Povinná osoba

Mesto Púchov

Názov projektu

Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Púchov

Zodpovedná osoba za projekt

PhDr. Vladimíra Pazderová, PhD.

Realizátor projektu

Mesto Púchov

Vlastník projektu

Mesto Púchov

Poznámka 

Vzhľadom na zameranie projektu a jeho zverejnenie v systéme Metais táto verzia dokumentu neobsahuje zoznam najkritickejších miest resp. nálezov, ktoré tento projekt bude riešiť. Na základe vyjadrenia KIB by zverejnenie týchto informácii mohlo spôsobiť potenciálne narušenie KIB mesta ako aj schopnosti poskytovať základnú službu. 

Na vyžiadanie je dostupná plná verzia dokumentu, ktorá bude sprístupnená podľa vopred dohodnutých pravidiel relevantným subjektom a osobám. 

Položka

Meno a priezvisko

Organizácia

Pracovná pozícia

Dátum

Podpis

(alebo elektronický súhlas)

Vypracoval

PhDr. Vladimíra Pazderová, PhD.

Novo Funding

Projektový manažér

19.4.2024

Schválil

Mgr. Peter Bílik

Mesto Púchov

Zástupca primátorky mesta Púchov

29.4.2024

Schválil

Jozef Bálint

Mesto Púchov

Manažér kybernetickej bezpečnosti

29.4.2024

Verzia

Dátum

Zmeny

Meno

1.0

19.4.2024

Prvá verzia dokumentu

PhDr. Vladimíra Pazderová, PhD.

1.1

29.4.2024

Druhá verzia dokumentu /so zapracovaním pripomienok/

 PhDr. Vladimíra Pazderová, PhD.

SKRATKA/POJEM

POPIS

EOL

End of Life

KIB

Kybernetická a informačná bezpečnosť

SIEM

Security Information and Event Management

SOC

Security Operations Center

IS

Informačný systém

SLA

Service Desk Manager

SW

Softvér

MsÚ

Mestský úrad

ISVS

Informačný systém verejnej správy

MCA

Multikriteriálna analýza

PZS

Poskytovateľ základnej služby

Č.

Názov opatrenia

Popis

Výstup

Dopad/následok

1.

Dodanie a implementácia next-gen firewall technológie

Umožní pokročilé filtrovanie obsahu, riadenie prestupov medzi sieťovými segmentami a integráciu s aktuálnymi bezpečnostnými systémami

Dodanie a implementácia next-gen firewall technológie s

a.     filtrovaním obsahu na úrovni L7

b.     DLP 

c.      Radením prestupov medzi VLAN,

d.     Proxy serverom

e.     VPN serverom s MFA,

f.      Integráciou s active directory a SIEM technológiou

g.     Nastavením IPSEC tunela do NASES

h.     Kompletná konfigurácia, dokumentácia a , zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej z nedostatočnej kontroly obsahu, monitorovania a analýzy informácií (únik informácií z vnútra, bezpečnostné incidenty)

-         zníženie zraniteľnosti vyplývajúcej z potencionálnych sieťových útokov na infraštruktúru MsÚ (DDoS, password attack, spoofing, neautorizovaný prístup..)

2.

Modernizácia serverovej infraštruktúry pre virtualizované prostredie 

Výmena serverových komponentov, sieťových prvkov, centrálneho záložného zdroja UPS a zavedenie high-availability riešenia, prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

1.     Výmena hostiteľských serverov (2 ks/1-cpu 8-core, 128 GB RAM), SAN storage (iSCSI NAS + SSD -  kapacita min. 4 TB), high-availability riešenie

2.     Výmena sieťových prvkov pre iSCSI (10Gbps switch-e)

3.     Výmena centrálnej UPS

4.     Platforma pre beh VM -IS (základná služba), FW, SIEM a ďalšie technológie

5.     Kompletná konfigurácia, dokumentácia a zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej z použitia EOL zariadení (nedostatočné zabezpečenie)

-         zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby.

3.

Modernizácia zálohovacej infraštruktúry

Implementáciou pokročilých zálohovacích riešení sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru

1.     Výmena  NAS s 10Gbps, min. 20 TB čistej kapacity (RAID 6)

2.     Zálohovacie médiá pre offline zálohy (20x 2TB USB HDD)

3.     Vypracovanie plánu zálohovania, zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.)

4.

