálnym a predpokladaným potrebám mesta.

\\

)))|(((

1. Komplexné riešenie, ktoré adresuje všetky identifikované bezpečnostné hrozby a nedostatky.

851

852

2. Maximálna možná úroveň ochrany citlivých dát a IT infraštruktúry.

853

854

3. Zvýšenie odolnosti mesta proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

855

856

4. Lepšia pripravenosť mesta vzhľadom na budúce technologické a bezpečnostné výzvy.

\\

)))|(((

1. Potenciálne vysoké počiatočné náklady na implementáciu všetkých plánovaných opatrení.

861

862

2. Vyžaduje si rozsiahle zdroje a značné úsilie pri implementácii a školení zamestnancov.

863

)))

864

(% class="" %)|(((

865

**Alternatíva 2: **Čiastočná implementácia projektu

866

)))|(((

867

Realizácia len vybraných opatrení z celkového plánu, s dôrazom na najkritickejšie aspekty infraštruktúry a bezpečnosti. Takéto čiastočné riešenia by mohli zlepšiť súčasný stav, ale neponúkajú komplexné zabezpečenie a nezabezpečujú všetky identifikované potreby a riziká. Táto alternatíva by mohla viesť k nedostatočnej ochrane proti niektorým druhom hrozieb a k obmedzenej schopnosti reagovať na incidenty, čo by mohlo mať za následok vyššie dlhodobé náklady a riziká.

868

)))|(((

869

1. Riešenie, ktoré adresuje vybrané identifikované bezpečnostné hrozby a nedostatky.

870

871

2. Čiastočné zvýšenie úrovne ochrany citlivých dát a IT infraštruktúry.

872

873

3. Čiastočné zvýšenie odolnosti mesta proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

874

875

4. Čiastočné zlepšenie pripravenosti mesta vzhľadom na budúce technologické a bezpečnostné výzvy.

\\

)))|(((

1. Nezabezpečuje komplexnú ochranu pred všetkými potenciálnymi hrozbami.

880

881

2. Môže vytvárať bezpečnostné medzery v dôsledku neúplného pokrytia rizík.

882

883

3. Vyššie dlhodobé náklady a riziká v dôsledku potenciálne potrebných dodatočných zásahov.

\\

)))

(% class="" %)|(((

**Alternatíva 3: **Udržiavanie súčasného stavu

\\

)))|(((

Táto alternatíva predstavuje možnosť neuskutočniť žiadne zmeny a ponechať IT infraštruktúru a bezpečnostné opatrenia mesta v súčasnom stave. Tento prístup by znamenal výrazné riziká, keďže by sa neadresovali identifikované problémy a nedostatky v kybernetickej a informačnej bezpečnosti. Udržiavanie súčasného stavu by mohlo viesť k vážnym bezpečnostným incidentom, stratám dát a výpadkom kritických služieb, čo by malo negatívny dopad na obyvateľov mesta a mohlo by viesť k vysokým finančným a reputačným stratám.

\\

)))|(((

1. Žiadne počiatočné náklady spojené s implementáciou nových systémov alebo procesov.

897

898

2. Vyhneme sa zložitosti spojenej s plánovaním a realizáciou projektu.

\\

)))|(((

1. Vysoké riziko bezpečnostných incidentov v dôsledku neadresovania existujúcich a budúcich hrozieb.

903

904

2. Potenciálne fatálne následky v prípade bezpečnostného incidentu vrátane straty dát, financií a dôvery verejnosti.

905

906

3. Nedostatočná príprava na budúce technologické a bezpečnostné výzvy, čo môže viesť k dlhodobým stratám a zvýšeným nákladom na nápravu.

\\

)))

Tabuľka 5 Alternatívy v biznisovej vrstve

\\

Z týchto analýz je zrejmé, že hoci kompletná implementácia projektu vyžaduje vyššie počiatočné investície a značné úsilie, dlhodobé výhody výrazne prevyšujú potenciálne nevýhody, najmä pokiaľ ide o komplexne riešenie všetkých identifikovaných potreby a zabezpečenie adekvátnej úrovne ochrany pre mesto a jeho obyvateľov.

\\

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.8Multikriteriálnaanalýza"/}}3.8 Multikriteriálna analýza ==

920

921

Na základe uvedených alternatív a kontextu môžeme vytvoriť tabuľku MCA pre výber najvhodnejšej alternatívy pre projekt zvyšovania úrovne kybernetickej a informačnej bezpečnosti Mesta Trstená. Táto analýza sa zameriava na splnenie biznisových požiadaviek bez technologických predpojatostí.

\\

(% class="" %)|(((

Kritérium (KO = kľúčové kritérium)

)))|(((

ZDÔVODNENIE KRITÉRIA

)))|(((

Mesto

)))|(((

Obyvatelia

)))|(((

IT Oddelenie

)))

(% class="" %)|(((

Komplexnosť riešenia (KO)

938

)))|(((

939

Projekt by mal adresovať všetky identifikované bezpečnostné hrozby a nedostatky.

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Udržateľnosť riešenia (KO)

949

)))|(((

950

Riešenie musí byť udržateľné a schopné adaptácie na budúce zmeny a hrozby.

)))|(((

X

)))|(((

\\

)))|(((

X

)))

(% class="" %)|(((

Nákladová efektívnosť

960

)))|(((

961

Projekt by mal byť nákladovo efektívny pri zohľadnení dlhodobých výhod a rizík.

)))|(((

X

)))|(((

\\

)))|(((

X

)))

(% class="" %)|(((

Zvýšenie kybernetickej odolnosti

971

)))|(((

972

Projekt by mal významne zvýšiť kybernetickú odolnosť mesta.

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Minimálne narušenie existujúcich procesov

982

)))|(((

983

Projekt by mal minimalizovať narušenie existujúcich biznis procesov.

)))|(((

\\

)))|(((

\\

)))|(((

X

)))

Tabuľka 6 Multikriteriálna analýza - Stanovenie kritérií

V tejto tabuľke:

* "Mesto" reprezentuje záujmy samosprávy, ktorá zodpovedá za celkovú kybernetickú a informačnú bezpečnosť a infraštruktúru.

997

* "Obyvatelia" predstavujú záujmy občanov mesta, ktorí sú priamymi užívateľmi mestských služieb, a pre ktorých je dôležitá ochrana ich osobných údajov a dostupnosť služieb.

998

* "IT Oddelenie" je zodpovedné za implementáciu a správu bezpečnostných riešení a IT infraštruktúry.

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva 1: Realizácia projektu v plnej miere

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2: Čiastočná implementácia projektu

)))|(((

Spôsob

dosiahnutia

)))|(((

**Alternatíva 3: Udržiavanie súčasného stavu**

\\

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Komplexnosť riešenia (KO)

)))|(((

áno

)))|(((

Plná implementácia zabezpečí komplexné riešenie všetkých identifikovaných problémov.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Udržateľnosť riešenia (KO)

)))|(((

áno

)))|(((

Riešenie je navrhnuté tak, aby bolo udržateľné a adaptabilné na budúce zmeny.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Nákladová efektívnosť

)))|(((

áno

)))|(((

Optimalizácia nákladov prostredníctvom efektívneho využívania zdrojov.

