PROJEKTOVÝ ZÁMER

Vzor pre manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.     História DOKUMENTU

2.     ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Účelom predkladaného dokumentu je súhrnný rámcový popis informácií o zmysle a dôvodoch realizácie projektu, odhadovaných prínosoch a nákladoch projektu, odôvodnení alokácie nevyhnutných zdrojov projektu, časovom rámci realizácie a odhadovaných rizikách projektu.

Dokument je vypracovaný v rámci prípravno-iniciačnej fázy projektu v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

2.1        Použité skratky a pojmy

2.2        Konvencie pre typy požiadaviek (príklady)

Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek sú rozdelené na funkčné, nefunkčné a technické. Podskupiny v hlavných kategóriách je možné rozšíriť v závislosti od potrieb projektu, napríklad:

Funkčné požiadavky používajú konvenciu:

RF_xxx

• RF – funkčná požiadavka
• xxx – číslo požiadavky

 Nefunkčné a technické požiadavky používajú konvenciu:

RNF_xxx

• RNF – nefunkčná požiadavka
• xxx – číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

3.     DEFINOVANIE PROJEKTU

3.1        Manažérske zhrnutie

Tento projekt je vypracovaný v súlade s:

• Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;
• Výzvou č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“.

Generálna prokuratúra Slovenskej republiky (ďalej len „GPSR“) je najvyšším štátnym orgánom v sústave orgánov, ktoré tvoria prokuratúru Slovenskej republiky, je ich nadriadeným orgánom a má postavenie ústredného štátneho orgánu. Pôsobnosť GPSR vymedzuje zákon č.  153/2001 Z. z. o prokuratúre, zákon č. 154/2001 Z. z. o  prokurátoroch a právnych čakateľoch prokuratúry  a osobitné zákony, na základe ktorých GPSR najmä:

• zabezpečuje plnenie úloh patriacich do pôsobnosti generálneho prokurátora Slovenskej republiky,
• riadi, organizuje a kontroluje činnosť krajských prokuratúr a okresných prokuratúr,
• dozerá na jednotné uplatňovanie zákonov a ostatných všeobecne záväzných právnych predpisov krajskými prokuratúrami a okresnými prokuratúrami,
• vedie register trestov, ktorý obsahuje údaje a informácie

GPSR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa (https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/). Základná prevádzkovaná služba: Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre GPSR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

Zároveň projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy.

Kvantitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie nákladov súvisiacich s odstraňovaním preventívnych kybernetických incidentov.
• Zníženie nákladov súvisiacich s odstraňovaním reaktívnych kybernetických incidentov.

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie miery rizika vzniku kybernetického incidentu.
• Zvýšenie miery súladu s platnou legislatívou.
• Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
• Zvýšenie detekcie kybernetických bezpečnostných incidentov.
• Zvýšená spokojnosť a dôvera používateľov.

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

Rámcový rozpočet projektu je stanovený na sumu 449 814,16 EUR s DPH:

• Nákup technických prostriedkov, programových prostriedkov a služieb: 420 387,06 EUR
  • 013 – Softvér: 169 020,96 EUR
  • 518 – Ostatné služby (súvisiace s inštaláciou/nasadením softvéru a s dodaním dokumentácie): 251 366,10 EUR
• Podporné aktivity: 29 427,10 EUR

Projekt bude financovaný z Programu Slovensko:

• špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,
• opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,
• oblasť B. Kybernetická a informačná bezpečnosť.

Projekt je v súlade s nasledovným typom aktivity: Podpora včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9 s definovanou hlavnou aktivitou: Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

3.2        Motivácia a rozsah projektu

GPSR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

• organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,
• riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,
• personálnej bezpečnosti,
• riadenia prístupov,
• riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,
• bezpečnosti pri prevádzke informačných systémov a sietí,
• hodnotenia zraniteľností a bezpečnostných aktualizácií,
• ochrany proti škodlivému kódu,
• sieťovej a komunikačnej bezpečnosti,
• akvizície, vývoja a údržby informačných sietí a informačných systémov,
• zaznamenávania udalostí a monitorovania,
• fyzickej bezpečnosti a bezpečnosti prostredia,
• riešenia kybernetických bezpečnostných incidentov,
• kryptografických opatrení,
• kontinuity prevádzky,
• auditu, riadenia súladu a kontrolných činností.