Vypracovanie a aktualizácia smerníc a plánu pre rozvoj IT

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

 Vypracovanie a aktualizácia:

1.     Stratégia kybernetickej bezpečnosti

2.     Bezpečnostná politika

3.     Smernica pre riadenie informačnej bezpečnosti

4.     Klasifikácia informácií a kategorizácia sietí a informačných systémov a riadenie aktív

5.     Smernica výkonu analýzy rizík a analýzy dopadov

6.     Smernica o bezpečnej prevádzke IS a sietí

7.     Smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov

8.     Politika BCM vrátane stratégie obnovy

9.     Bezpečnostný projekt informačného systému

10.   Vykonanie identifikácie a evidencie informačných aktív IS a sietí mesta

11.   Realizácie klasifikácie a kategorizácie nad identifikovanými aktívami

12.   Výkon analýzy rizík a analýzy dopadov

-         zníženie zraniteľnosti vyplývajúcej s nedostatočného dodržiavania opatrení v oblasti KB

5.

Vybudovanie SIEM

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

1.     Implementácia SIEM

2.     Dokumentácia a školenie

-         zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)

6.

Vykonanie auditu kybernetickej bezpečnosti

Vykonanie auditov a penetračných testov na začiatku a na konci projektu poskytne hodnotné prehľady o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

1.     Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a.     Vykonaný audit

b.     Záverečná správa o výsledkoch vykonaného auditu

-         vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti

ID

AKTÉR / STAKEHOLDER

SUBJEKT

(názov / skratka)

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

Informačný systém

(MetaIS kód a názov ISVS)

1.

Mestský úrad Púchov

Mesto Púchov

Vlastník a implementátor procesu

ISVS poskytujúce základnú službu

2.

Interní zamestnanci Mesta Púchov

Mesto Púchov

Používateľ

3.

Manažér kybernetickej bezpečnosti

Mesto Púchov

Zodpovednosť za oblasť KIB Mesta Púchov

4.

Vybrané mestské organizácie

Mesto Púchov

Používateľ

5.

Občan / podnikateľ

Používateľ

6.

Poskytovateľ IT služby

Poskytovateľ alebo konzument údajov IS Mesta Púchov v podobe dátových zdrojov  otvorených dát alebo vo forme služieb resp. rozhraní

ID

Názov cieľa

Názov strategického cieľa

Spôsob realizácie strategického cieľa

1.

Program Slovensko - Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť) 

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

Rozvoj a implementácia konkrétnych technologických a organizačných opatrení, ktoré sú zamerané na posilnenie kybernetickej odolnosti a zabezpečenie dát mesta a jeho obyvateľov.

2.

NKIVS - Strategická priorita Kybernetická a informačná bezpečnosť

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe  

Projekt zvýši mestu schopnosť včasnej identifikácie kybernetických incidentov prostredníctvom implementácie systému SIEM pre real-time analýzu a monitorovanie bezpečnostných udalostí.

3.

Národná stratégia kybernetickej bezpečnosti - Strategický ciel Kybernetická bezpečnosť ako základná súčasť verejnej správy

Kybernetická bezpečnosť ako základná súčasť verejnej správy

Výsledkom projektu bude zvýšenie ochrany prevádzkovateľa základných služieb mesta z hľadiska kybernetickej bezpečnosti. Toto bude preukázané aj auditom na konci projektu ktorý preukáže pozitívny trend zlepšovania stavu kybernetickej bezpečnosti v meste.

ID

ID/Názov cieľa

Názov
ukazovateľa (KPI)

Popis
ukazovateľa

Merná jednotka
 

AS IS
merateľné hodnoty
(aktuálne)

TO BE
Merateľné hodnoty
(cieľové hodnoty)

Spôsob ich merania

Pozn.

1

PO095 / PSKPSOI12

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

verejné inštitúcie

0

1 verejná inštitúcia - Mesto Púchov

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

 Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

Typ ukazovateľa: Výstup

2

PR017 / PSKPRCR11

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

Počet používateľov nových vylepšených verejných digitálnych služieb, produktov a procesov

Používatelia/rok

0

102 používateľov - počet zamestnancov

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov v IAM, Databázou používateľov v oblasti KIB.