)))|(((

áno

)))|(((

Menej nákladové, ale aj menej efektívne.

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Zvýšenie kybernetickej odolnosti

)))|(((

áno

)))|(((

Komplexné bezpečnostné opatrenia zvyšujú celkovú odolnosť.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Minimálne narušenie existujúcich procesov

)))|(((

áno

)))|(((

Navrhnuté tak, aby minimalizovalo narušenie.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

Tabuľka 7 Multikriteriálna analýza - Porovnanie alternatív na základe naplnenia stanovených kritérií

1102

1103

Táto tabuľka poskytuje porovnanie ako každá z alternatív spĺňa zvolené kritériá. Alternatíva 1 (úplná realizácia projektu) je jednoznačne preferovaná, keďže spĺňa všetky kritériá, zatiaľ čo alternatívy 2 a 3 majú významné nedostatky vo viacerých kľúčových oblastiach.

// //

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.9Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.9 Stanovenie alternatív v aplikačnej vrstve architektúry ==

Nižšie uvedená tabuľka zobrazuje prehľad alternatív vzhľadom na nutné/preferované moduly. V rámci alternatívy 1 sa jedná o realizáciu komplexného projektu, v nadväznosti na identifikované slabé stránky a najkritickejšie oblasti.

(% class="" %)|(((

**Alternatíva**

)))|(((

**Nutné moduly**

)))|(((

**Preferované moduly**

1121

)))

1122

(% class="" %)|(((

1123

**Alternatíva 1: **Realizácia projektu v plnej miere

1124

)))|(((

1125

· Plná implementácia SIEM a DP systému so všetkými funkčnosťami pre detekciu, analýzu a reakciu na bezpečnostné incidenty.

1126

1127

· Rozsiahla modernizácia sieťovej IT infraštruktúry vrátane segmentácie siete a dobudovania záložných trás.

1128

1129

· Plná modernizácia serverovej a zálohovej infraštruktúry.

1130

)))|(((

1131

· Rozšírené analytické a prediktívne schopnosti SIEM systému.

1132

1133

· Využitie cloudových technológií pre zvýšenie flexibility a škálovateľnosti IT infraštruktúry.

1134

)))

1135

(% class="" %)|(((

1136

**Alternatíva 2: **Čiastočná implementácia projektu

1137

)))|(((

1138

· Základná implementácia SIEM systému s obmedzenými analytickými schopnosťami.

1139

1140

· Čiastočná modernizácia sieťovej IT infraštruktúry bez plnej segmentácie siete a dobudovania záložných trás.

1141

1142

· Obmedzená modernizácia serverovej a zálohovej infraštruktúry.

1143

)))|(((

1144

· Preferované moduly alternatívy 2 sú v časti nutné moduly alternatívy 1.

1145

)))

1146

(% class="" %)|(((

1147

**Alternatíva 3: **Udržiavanie súčasného stavu

\\

)))|(((

· Žiadne nové implementácie, udržiavanie existujúcich systémov a infraštruktúry bez zmien.

1152

)))|(((

1153

· Neaplikuje sa, keďže žiadne nové moduly ani funkcionality nebudú pridané.

1154

)))

1155

1156

Tabuľka 8 Alternatívy v aplikačnej vrstve

1157

1158

Tieto aplikačné alternatívy sa priamo odvíjajú od biznis alternatív a sú zamerané na konkrétne technologické riešenia, ktoré majú podporovať stanovené biznis ciele a požiadavky.

// //

== {{id name="projekt_2489_Projektovy_zamer_detailny-3.10Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v technologickej vrstve architektúry ==

1163

1164

Technologická architektúra nemá definované varianty. Preferované sú riešenia prevádzkované "on premise" z dôvodu plnej kontroly nad technologickou infraštruktúrou a zabezpečenia vyššej miery prispôsobenia a integrácie s existujúcimi systémami, čo je zásadné pre splnenie špecifických bezpečnostných a regulačných požiadaviek. Zároveň prevádzka "on premise" riešení predstavuje nižšie dlhodobé prevádzkové náklady v porovnaní s neustálymi poplatkami za cloudové služby, čo je pre mesto z hľadiska udržateľnosti jeden z kľúčových faktorov.

= {{id name="projekt_2489_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1169

1170

Po ukončení projektu "Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Trstená" budú dodané:

1171

1172

* Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov, vrátane: Zdrojových kódov všetkých vyvinutých alebo modifikovaných aplikácií a systémov.

1173

* Dokumentácie k implementovaným systémom a infraštruktúre, vrátane technickej, používateľskej a údržbovej dokumentácie.

1174

* Protokoly z testovania a validácie systémov.

1175

* V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia s danými výstupmi:

\\

\\

(% class="" %)|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))

(% class="" %)|(((

**1.**

)))|(((

**Implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

1194

)))|(((

1195

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

1196

)))|(((

1197

1. Implementácia IS 1

1198

1199

2. Vypracovanie prvotnej analýzy rizík a šablón

1200

1201

3. Dokumentácia a školenie

)))

(% class="" %)|(((

**2.**

)))|(((

**Vypracovanie a implementácia komplexného plánu kontinuity činností (BCM)**

1207

)))|(((

1208

Plán ktorý zahŕňa postupy pre rýchlu obnovu kritických systémov a služieb po narušení. Plán bude obsahovať scenáre pre rôzne typy udalostí a zahrnie analýzu funkčných dopadov, strategické zdroje na obnovu a časové rámce pre reakciu.

\\

)))|(((

1. Plán kontinuity činností musí obsahovať minimálne:

1213

1214

a. Plán kontinuity na stanovenie požiadaviek a zdrojov

1215

1216

b. Plán reakcie na incidenty a plány havarijnej obnovy prevádzky

1217

1218

c. Politiku a ciele kontinuity

1219

1220

d. Analýzu funkčných dopadov

1221

1222

e. Stratégiu riadenia kontinuity vrátane evakuačných postupov

1223

1224

f. Plán údržby a kontroly BCMS.

2. Školenie

)))

(% class="" %)|(((

**3.**

)))|(((

**Nasadenie nástroja na monitorovanie kapacít**

1232

)))|(((

1233

Nástroj ktorý umožní real-time sledovanie výkonu a dostupnosti technologických zdrojov. Tento nástroj zahrnie automatické detekčné systémy na identifikáciu a upozornenie na potenciálne problémy, aby sa predišlo náhlym výpadkom a zabezpečila stabilná prevádzka.