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. GPSR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

V súlade s § 29 ZoKB prebiehal na GPSR v období od 6.9.2023 do 23.11.2023 audit kybernetickej bezpečnosti. Dňa 15.12.2023 bola GPSR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB GPSR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde GPSR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.

Zároveň GPSR deklaruje, že nemá ku dňu predloženiu projektu a k podaniu ŽoNFP zrealizované kompletne aktivity. Konkrétne zistenia z auditu kybernetickej bezpečnosti v týchto oblastiach boli nasledovné:

• Stratégia kybernetickej bezpečnosti: Bezpečnostná stratégia kybernetickej bezpečnosti na GPSR nie je prijatá a nebola predložená.
• Bezpečnostné politiky kybernetickej bezpečnosti: Vydané bezpečnostné politiky nie sú upravené pre prostredie GPSR, implementované v praxi ani úplne z pohľadu požiadaviek zákona, chýbajú bezpečnostné politiky pre Riadenie vývoja a údržby, Pravidlá správania a dobrej praxe ako aj Riadenie súladu.
• Inventarizácia aktív, klasifikácia informácií a kategorizácia sietí a informačných systémov: Nebol preukázaný centrálny proces riadenia aktív a kompletná evidencia informačných aktív, k nim prislúchajúcich komponentov a systémov. Klasifikácia informácií a kategorizácia sietí a informačných systémov nebola rozpracovaná na GPSR, ani implementovaná do praxe. V rámci evidencie sú zmiešané rôzne druhy aktív a realizácia ich klasifikácia a kategorizácie je nedostatočná.
• Analýza rizík a analýza dopadov spolu, vrátane riadenia rizík: Proces riadenia rizík nie je zavedený, analýza rizík, analýza dopadov sa navykonáva, vlastníctvo rizík nie je určené.

Dotknutý IS VS:

• Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.

Dotknuté úseky, agendy VS a životné situácie:

• Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na GPSR.

Dotknuté prioritné osy v zmysle NKIVS:

• Prioritná os 4 – Kybernetická a informačná bezpečnosť

Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:

Prioritná os 4: Kybernetická a informačná bezpečnosť

• Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:

• PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov:1
• PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 1 980

Ukazovateľ PR017 uvádza počet všetkých zamestnancov GP SR, ktorí budú primárnou skupinou nových/vylepšených produktov a procesov realizovaných v rámci projektu.

Zainteresované osoby

• Fyzické osoby:
  • Občan
  • Zamestnanec GPSR

• Právnické osoby
  • Podnikateľ
  • Generálna prokuratúra Slovenskej republiky
  • Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky
  • Národný bezpečnostný úrad

Identifikované problémy súčasného stavu

Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Medzi hlavné identifikované problémy v oblasti bezpečnosti patria:

• Nedostatočné pokrytie všetkých serverov pre riadenie privilegovaného prístupu všetkých používateľov.
• Nedostatočný prehľad o pripájaných zariadeniach do siete GPSR vrátane krajských a okresných lokalít.
• Nízka schopnosť organizácie identifikovať škodlivé aktivity a bezpečnostné incidenty, čím sa závažne zvyšuje rozsah dopadov;
• Neaktuálne verzie kybernetických nástrojov (neplnia základné bezpečnostné funkcie, na čo boli určené).
• Neaktuálna bezpečnostná dokumentácia na základe zistení z bezpečnostného auditu.

Hlavné ciele:

Hlavným cieľom projektu je zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti zavedením nových bezpečnostných opatrení:

• Zvýšenie prijatých bezpečnostných opatrení v oblasti riadenia prístupov, sieťovej a komunikačnej bezpečnosti ako aj riešenie kybernetických bezpečnostných incidentov.
• Zabezpečenie pravidelnej aktualizácie pre nové, ako aj už implementované bezpečnostné nástroje (bez pravidelnej aktualizácie neplnia základnú úlohu na čo boli určené napr. neaktuálna vírusová databáza).
• Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti.