V prípade Mesta Púchov ide o počet zamestnancov, ktorí využívajú IS Mesta alebo akékoľvek elektronické zariadenia v správe mesta.

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

Typ ukazovateľa: Výsledok

Alternatíva

Stručný popis

Výhody

Nevýhody

Alternatíva 1: Realizácia projektu v plnej miere

Kompletná realizácia všetkých naplánovaných opatrení na modernizáciu IT infraštruktúry a implementáciu bezpečnostných technológií, vrátane auditov a penetračných testov. Cieľom je dosiahnuť maximálnu možnú úroveň kybernetickej a informačnej bezpečnosti a zabezpečiť celkovú odolnosť mesta proti kybernetickým hrozbám, ochranu citlivých dát a kontinuitu kritických služieb. Táto alternatíva predstavuje najkomplexnejšie riešenie, ktoré ponúka najvyššie zabezpečenie a zodpovedá aktuálnym a predpokladaným potrebám mesta. 

1.     Komplexné riešenie, ktoré adresuje všetky identifikované bezpečnostné hrozby a nedostatky.

2.     Maximálna možná úroveň ochrany citlivých dát a IT infraštruktúry.

3.     Zvýšenie odolnosti mesta proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

4.     Lepšia pripravenosť mesta vzhľadom na budúce technologické a bezpečnostné výzvy.

1.     Potenciálne vysoké počiatočné náklady na implementáciu všetkých plánovaných opatrení.

2.     Vyžaduje si rozsiahle zdroje a značné úsilie pri implementácii a školení zamestnancov.

Alternatíva 2: Čiastočná implementácia projektu 

Realizácia len vybraných opatrení z celkového plánu, s dôrazom na najkritickejšie aspekty infraštruktúry a bezpečnosti. Takéto čiastočné riešenia by mohli zlepšiť súčasný stav, ale neponúkajú komplexné zabezpečenie a nezabezpečujú všetky identifikované potreby a riziká. Táto alternatíva by mohla viesť k nedostatočnej ochrane proti niektorým druhom hrozieb a k obmedzenej schopnosti reagovať na incidenty, čo by mohlo mať za následok vyššie dlhodobé náklady a riziká. 

1.     Riešenie, ktoré adresuje vybrané identifikované bezpečnostné hrozby a nedostatky.

2.     Čiastočné zvýšenie úrovne ochrany citlivých dát a IT infraštruktúry.

3.     Čiastočné  zvýšenie odolnosti mesta proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

4.     Čiastočné zlepšenie pripravenosti mesta vzhľadom na budúce technologické a bezpečnostné výzvy.

1.     Nezabezpečuje komplexnú ochranu pred všetkými potenciálnymi hrozbami.

2.     Môže vytvárať bezpečnostné medzery v dôsledku neúplného pokrytia rizík.

3.     Vyššie dlhodobé náklady a riziká v dôsledku potenciálne potrebných dodatočných zásahov.

Alternatíva 3: Udržiavanie súčasného stavu 

Táto alternatíva predstavuje možnosť neuskutočniť žiadne zmeny a ponechať IT infraštruktúru a bezpečnostné opatrenia mesta v súčasnom stave. Tento prístup by znamenal výrazné riziká, keďže by sa neadresovali identifikované problémy a nedostatky v kybernetickej a informačnej bezpečnosti. Udržiavanie súčasného stavu by mohlo viesť k vážnym bezpečnostným incidentom, stratám dát a výpadkom kritických služieb, čo by malo negatívny dopad na obyvateľov mesta a mohlo by viesť k vysokým finančným a reputačným stratám.

1.     Žiadne počiatočné náklady spojené s implementáciou nových systémov alebo procesov.

2.     Vyhneme sa zložitosti spojenej s plánovaním a realizáciou projektu.

1.     Vysoké riziko bezpečnostných incidentov v dôsledku neadresovania existujúcich a budúcich hrozieb.

2.     Potenciálne fatálne následky v prípade bezpečnostného incidentu vrátane straty dát, financií a dôvery verejnosti.

3.     Nedostatočná príprava na budúce technologické a bezpečnostné výzvy, čo môže viesť k dlhodobým stratám a zvýšeným nákladom na nápravu.