1234

)))|(((

1235

1. Implementácia nástroja na monitorovanie kapacít

1236

1237

2. Dokumentácia a školenie

)))

(% class="" %)|(((

**4.**

)))|(((

**Vybudovanie SIEM a zabezpečenie SOC**

1243

)))|(((

1244

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

1245

)))|(((

1246

1. Implementácia SIEM

1247

1248

2. Zriadenie služby SOC

1249

1250

3. Dokumentácia a školenie

)))

(% class="" %)|(((

**5.**

)))|(((

**Dodanie a implementácia next-gen firewall technológie**

1256

)))|(((

1257

Umožní pokročilé filtrovanie obsahu, riadenie prestupov medzi sieťovými segmentami a integráciu s aktuálnymi bezpečnostnými systémami

1258

)))|(((

1259

Dodanie a implementácia next-gen firewall technológie vratane:

1260

1261

1. Analýza súčasného stavu 

1262

1263

2. Návrh implementačného konceptu a dizajnu riešenia 

1264

1265

3. Inštalácia nového HW v priestoroch objednávateľa 

1266

1267

4. Základná konfigurácia FW (IP adresa, názov, zóny, manažment ....) 

1268

1269

5. Vytváranie nových pravidiel podľa pripraveného konceptu  

1270

1271

6. Konfigurácia VPN tunelov 

1272

1273

7. Migrácia objektov, smerovania, NAT 

1274

1275

8. Migrácia komunikačných pravidiel 

1276

1277

9. Integrácia so všetkými prvkami sieťovej infraštruktúry 

1278

1279

10. Testovanie riešenia v testovacom prostredí 

1280

1281

11. Migrácia do produkčného prostredia 

1282

1283

12. Vyriešenie komunikačných problémov (prepojenie na externé subjekty, portály a pod.  

1284

1285

13. Z inštalácie a kompletnej konfigurácie zariadenia 

1286

1287

14. Aktualizácia, vypracovanie a dodanie príslušnej systémovej a používateľskej dokumentácie k vykonaným zmenám 

1288

1289

15. Zaškolenie IT personálu 

)))

(% class="" %)|(((

**6.**

)))|(((

**Nasadenie robustného zálohovacieho riešenia**

1295

)))|(((

1296

Implementáciou pokročilých zálohovacích riešení sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru

1297

)))|(((

1298

1. Implementácia zálohovacieho systému -

1299

1300

2. Analýza zálohovacích boxov a pravidiel

1301

1302

3. Nasadenie obnovy záloh

1303

1304

4. Dokumentácia a školenie

\\

)))

(% class="" %)|(((

**7.**

)))|(((

**Vypracovanie a pravidelná aktualizácia komplexného plánu manažmentu krízových situácií**

1312

)))|(((

1313

Opatrenie zahŕňa identifikáciu kritických období, analýzu dopadov, definíciu minimálne prijateľných množstiev práce a strategické zdroje potrebné pre rýchlu obnovu činností

1314

)))|(((

1315

1. Záverečná správa, ako výstup z analýzy dopadov musí obsahovať:

1316

1317

· Prehľad vykonávaných činností, ktorý bude obsahovať názov činnosti, jej vymedzenie, vlastníka, MTO a MBCO.

1318

1319

· Zoznam procesov, ktorý bude (ak to je možné) obsahovať názov procesu, druh procesu, vlastníka procesu, RTO a RPO procesu (údaje, na základe ktorých bolo stanovené príslušné RTO a RPO budú taktiež súčasťou správy).

1320

1321

· Špecifikácie nevyhnutných zdrojov a prostriedkov pre zabezpečenie kontinuity činností.

)))

(% class="" %)|(((

**8.**

)))|(((

**Modernizácia serverovej infraštruktúry pre virtualizované prostredie:**

1329

)))|(((

1330

Výmena serverových komponentov, sieťových prvkov, prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

1331

)))|(((

1332

1. Výmena hostiteľského server

1333

1334

2. Operačný systém Windows server

3. SQL Server

4. Kompletná konfigurácia,migrácia

1339

1340

5. Dokumentácia a , zaškolenie IT pracovníkov

\\

)))

(% class="" %)|(((

**9.**

)))|(((

**Modernizácia sieťovej infraštruktúry v mestskej informačnej sieti:**

1348

)))|(((

1349

Zabezpečí sa výmena zastaraných sieťových prvkov, dobudovanie záložných trás a rozšírená segmentácia siete.

1350

)))|(((

1351

1. Výmena a inštalácia 8 AC(access pointov) na Wifi v 4 lokalitách

1352

1353

2. Dobudované záložné bezdrôtové trasy

1354

1355

3. Rekonfigurácia siete - rozšírená segmentácia, rozdelenie na VLAN

1356

1357

4. Dokumentácia a zmapovanie informačnej siete po zmenách

1358

)))

1359

1360

Tabuľka 9 Výstupy hlavnej aktivity projektu

1361

1362

V nasledujúcej tabuľke sú definované jednotlivé výstupy podľa vyhlášky 401/2023 o riadení projektov po fázach projektu pre každú etapu:

(% class="" %)|(((

**Etapy**

)))|(((

**Požadované výstupy**

1368

)))

1369

(% class="" %)|(% rowspan="3" %)(((

1370

Analýza a dizajn

1371

)))|(((

1372

· Projektový iniciálny dokument (PID)

1373

1374

· Akceptačné kritériá

1375

)))

1376

(% class="" %)|(((

1377

· Detailný návrh riešenia (DNR)

1378

1379

o Zámer riešenia, analýza požiadaviek, používateľský prieskum a motivačná architektúra

1380

1381

o Popis postupu analýzy a návrhu riešenia

1382

1383

o Biznis architektúra

1384

1385

o Dátová architektúra

1386

1387

o Aplikačná architektúra

1388

1389

o Technologická architektúra

1390

1391

o Softvérové licencie a zdrojové kódy

1392

1393

o Požiadavky na úrovne služieb (SLA) a výkonnosť

1394

1395

o Zabezpečenie dostupnosti, zálohovanie a obnova riešenia

1396

1397

o Bezpečnosť – riešenie požiadaviek na bezpečnosť

o Migrácia dát

o Harmonogram realizácie a nasadenia, závislosti

1402

)))

1403

(% class="" %)|(((

1404

· Plán a stratégia testovania

1405

1406

o Testovacie prípady (UC/TC)

1407

1408

o Testovacie prostredia

o Testovacie dáta

o Defekt manažment, monitoring a reporting testov

1413

)))

1414

(% class="" %)|(% rowspan="4" %)(((

1415

Implementácia a testovanie

1416

)))|(((

1417

· Vývoj, migrácia údajov a integrácia

)))

(% class="" %)|(((

· Testovanie

o Funkčné testovanie (FAT)

1423

1424

o Systémové a integračné testovanie (SIT)

1425

1426

o Záťažové a výkonnostné testovanie voliteľné

1427

1428

o Bezpečnostné testovanie (SW/HW a kybernetická bezpečnosť)

1429

1430

o Používateľské testy funkčného používateľského rozhrania (UX)

1431

1432

o Používateľské akceptačné testovanie (UAT)

)))

(% class="" %)|(((

· Školenia personálu

)))

(% class="" %)|(((

· Dokumentácia

o Aplikačná príručka

o Integračná príručka

1443

1444

o Používateľská príručka

1445

1446

o Zdrojové kódy a licencie

1447

1448

o Inštalačná a konfiguračná príručka

1449

1450

o Prevádzkový opis a pokyny pre diagnostiku, servis a údržbu

1451

1452

o Pokyny na obnovu pri výpadku alebo havárii (Havarijný plán)