Obrázok 1: Model motivačnej architektúry

Aplikované princípy informatizácie VS (v zmysle NKIVS):

Princíp P6: Bezpečnosť

• Optimálna úroveň bezpečnosti
• Včasné riešenie bezpečnosti
• Dostupnosť – odolnosť voči výpadkom

Rozsah projektu

3.3        Zainteresované strany/Stakeholderi

3.4        Ciele projektu

3.5        Merateľné ukazovatele (KPI)

3.6        Špecifikácia potrieb koncového používateľa

Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celej GPSR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

3.7        Riziká a závislosti

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTÍ.

Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.

3.8        Stanovenie alternatív v biznisovej vrstve architektúry

Nižšie sa nachádzajú alternatívy, ktoré sú následne posudzované na základne kritérií v MCA.

Alternatívy riešenia

3.9        Multikriteriálna analýza

Definovanie MCA:

Vyhodnotenie MCA

V zmysle vyhodnotenia MCA bude ďalej riešená a posudzovaná biznis alternatíva č. 3: Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti a optimálne zvýšenie úrovne kybernetickej a informačnej bezpečnosti, ktorá spĺňa všetky stanovené kritéria, ktoré majú vplyv na projekt, ako aj celkové financovanie v súlade s výzvou č. PSK-MIRRI-611-2024-DV-EFRR.

3.10     Stanovenie alternatív v aplikačnej vrstve architektúry

Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 3.

3.11     Stanovenie alternatív v technologickej vrstve architektúry

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy.

Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

4.     POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre.

Výstupy projektu

Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:

• Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.
• Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre GPSR.
• Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre GPSR.
• Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.
• Dodanie a aktualizácia bezpečnostnej dokumentácie, projektového manažmentu a riadenia.

5.     NÁHĽAD ARCHITEKTÚRY

Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na GPSR. Kybernetická bezpečnosť je z pohľadu podnikovej architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.

Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:

• Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.
• Vypracovanie bezpečnostnej stratégie kybernetickej bezpečnosti.
• Vytvorenie bezpečnostných politík kybernetickej bezpečnosti.
• Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.
• Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.

Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:

• Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení.
• Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
• Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.
• Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

5.1        Prehľad e-Government komponentov

Kapitola je spracovaná v dokumente I-03 Prístup k projektu.

6.     LEGISLATÍVA

• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.
• Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
• Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.
• Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.
• Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

Realizácia projektu nepredpokladá legislatívne zmeny.

7.     ROZPOČET A PRÍNOSY

V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).

Kvantitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie nákladov súvisiacich s odstraňovaním preventívnych kybernetických incidentov.
• Zníženie nákladov súvisiacich s odstraňovaním reaktívnych kybernetických incidentov.

Kvalitatívne prínosy v rámci navrhovaného projektu sú:

• Zníženie miery rizika vzniku kybernetického incidentu.
• Zvýšenie miery súladu s platnou legislatívou.
• Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.
• Zvýšenie detekcie kybernetických bezpečnostných incidentov.
• Zvýšená spokojnosť a dôvera používateľov.

Parametre pre účely ohodnotenia prínosov

Jednotlivé údaje sú z vybraných štatistických údajov, ak nie je uvedené inak – bližšie informácie k nižšie uvedeným parametrom a vysvetlenia k meraným procesom sú uvedené v CBA na záložke Faktory.

Hrubý domáci produkt 2023: 122 156 200 000 €

Priemerné ročné ekonomické škody kybernetických útokov v EÚ: 0,40% z HPD

Štátny rozpočet 2023: 35 040 600 000 €

Štátny rozpočet GPSR 2023: 128 200 000 €

Pomer štátneho rozpočtu k HDP (Pomer štátneho rozpočtu k HDP rámcovo vyjadruje počet informačných systémov štátnej správy k počtu informačných systémov celkovo a teda aj nižší "attack surface"): 28,69%

Priemerné ročné ekonomické škody kybernetických útokov vo verejnej správe: 140 162 400 €

Počet preventívnych incidentov 2021: 1 375

Počet reaktívnych incidentov 2021: 2 308

Počet riešených incidentov 2021 (preventívne + reaktívne): 3 683

Celkový počet incidentov 2021 (Prepočítaný celkový počet incidentov vo verejnej správe vzhľadom na odhad zachytených incidentov prostredníctvom štatistiky. Celkový počet incidentov vo verejnej správe je vyšší ako uvádza štatistika.): 9 208