Kritérium (KO = kľúčové kritérium)

ZDÔVODNENIE KRITÉRIA

Mesto

Obyvatelia

IT Oddelenie

Komplexnosť riešenia (KO)

Projekt by mal adresovať všetky identifikované bezpečnostné hrozby a nedostatky.

X

X

X

Udržateľnosť riešenia (KO)

Riešenie musí byť udržateľné a schopné adaptácie na budúce zmeny a hrozby.

X

X

Nákladová efektívnosť

Projekt by mal byť nákladovo efektívny pri zohľadnení dlhodobých výhod a rizík.

X

X

Zvýšenie kybernetickej odolnosti

Projekt by mal významne zvýšiť kybernetickú odolnosť mesta.

X

X

X

Minimálne narušenie existujúcich procesov

Projekt by mal minimalizovať narušenie existujúcich biznis procesov.

X

Zoznam kritérií

Alternatíva 1: Realizácia projektu v plnej miere

Spôsob

dosiahnutia

Alternatíva 2: Čiastočná implementácia projektu 

Spôsob

dosiahnutia

Alternatíva 3: Udržiavanie súčasného stavu 

Spôsob

dosiahnutia

Komplexnosť riešenia (KO)

áno

Plná implementácia zabezpečí komplexné riešenie všetkých identifikovaných problémov.

nie

nie

Udržateľnosť riešenia (KO)

áno

Riešenie je navrhnuté tak, aby bolo udržateľné a adaptabilné na budúce zmeny.

nie

nie

Nákladová efektívnosť

áno

Optimalizácia nákladov prostredníctvom efektívneho využívania zdrojov.

áno

Menej nákladové, ale aj menej efektívne.

nie

Zvýšenie kybernetickej odolnosti

áno

Komplexné bezpečnostné opatrenia zvyšujú celkovú odolnosť.

nie

nie

Minimálne narušenie existujúcich procesov

áno

Navrhnuté tak, aby minimalizovalo narušenie.

nie

nie

Alternatíva

Nutné moduly

Preferované moduly

Alternatíva 1: Realizácia projektu v plnej miere

·          Plná implementácia SIEM systému so všetkými funkčnosťami pre detekciu, analýzu a reakciu na bezpečnostné incidenty.

·          Plná implementácia next-gen firewall technológie.

·          Rozsiahla modernizácia serverovej a zálohovej infraštruktúry.

·          Rozšírené analytické a prediktívne schopnosti SIEM systému. .

·          Využitie cloudových technológií pre zvýšenie flexibility a škálovateľnosti IT infraštruktúry

·          Integrácia FW s active directory a SIEM technológiou.

Alternatíva 2: Čiastočná implementácia projektu 

·          Základná implementácia SIEM systému s obmedzenými analytickými schopnosťami.

·          Obmedzený FW systém, ktorý pokrýva len niektoré časti toku dát v sieti.

·          Obmedzená modernizácia serverovej a zálohovej infraštruktúry.

Preferované moduly alternatívy 2 sú v časti nutné moduly alternatívy 1.

Alternatíva 3: Udržiavanie súčasného stavu 

Žiadne nové implementácie, udržiavanie existujúcich systémov a infraštruktúry bez zmien.

Neaplikuje sa, keďže žiadne nové moduly ani funkcionality nebudú pridané

Č.

Názov opatrenia

Popis

Výstup

Dopad/následok

1.

Dodanie a implementácia next-gen firewall technológie

Umožní pokročilé filtrovanie obsahu, riadenie prestupov medzi sieťovými segmentami a integráciu s aktuálnymi bezpečnostnými systémami

Dodanie a implementácia next-gen firewall technológie s

i.      filtrovaním obsahu na úrovni L7

j.      DLP 

k.     Radením prestupov medzi VLAN,

l.      Proxy serverom

m.    VPN serverom s MFA,

n.     Integráciou s active directory a SIEM technológiou

o.     Nastavením IPSEC tunela do NASES

p.     Kompletná konfigurácia, dokumentácia a , zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej z nedostatočnej kontroly obsahu, monitorovania a analýzy informácií (únik informácií z vnútra, bezpečnostné incidenty)

-         zníženie zraniteľnosti vyplývajúcej z potencionálnych sieťových útokov na infraštruktúru MsÚ (DDoS, password attack, spoofing, neautorizovaný prístup..)