1453

1454

o Bezpečnostný projekt voliteľné

1455

1456

o Údaje o monitorovaní úrovne poskytovaných služieb (SLA) aktív IT

1457

)))

1458

(% class="" %)|(% rowspan="2" %)(((

1459

Nasadenie a postimplementačná podpora

1460

)))|(((

1461

· Nasadenie do produkčnej prevádzky (vyhodnotenie)

1462

)))

1463

(% class="" %)|(((

1464

· Akceptácia spustenia do produkčnej prevádzky (vyhodnotenie)

)))

(% class="" %)|(((

Dokončovacia fáza

)))|(((

· Manažérske správy, plány, reporty, zoznamy, odporúčania a požiadavky:

1470

1471

o Správa o dokončení projektu (etapy/fázy)

1472

1473

o Plán kontroly po odovzdaní projektu

1474

1475

o Odporúčanie nadväzných krokov

1476

1477

o Plán monitorovania a hodnotenia po odovzdaní projektu

1478

)))

1479

1480

Tabuľka 10 Výstupy projektu podľa vyhlášky 401/2023 o riadení projektov po jednotlivých fázach pre každú etapu

1481

1482

**Vlastníci procesov: **

1483

1484

* IT oddelenie mesta: Zodpovedné za správu a údržbu IT infraštruktúry, vrátane zabezpečenia a monitorovania systémov.

1485

* Manažér pre kybernetickú bezpečnosť: Zodpovedný za implementáciu a riadenie bezpečnostných systémov, ako je SIEM.

1486

1487

Títo vlastníci procesov budú mať kľúčovú úlohu pri riadení projektu a schvaľovaní jeho výstupov, zabezpečujúc, že realizované riešenia spĺňajú stanovené ciele a požiadavky mesta Trstená.

\\

V rámci projektu je definovaná jedna hlavná aktivita /v zmysle Výzvy/. Mesto Trstená hlavnú aktivitu nedelilo na jednotlivé podaktivity/fázy, keďže nie je možné vzhľadom na obsah projektu rozdeliť jednotlivé opatrenia na dané fázy /Analýza a dizajn, Implementácia a testovanie, Nasadenie/. Dokumentácia v zmysle požiadaviek bude vykonávaná priebežne, počas celej realizácie projektu.

**~ **

= {{id name="projekt_2489_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1496

1497

Architektúra celého riešenia je v súlade s usmernením MIRRI SR rámcová, s cieľom ozrejmiť, ktoré komponenty v rámci realizácie projektu budú vytvorené a budú realizované opatrenia KIB.

1498

1499

{{view-file att--filename="architektúra to be.pdf" display="thumbnail" height="250"/}}

1500

1501

Obrázok 2 Náhľad architektúry v notácii ArchiMate

1502

1503

Táto architektúra predstavuje komplexný prístup k zabezpečeniu kybernetickej a informačnej bezpečnosti v meste. Zahrnuté komponenty a služby sú navrhnuté tak, aby spolu synergicky pracovali na posilnení ochrany pred kybernetickými hrozbami a zabezpečení citlivých údajov.

1504

1505

V biznis vrstve máme "Zvýšenie úrovne KIB" ktorému slúžia služby Detekcia a reakcia na bezpečnostné incidenty, Zabezpečenie dostupnosti základnej služby a Manažovanie KIB, ktoré sú nevyhnutné pre efektívne riadenie bezpečnostných rizík a zabezpečenie dôvernosti dát. Tieto procesy sú podporované tímom pre kybernetickú bezpečnosť, čo zabezpečuje, že organizácia má potrebné odborné znalosti a zdroje na riadenie a implementáciu bezpečnostných stratégií. Aktualizácie a implementácia smerníc a plánov pre riadenie KIB je dôležitou pre zabezpečenie správneho manažmentu KIB v meste Trstená.

1506

1507

V aplikačnej vrstve sú implementované kľúčové technologické riešenia: SIEM systém, NGFW a nástroj na riadenie kapacít. SIEM systém poskytuje komplexnú detekciu incidentov a analýzu bezpečnostných logov. NGFW systém zabezpečuje filtrovanie sieťového obsahu, VPN a IPS. Dôležitý je aj nástroj na riadenie kapacít, ktorý zabezpečuje monitoring dostupných technologických kapacít.

1508

1509

Tieto systémy sú základnými stavebnými blokmi pre detekciu a reakciu na potenciálne hrozby a incidenty.

1510

1511

Na technologickej vrstve je umiestnená serverová a sieťová infraštruktúra, ktoré poskytujú potrebné hardvérové a sieťové zdroje pre fungovanie aplikačných komponentov. Serverová infraštruktúra hostí SIEM, NGFW a nástroj na riadenie kapacít ako aj IS základnej služby. Zatiaľ čo sieťová infraštruktúra poskytuje okrem komunikačnej funkcie prostredníctvom služby segmentácia siete vysokú dostupnosť pre poskytovanie základnej služby, zálohovanie je zabezpečené prostredníctvom serverovej infraštruktúry.

1512

1513

Táto architektúra zabezpečuje, že mesto je schopné proaktívne čeliť kybernetickým hrozbám, ochraňovať svoje dáta a udržiavať nepretržitú operáciu svojich kritických služieb, čím prispieva k vyššej úrovni bezpečnosti a dôvery verejnosti v digitálne služby mesta.

1514

1515

= {{id name="projekt_2489_Projektovy_zamer_detailny-LEGISLATÍVA"/}}LEGISLATÍVA =

1516

1517

Pri návrhu a implementácii riešenia budeme vychádzať z nasledujúcej legislatívy:

(% class="" %)|(((

**PRÍRUČKY PROGRAMU SLOVENSKO**

1523

)))

1524

(% class="" %)|(((

1525

Príručka pre žiadateľa

1526

)))

1527

(% class="" %)|(((

1528

Príručka pre prijímateľa (vrátane jej príloh)

1529

)))

1530

(% class="" %)|(((

1531

Príručka k oprávnenosti výdavkov (vrátane jej príloh)

1532

)))

1533

(% class="" %)|(((

1534

Komunikačná stratégia Program Slovensko programové obdobie 2021-2027 (vrátane jej príloh)

1535

)))

1536

(% class="" %)|(((

1537

Všeobecná informácia k predkladaniu a schvaľovaniu ŽoNFP

1538

)))

1539

(% class="" %)|(((

1540

Dizajn manuál Programu Slovensko (vrátane jej príloh)

1541

)))

1542

(% class="" %)|(((

1543

Vzor Zmluvy o poskytnutí NFP

1544

)))

1545

(% class="" %)|(((

1546

Príručka pre žiadateľov/prijímateľov k procesu a kontrole verejného obstarávania/obstarávania

1547

)))

1548

(% class="" %)|(((

1549

**ŠTANDARDY pre eGOVERNMENT**

1550

)))

1551

(% class="" %)|(((

1552

Zákon č. 95/2019 Z.z. o ITVS

1553

)))

1554

(% class="" %)|(((

1555

Zákon č. 305/2013 Z.z. o eGovernmente a o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci

1556

)))