Počet preventívnych incidentov 2021 prepočítaný na GPSR podľa výšky štátneho rozpočtu: 5

Počet reaktívnych incidentov 2021 prepočítaný na GPSR podľa výšky štátneho rozpočtu: 8

Odhad detekcie incidentov v súčasnom stave: 40,00%

Odhad detekcie incidentov v budúcom stave: 60,00%

Priemerná spôsobená škoda incidentu vo verejnej správe: 15 223 €

Podiel škôd, ktorým projekt zabráni pri preventívnych incidentoch: 50,00%

Podiel škôd, ktorým projekt zabráni pri reaktívnych incidentoch: 10,00%

Opis rozpočtu projektu a detailný popis nákladov

Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“ Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená cena s DPH za jednotlivé položky.

Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia GPSR:

Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu  449 814,16 EUR s DPH, ktoré sú vyčíslené  v druhom roku realizácie projektu T2. Podporné aktivity budú realizované v rozpočte projektu do maximálnej výšky 7%. Podporné aktivity budú využité maximálne do uvedeného rozpočtu na riadenie projektu a publicitu a informovanosť.

Obrázok 2: Celkové náklady na vlastníctvo v budúcom stave

7.1        Sumarizácia nákladov a prínosov

Projekt je návratný v 8 roku od začatia poskytovania služieb (T8) s dosiahnutým šetrením na úrovni 613 723  EUR za obdobie 10 rokov, ktoré sú počítané od tretieho roka od začatia realizácie.

Návratnosť projektu (T): T8

Pomer prínosov a nákladov (BCR): 1,1%

Ekonomická vnútorná výnosová miera (EIRR): 12,2%

Finančná čistá súčasná hodnota (FNPV): -433 645 EUR

Ekonomická čistá súčasná hodnota (ENPV): 114 054 EUR

Detailné informácie k TCO sú uvedené v samostatnej prílohe BC/CBA.

8.     HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

Projekt bude realizovaný metódou Waterfall v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou. 

Obrázok 3: Príklad riadenia projektu

9.     PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (ďalej len „RV“), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (ďalej len „PM“)

Určuje sa Projektový manažér verejného obstarávateľa (PM) a zostavuje sa Projektový tím v zložení:

• Kľúčový používateľ,
• Manažér kybernetickej a informačnej bezpečnosti.

Obrázok 4: Vzor organizačnej štruktúry

9.1         PRACOVNÉ NÁPLNE

RV je riadiaci orgán projektu, ktorý zodpovedá najmä za splnenie stanovených cieľov projektu, rozhoduje o zmenách, ktoré majú zásadný význam a prejavujú sa hlavne dopadom na časový harmonogram a finančné prostriedky projektu. Reprezentuje najvyššiu akceptačnú autoritu projektu. Rokovací poriadok a štatút Riadiaceho výboru projektu upravuje najmä úlohy, zloženie a pôsobnosť RV, ako aj práva a povinnosti členov RV pri riadení a realizácii predmetného projektu.

Projektový manažér riadi projekt, kvalitu a riziká projektu a zabezpečuje plnenie úloh uložených RV. Členovia projektového tímu zabezpečujú plnenie úloh uložených projektovým manažérom, alebo RV.

Ďalšie povinnosti členov RV, projektového manažéra a členov projektového tímu sú uvedené vo Vyhláške č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy a v doplňujúcich vzoroch a šablónach zverejnených na webovom sídle MIRRI SR. Podrobné pracovné náplne, povinnosti projektového tímu a ich zodpovednosti budú predmetom menovacích dekrétov.

Projektový manažér

• Zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
• Zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
• Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

Kľúčový používateľ

• Zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.
• Zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.
• Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov.

Manažér kybernetickej a informačnej bezpečnosti

• Zodpovedá za dodržanie princípov a štandardov na kybernetickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.
• Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

10. ODKAZY

N/A

11. PRÍLOHY

Príloha : Zoznam rizík a závislostí (Excel)

Koniec dokumentu