1557

(% class="" %)|(((

1558

Zákon č. 177/2018 Z.z. proti byrokracii a o niektorých opatreniach na znižovanie administratívnej záťaže využívaním ISVS

1559

)))

1560

(% class="" %)|(((

1561

Zákon č. 18/2018 Z.z. o ochrane osobných údajov

1562

)))

1563

(% class="" %)|(((

1564

Vyhláška č. 85/2020 Z.z. o riadení IT projektov

1565

)))

1566

(% class="" %)|(((

1567

Vyhláška č. 78/2020 Z.z. o štandardoch pre ITVS

1568

)))

1569

(% class="" %)|(((

1570

Vyhláška č. 438/2019 Z.z. o výkone ustanovení zákona o e-Governmente (eDesk modul)

1571

)))

1572

(% class="" %)|(((

1573

Vyhláška č. 331/2018 Z.z. o zaručenej konverzii

1574

)))

1575

(% class="" %)|(((

1576

Vyhláška č. 29/2017 Z.z. o alternatívnom autentifikátore

1577

)))

1578

(% class="" %)|(((

1579

Vyhláška č. 85/2018 Z.z. o spôsobe vyhotovenia listinného rovnopisu elektronického úradného dokumentu

1580

)))

1581

(% class="" %)|(((

1582

Vyhláška č. 25/2014 Z.z. o IOM

1583

)))

1584

(% class="" %)|(((

1585

Metodické usmernenie nariadeniu (GDPR) k spracúvaniu osobných údajov (prostredníctvom web stránok) v súlade s požiadavkami Nariadenia Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

1586

)))

1587

(% class="" %)|(((

1588

Štandardné zmluvné doložky pre sprostredkovateľov (UOOU)

1589

)))

1590

(% class="" %)|(((

1591

**ŠTANDARDY pre KYBERNETICKÚ a INFORMAČNÚ BEZPEČNOSŤ**

1592

)))

1593

(% class="" %)|(((

1594

Zákon č. 69/2018 Z.z. o Kybernetickej bezpečnosti

1595

)))

1596

(% class="" %)|(((

1597

Zákon č. 45/2011 Z.z. o Kritickej infraštruktúre

1598

)))

1599

(% class="" %)|(((

1600

Zákon č. 351/2011 Z.z. o elektronických komunikáciách (ochrana súkromia a osobných údajov, ochrana sietí a zariadení)

1601

)))

1602

(% class="" %)|(((

1603

Zákon č. 272/2016 Z.z. o dôveryhodných službách (elektronický podpis) a o dôveryhodných službách pre elektronické transakcie na vnútornom trhum (EiDAS)

1604

)))

1605

(% class="" %)|(((

1606

Trestný zákon č. 300/2005 Z.z. (trestné činy páchané pomocou elektronických prostriedkov a v elektronickom prostredí)

1607

)))

1608

(% class="" %)|(((

1609

Vyhláška č. 179/2020 Z.z. k spôsobom kategorizácie a obsahu bezpečnostných opatrení ITVS

1610

)))

1611

(% class="" %)|(((

1612

Metodika pre Systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (CSIRT)

1613

)))

1614

(% class="" %)|(((

1615

Smernica č. 7/2019 o riešení Bezpečnostných incidentov Vládnou jednotkou CSIRT

1616

)))

1617

(% class="" %)|(((

1618

Vyhláška NBU č. 166/2018 Z.z., o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov

1619

)))

1620

(% class="" %)|(((

1621

Vyhláška NBU č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)

1622

)))

1623

(% class="" %)|(((

1624

Vyhláška NBU č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

1625

)))

1626

(% class="" %)|(((

1627

Vyhláška NBU č. 436/2019 Z.z., o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

1628

)))

1629

(% class="" %)|(((

1630

**ŠTANDARDY pre VLÁDNY CLOUD**

1631

)))

1632

(% class="" %)|(((

1633

Katalóg služieb a požiadavky na realizáciu služieb Vládneho Cloudu

1634

)))

1635

(% class="" %)|(((

1636

Metodické usmernenie pre proces zaradenia cloudovej služby do katalógu č. 4542/2019/oSAEG-1

1637

)))

1638

(% class="" %)|(((

1639

Usmernenie na aktualizáciu plánu migrácie IKT rezortu do dátového centra štátu

1640

)))

1641

(% class="" %)|(((

1642

**ŠTANDARDY pre RIADENIE PROJEKTU a PROGRAMU**

1643

)))

1644

(% class="" %)|(((

1645

Metodický pokyn k spracovaniu:

1646

_Štúdie uskutočniteľnost (ŠÚ)

1647

_Finančnej analýzy projektu

1648

_Analýzy nákladov a prínosov projektu (CBA)

1649

_Finančnej analýzy žiadateľa o NFP

1650

_Celkových nákladov na vlastníctvo v programovom období 2014 – 2020

1651

)))

1652

(% class="" %)|(((

1653

Metodický pokyn UPVII č. 3425/2019/oPK-1 na rozpočtovanie nákupu IT v rámci medzirezortného programu 0EK Informačné technológie financované zo štátneho rozpočtu

1654

)))

1655

(% class="" %)|(((

1656

Metodické usmernenie o postupe pri príprave investícií a koncesií podliehajúcich hodnoteniu MFSR

1657

)))

1658

(% class="" %)|(((

1659

Rámec na hodnotenie verejných investičných projektov v SR

1660

)))

1661

(% class="" %)|(((

1662

Použivatelská priručka MetaIS

1663

)))

1664

(% class="" %)|(((

1665

Použivatelská príručka MetaIS Confluence

1666

)))

1667

(% class="" %)|(((

1668

Informatizácia 2.0 - revízia výdavkov

1669

)))

1670

(% class="" %)|(((

1671

**ŠTANDARDY pre RIADENIE ARCHITEKTÚRY**

1672

)))

1673

(% class="" %)|(((

1674

Používateľská príručka MetaIS č. 3642/2018/oSAEG-1

1675

)))

1676

(% class="" %)|(((

1677

Metodický pokyn ÚPVII č. 514/2017-313 z 10.1.2017 na aktualizáciu obsahu centrálneho metainformačného systému verejnej správy povinnými osobami v znení neskorších predpisov

1678

)))

1679

(% class="" %)|(((

1680

[[Metodické usmernenie č. 5651/2019/oSAEG-1 z 20.09.2019 na odpočet plnenia NKIVS orgánmi riadenia>>url:https://metais.vicepremier.gov.sk/confluence/download/attachments/2621442/2019_Metod_usmer_na_odpocet_NKIVS.pdf?version=1&modificationDate=1572960541260&api=v2||shape="rect"]]

1681

)))

1682

(% class="" %)|(((

1683

Pravidlá publikovania elektronických služieb do multikanálového prostredia verejnej správy (Číslo: 3204/2018/oAeG-1)

1684

)))

1685

(% class="" %)|(((

1686

**ŠTANDARDY pre KVALITU ÚDAJOV**

1687

)))

1688

(% class="" %)|(((

1689

[[Zákon č. 305/2013 Z.z. o eGovernmente (§52) - povinnosť referencovania sa a využívať referenčné údaje.>>url:https://metais.vicepremier.gov.sk/refregisters/list?page=1&count=20||shape="rect"]]

1690

)))

1691

(% class="" %)|(((

1692

Zákon č. 305/2013 Z.z. o eGovernmente (§10) - povinnosť využívať „Modul procesnej integrácie a integrácie údajov (jeho časti IS CSRÚ)“ a realizovať integráciu údajov, synchronizáciu údajov pri referencovaní a pri výmene údajov s referenčnými registrami a základnými číselníkmi.

1693

)))

1694

(% class="" %)|(((

1695

Metodické umernenie o postupe zaraďovania referenčných údajov do zoznamu referenčných údajov vo väzbe na referenčné registre (č. 3639/2019/oDK-1)

1696

)))

1697

(% class="" %)|(((

1698

Metodické usmernenie č. 1/2019 k zálohovaniu údajov v databázach domén, registrátorov a kontaktov súvisiacich so správou domén najvyššej úrovne

1699

)))

1700

(% class="" %)|(((

1701

Postup pripojenia OVM v roli konzumenta údajov do IS CSRÚ

1702

)))

1703

(% class="" %)|(((

1704

**ŠTANDARDY pre DIZAJN a OPTIMALIZACIU PROCESOV a ŽIVOTNÝCH SITUÁCII**

1705

)))

1706

(% class="" %)|(((

1707

[[Metodika Používateľské princípy pre návrh a rozvoj elektronických služieb verejnej správy>>url:https://www.mirri.gov.sk/sekcie/oddelenie-behavioralnych-inovacii/index.html||shape="rect"]]

1708

)))

1709

(% class="" %)|(((

1710

[[Metodika optimalizácie procesov verejnej správy (najmä postupovať podľa bodu 3.5 b) pri vytváraní Procesnej analýzy) a v súlade s Metodikou optimalizácie procesov – konvenciami modelovania (aktualizovať diagramy životných situácií a karty životných situácií vedených na MVSR, ak Dielo ovplyvní výkon procesov životnej situácie)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1711

)))

1712

(% class="" %)|(((

1713

[[Metodika merania výkonnosti procesov prostredníctvom KPI (dodať funkcionalitu exportu dát z Diela a meriania výkonnosti procesov)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1714

)))

1715

(% class="" %)|(((

1716

[[Metodika merania nákladovosti TB-ABC>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1717

)))

1718

(% class="" %)|(((

1719

[[Metodika identifikácie, vizualizácie a referencovania údajov pri dátovom modelovaní vo verejnej správe>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

)))

(% class="" %)|(((

**ŠTANDARDY pre UX**

)))

(% class="" %)|(((

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy

1726

)))

1727

(% class="" %)|(((

1728

Metodické usmernenie UVSR č. 002089/2018/oLŠISVS-7 zo dňa 11.05.2018

1729

)))

1730

(% class="" %)|(((

1731

Metodické usmernenie pre tvorbu používateľsky kvalitných elektronických služieb verejnej správy (Číslo spisu v DKS: 004307/2019/oBI)

1732

)))

1733

(% class="" %)|(((

1734

**ŠTANDARDY RIADENIA KVALITY**

1735

)))

1736

(% class="" %)|(((

1737

Metodika riadenia QAMPR

1738

)))

1739

(% class="" %)|(((

1740

Riadenie kvality podľa Smernice STN EN ISO 9001: 2016

1741

)))

1742

(% class="" %)|(((

1743

**ŠTANDARDY pre LICENCIE**

1744

)))

1745

(% class="" %)|(((

1746

Uznesenia vlády č. 286/2019 o povinnosti prednostne pristupovať k platným a účinným centrálnym IKT zmluvám

1747

)))

1748

(% class="" %)|(((

1749

Metodický pokyn k zabezpečeniu centrálneho nákupu produktov a služieb spoločnosti ORACLE v rámci Centrálnej rámcovej dohody na poskytovanie licencií a produktov ORACLE a služieb s nimi súvisiacich

1750

)))

1751

(% class="" %)|(((

1752

**ŠTANDARDY OBSTARAVANIA**

1753

)))

1754

(% class="" %)|(((

1755

Zákon č.343/2015 Z.z. o verejnom obstarávaní

1756

)))

1757

(% class="" %)|(((

1758

Koncepcia nákupu IT vo verejnej správe (v kontexte rokovania o licencnych pravach k zdrojovemu kodu)

1759

)))

1760

(% class="" %)|(((

1761

**OSTATNÉ ŠTANDARDY**

1762

)))

1763

(% class="" %)|(((

1764

Zákon č. 211/2000 Z.z. o slobodnom prístupe k informáciám

1765

)))

1766

(% class="" %)|(((

1767

Zákon č. 315/2016 Z.z. o registri partnerov verejného sektora

1768

)))

1769

1770

Tabuľka 11 Zoznam legislatívy

1771

1772

Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou /vyššie uvedený kompletný zoznam/.

= {{id name="projekt_2489_Projektovy_zamer_detailny-7.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

12/2024

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

12/2030

)))

Tabuľka 14 Harmonogram projektu

1829

1830

Projekt sa realizuje metódou Waterfall s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej v rámci prípravy projektu. Niektoré opatrenia sa budú realizovať paralelne, dokonca rôznymi tímami, avšak na základe vopred stanovej stratégie a plánu celého projektu.

1831

1832

Agilný prístup bol vylúčený s ohľadom na potrebu realizácie projektu za plnej prevádzky základnej služby Mesta Trstená.

1833

1834

Prípravná a Iniciačná fáza zahŕňa prípravu obsahu projektu, prípravu Manažérskych produktov v zmysle požiadaviek výzvy, definovanie zloženia projektového tímu a Riadiaceho výboru, príprava žiadosti o NFP. Iniciačná fáza bude ukončená schválením žiadosti o NFP a podpisom Zmluvy o poskytnutí NFP. Následne sa bude realizovať verejné obstarávanie, ktoré bude ukončené pred začiatkom hlavnej aktivity projektu.

\\

V rámci realizačnej fázy sa bude realizovať obsah projektu /vyššie popísané/ s cieľom dosiahnutia hlavných cieľov a merateľných ukazovateľov. Taktiež sa bude pripravovať dokumentácia v zmysle požiadaviek definovaných vo Vyhláške 401/2023 Z.z. o riadení projektov.

1839

1840

Dokončovacia fáza vytvorí dokumenty a podklady pre ZMS, ako aj dokumenty v rámci požiadaviek Vyhlášky 401/2023 Z.z. stanovené pre dokončovaciu fázu.

1841

1842

Po uzatvorení dokončovacej fázy začne podpora prevádzky /totožná s obdobím udržateľnosti projektu/. Mesto Trstená zabezpečí využívanie implementovaných systémov a udržiavanie dosiahnutých výsledkov. Podpora bude zabezpečená aj uzatvorenými SLA zmluvami s dodávateľmi /pri podpore prevádzky/. Udržateľnosť projektu bude zabezpečená počas tohto obdobia vlastnými zdrojmi Mesta Trstená.

= {{id name="projekt_2489_Projektovy_zamer_detailny-8.ROZPOČETAPRÍNOSY"/}}8. ROZPOČET A PRÍNOSY =

Rozpočet bol zostavený na základe prieskumu trhu, ako výsledkov realizovania prieskumu s cieľom určenia predpokladanej hodnoty zákazky. V závislosti na výške rozpočtu projektu /do 1 000 000 Eur/ nebola spracovaná CBA analýza /Analýza nákladov a prínosov/.

1851

1852

== {{id name="projekt_2489_Projektovy_zamer_detailny-Sumarizácianákladov"/}}Sumarizácia nákladov ==

(% class="" %)|(((

**Názov výdavku**

)))|(((

**MJ**

)))|(((

**Jednotková cena bez DPH (v EUR)**

)))|(((

**Počet jednotiek**

)))|(((

**Spolu s DPH (v EUR)**

1864

)))

1865

(% class="" %)|(((

1866

Informačný systém pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie.

)))|(((

projekt

)))|(((

27 926,67 €

)))|(((

1

)))|(((

33 512,00 €

)))

(% class="" %)|(((

Kľúčový používateľ

)))|(((

HOD

)))|(((

15,13 €

)))|(((

1957,5

)))|(((

29 616,98 €

)))

(% class="" %)|(((

Biznis vlastník

)))|(((

HOD

)))|(((

15,27 €

)))|(((

978,75

)))|(((

14 945,51 €

)))

(% class="" %)|(((

Manažér kybernetickej bezpečnosti

)))|(((

HOD

)))|(((

19,04 €

)))|(((

978,75

)))|(((

18 635,40 €

)))

(% class="" %)|(((

Manažér pre riadenie rizík

)))|(((

ČD

)))|(((

473,33 €

)))|(((

6

)))|(((

3 407,98 €

)))

(% class="" %)|(((

Dokument kontinuity činností v zmysle ZoKB – riadenie kontinuity činností (BCM) v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17)

)))|(((

projekt

)))|(((

30 250,00 €

)))|(((

1

)))|(((

36 300,00 €

)))

(% class="" %)|(((

Manažér pre riadenie kontinuity

)))|(((

ČD

)))|(((

473,33 €

)))|(((

6

)))|(((

3 407,98 €

)))

(% class="" %)|(((

Monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb

)))|(((

projekt

)))|(((

10 800,00 €

)))|(((

1

)))|(((

12 960,00 €

)))

(% class="" %)|(((

Služby dohľadového centra (Security Operations Center)

)))|(((

projekt

)))|(((

80 560,00 €

)))|(((

1

)))|(((

96 672,00 €

)))

(% class="" %)|(((

Nasadenie zálohovania

)))|(((

projekt

)))|(((

9 370,00 €

)))|(((

1

)))|(((

11 244,00 €

)))

(% class="" %)|(((

Vypracovanie analýzy dopadov

)))|(((

projekt

)))|(((

10 800,00 €

)))|(((

1

)))|(((

12 960,00 €

)))

(% class="" %)|(((

Dodania a nasadenie servera

)))|(((

projekt

)))|(((

57 669,67 €

)))|(((

1

)))|(((

69 203,60 €

)))

(% class="" %)|(((

WiFi prístupový bod

)))|(((

projekt

)))|(((

8 786,67 €

)))|(((

1

)))|(((

10 544,00 €

)))

(% class="" %)|(((

NGFW firewall

)))|(((

projekt

)))|(((

22 566,67 €

)))|(((

1

)))|(((

27 080,00 €

)))

(% class="" %)|(((

Notebook a príslušenstvo

)))|(((

projekt

)))|(((

2 276,67 €

)))|(((

1

)))|(((

2 732,00 €

)))

\\

Tabuľka 13 Rozpočet projektu

2034

2035

Vzhľadom na obsah projektu a definované ciele projektu /oblasť kybernetickej a informačnej bezpečnosti/ je pomerne náročné jednoznačne kvantifikovať návratnosť realizovanej investície. Realizované náklady primárne prispejú k zabezpečeniu poskytovania základnej služby, k minimalizovaniu zraniteľnosti systémov Mesta a zvýšeniu ochrany MsÚ. Z pohľadu návratnosti je však možné zdôrazniť hodnotenie možných škôd, ktoré by vznikli v prípade, že nebude vhodne riešená oblasť kybernetickej a informačnej bezpečnosti na úrovni PZS.

2036

2037

Jedná sa o nasledovné škody v závislosti na daných rizikách:

2038

2039

* **__Reputačné riziko__** - v prípade neplnenia legislatívnych požiadaviek v zmysle Zákona o kybernetickej bezpečnosti a Zákona o ISVS a následného výpadku prevádzky základnej služby, či prípadného úniku citlivých a osobných údajov v kombinácii s prípadnou medializáciou je toto riziko pomerne vysoké v nadväznosti na zákonné povinnosti Mesta Trstená.

2040

* **__Finančné riziko__** /externé/- súvisí s možnými sankciami, pokutami vyplývajúce priamo z legislatívnych rámcov v rámci prípadných súdnych sporov /napr. pri úniku osobných údajov v súvislosti s kybernetickým útokom na MsÚ Trstená/. Výšku finančných sankcií/pokút nie je možné jednoznačne vyčísliť, keďže je závislá od rozsahu uniknutých informácií a ďalších faktorov. Môže však dôjsť k výraznému zaťaženiu rozpočtu Mesta Trstená.

2041

* **__Finančné riziko__** /interné/- súvisí s výpadkom poskytovania základnej služby, kedy zamestnanci úradu nebudú schopní pracovať so systémami mesta a zabezpečovať poskytovanie základnej služby. Celková strata v prípade výpadku poskytovania základne služby na úrovni straty miezd zamestnancov je závislá na dĺžke výpadku poskytovania základnej služby. Pri jednodňovom výpadku sa jedná približne o 5214,2 Eur pri 58 interných zamestnancoch /mesačná priemerná mzda verejnej správy v roku 2023 bola 1796 Eur, pri 20 dňovom pracovnom čase je priemerná denná mzda 89,9 Eur/.

= {{id name="projekt_2489_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

Mesto Trstená v rámci prípravnej fázy zostavilo Riadiaci výbor v zmysle požiadaviek Vyhlášky 401/2023 Z.z., v nasledovnom zložení:

2050

2051

* Predseda Riadiaceho výboru: **Ing. Magdaléna Zmarzláková** / primátorka mesta

2052

* Zástupca prevádzky - **Marcel Badín** / správca IT siete

2053

* Biznis vlastník - **Ing. Juliana Žuffová** /právnik mesta

\\

Projektový tím v rámci projektu bol zostavený vzhľadom na obsah projektu a potrebu zabezpečenia podpry realizácie projektu interným prostredím Mesta Trstená. Na realizácii projektu budú participovať interní zamestnanci mesta, ktorí budú úzko kooperovať s externým dodávateľom v rámci implementácii konkrétnych opatrení popísaných v rámci realizácie projektu.

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

Ing. Ľudmila Kostolná

2076

)))|(((

2077

Vedúca oddelenia vnútornej správy

2078

)))|(((

2079

Oddelenie vnútornej správy/Mesto Trstená

2080

)))|(((

2081

Kľúčový používateľ /50% úväzku/

)))

(% class="" %)|(((

2.

)))|(((

Mgr. Andrea Korčušková

)))|(((

Odborný referent

)))|(((

Oddelenie vnútornej správy/Mesto Trstená

2091

)))|(((

2092

Kľúčový používateľ /50% úväzku/

)))

(% class="" %)|(((

3.

)))|(((

JUDr. Ing. Juliána Žuffová

)))|(((

Právnik mesta

)))|(((

Mesto Trstená

)))|(((

Biznis Vlastník /50% úväzku/

)))

(% class="" %)|(((

4.

)))|(((

Ing. Anna Kuráňová

)))|(((

Gestor kybernetickej bezpečnosti mesta Trstená

)))|(((

Mesto Trstená

)))|(((

Manažér kybernetickej a informačnej bezpečnosti /50% úväzku/

)))

(% class="" %)|(((

5.

)))|(((

PhDr. Vladimíra Pazderová, PhD.

)))|(((

Projektový manažér

)))|(((

Externý dodávateľ

)))|(((

Projektový a finančný manažér

)))

(% class="" %)|(((

6.

)))|(((

Bude doplnené

)))|(((

Zástupca dodávateľa

)))|(((

Zástupca dodávateľa

)))|(((

Manažér pre riadenie rizík

)))

(% class="" %)|(((

\\

)))|(((

Bude doplnené

)))|(((

Zástupca dodávateľa

)))|(((

Zástupca dodávateľa

)))|(((

Manažér pre riadenie kontinuity činností

2148

)))

2149

2150

Tabuľka 15 Projektový tím

2151

2152

== {{id name="projekt_2489_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

\\

· Kľúčový používateľ navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

2175

)))

2176

(% class="" %)|(((

2177

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

2184

2185

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

2186

2187

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

2188

2189

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

2190

2191

· Špecifikáciu požiadaviek na bezpečnosť,

2192

2193

· Návrh a definovanie akceptačných kritérií,

2194

2195

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

2196

2197

· Finálne odsúhlasenie používateľského rozhrania

2198

2199

· Vykonanie akceptačného testovania (UAT)

2200

2201

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

2202

2203

· Finálny návrh na spustenie do produkčnej prevádzky,

2204

2205

· Predkladanie požiadaviek na zmenu funkcionalít produktov

2206

2207

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2208

2209

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

\\

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**BIZNIS VLASTNÍK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

\\

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

2237

)))

2238

(% class="" %)|(((

2239

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

2244

2245

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

2246

2247

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

2248

2249

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

2250

2251

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

2252

2253

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

2254

2255

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

2256

2257

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

2258

2259

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

2260

2261

· Schválenie akceptačných kritérií,

2262

2263

· Riešenie problémov používateľov

2264

2265

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

2266

2267

· Vykonanie UX a UAT testovania

2268

2269

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

2270

2271

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

2272

2273

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

2274

2275

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

2276

2277

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

2278

2279

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

2280

2281

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

2282

2283

· Odsúhlasenie akceptačných protokolov zmenových konaní

2284

2285

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2286

2287

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI**

**~ **

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

2309

2310

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KYBERNETICKEJ BEZPEČNOSTI:**

2315

2316

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

2317

2318

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

2319

2320

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

2321

2322

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

2323

)))

2324

(% class="" %)|(((

2325

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti KIB,

2330

2331

· ak je projekt primárne zameraný na problematiku KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na KIB,

2332

2333

· špecifikovanie požiadaviek na KIB, kontroluje ich implementáciu v realizovanom projekte,

2334

2335

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

2336

2337

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť KIB,

2338

2339

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

2340

2341

· špecifikovanie požiadaviek na školenia pre oblasť KIB,

2342

2343

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť KIB,

2344

2345

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na KIB,

2346

2347

· realizáciu posúdenie požiadaviek agendy KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

2348

2349

· špecifikovanie požiadaviek na KIB, bezpečnostný projekt a riadenie prístupu,

2350

2351

· špecifikovanie požiadaviek na testovanie z hľadiska KIB, realizáciu kontroly zapracovania a retestu,

2352

2353

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť KIB, ako aj v zmysle "best practies",

2354

2355

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s KIB kontroluje ich implementáciu v realizovanom projekte,

2356

2357

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

2358

2359

· špecifikáciu požiadaviek na bezpečnosť KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

2360

2361

· špecifikáciu akceptačných kritérií za oblasť KIB,

2362

2363

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na KIB,

2364

2365

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť KIB,

2366

2367

· získavanie informácií nutných pre plnenie úloh v oblasti KIB,

2368

2369

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť KIB,

2370

2371

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska KIB,

2372

2373

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť KIB,

2374

2375

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť KIB

2376

2377

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

2378

2379

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

2380

2381

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB,

2382

2383

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s KIB,

2384

2385

· realizáciu kontroly súladu s planou legislatívou v oblasti KIB (obsahuje aj kontrolu leg. požiadaviek)

2386

2387

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

2388

2389

· poskytovanie konzultácií a súčinnosti pre problematiku KIB,

2390

2391

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti KIB,

2392

2393

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2394

2395

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

2421

)))

2422

(% class="" %)|(((

2423

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

2428

2429

· Riadenie prípravy, inicializácie a realizácie projektu

2430

2431

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

2432

2433

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

2434

2435

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

2436

2437

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

2438

2439

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2440

2441

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

2442

2443

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

2444

2445

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

2446

2447

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

2448

2449

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

2450

2451

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

2452

2453

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

2454

2455

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

2456

2457

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

2458

2459

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

2460

2461

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

2462

2463

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

2464

2465

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

2466

2467

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

2468

2469

· Dodržiavanie metodík projektového riadenia,

2470

2471

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

2472

2473

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

\\

)))

= {{id name="projekt_2489_Projektovy_zamer_detailny-"/}} =

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽÉR PRE RIADENIE RIZÍK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zabezpečovanie procesu riadenia rizík,

2493

2494

· detailná identifikácia kľúčových aktív (nielen informačných), zraniteľných miest v prevádzkových postupoch i spôsoboch využívania technológií,

2495

2496

· návrh konkrétnych opatrení smerujúcich k náprave zistených nedostatkov členených podľa priority realizácie a náročnosti

2497

2498

· realizácia zmien v štruktúre aktív Mesta Trstená.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽÉR PRE RIADENIE KONTINUITY**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovednosť za oceninie, vytvorenie a zavedenie kontinuity činností v plnom rozsahu stanovenom zákonom č.: 69/2019 Z. z. o kybernetickej bezpečnosti a vyhláškou č.: 362/2018 Z. z.,

2516

2517

· vyškolenie zamestnancov Mesta Trstená,

2518

2519

· riadenie incidentov v prípade katastrofy alebo rušivého incidentu,

2520

2521

· realizácia a výkon interných auditov a analýz dopadov,

2522

2523

· precvičovanie zavedených krízových plánov,