2.

Modernizácia serverovej infraštruktúry pre virtualizované prostredie 

Výmena serverových komponentov, sieťových prvkov, centrálneho záložného zdroja UPS a zavedenie high-availability riešenia, prispeje k zníženiu rizika nízkej dostupnosti poskytovania základnej služby a zraniteľnosti spojenej s používaním zastaraných zariadení.

6.     Výmena hostiteľských serverov (2 ks/1-cpu 8-core, 128 GB RAM), SAN storage (iSCSI NAS + SSD -  kapacita min. 4 TB), high-availability riešenie

7.     Výmena sieťových prvkov pre iSCSI (10Gbps switch-e)

8.     Výmena centrálnej UPS

9.     Platforma pre beh VM -IS (základná služba), FW, SIEM a ďalšie technológie

10.   Kompletná konfigurácia, dokumentácia a zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej z použitia EOL zariadení (nedostatočné zabezpečenie)

-         zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby.

3.

Modernizácia zálohovacej infraštruktúry

Implementáciou pokročilých zálohovacích riešení sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru

4.     Výmena  NAS s 10Gbps, min. 20 TB čistej kapacity (RAID 6)

5.     Zálohovacie médiá pre offline zálohy (20x 2TB USB HDD)

6.     Vypracovanie plánu zálohovania, zaškolenie IT pracovníkov

-         zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.)

4.

Vypracovanie a aktualizácia smerníc a plánu pre rozvoj IT

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

 Vypracovanie a aktualizácia:

13.   Stratégia kybernetickej bezpečnosti

14.   Bezpečnostná politika

15.   Smernica pre riadenie informačnej bezpečnosti

16.   Klasifikácia informácií a kategorizácia sietí a informačných systémov a riadenie aktív

17.   Smernica výkonu analýzy rizík a analýzy dopadov

18.   Smernica o bezpečnej prevádzke IS a sietí

19.   Smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov

20.   Politika BCM vrátane stratégie obnovy

21.   Bezpečnostný projekt informačného systému

22.   Vykonanie identifikácie a evidencie informačných aktív IS a sietí mesta

23.   Realizácie klasifikácie a kategorizácie nad identifikovanými aktívami

24.   Výkon analýzy rizík a analýzy dopadov

-         zníženie zraniteľnosti vyplývajúcej s nedostatočného dodržiavania opatrení v oblasti KB

5.

Vybudovanie SIEM

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

3.     Implementácia SIEM

4.     Dokumentácia a školenie

-         zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)

6.

Vykonanie auditu kybernetickej bezpečnosti

Vykonanie auditov na konci projektu poskytne hodnotné prehľady o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

2.     Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a.     Vykonaný audit

b.     Záverečná správa o výsledkoch vykonaného auditu

-         vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti

Etapy

Požadované výstupy

Analýza a dizajn

·          Projektový iniciálny dokument (PID)

·          Akceptačné kritériá

·          Detailný návrh riešenia (DNR)

o    Zámer riešenia, analýza požiadaviek, používateľský prieskum a motivačná architektúra

o    Popis postupu analýzy a návrhu riešenia

o    Biznis architektúra

o    Dátová architektúra

o    Aplikačná architektúra

o    Technologická architektúra

o    Softvérové licencie a zdrojové kódy

o    Požiadavky na úrovne služieb (SLA) a výkonnosť

o    Zabezpečenie dostupnosti, zálohovanie a obnova riešenia

o    Bezpečnosť – riešenie požiadaviek na bezpečnosť

o    Migrácia dát

o    Harmonogram realizácie a nasadenia, závislosti

·          Plán a stratégia testovania

o    Testovacie prípady (UC/TC)

o    Testovacie prostredia

o    Testovacie dáta

o    Defekt manažment, monitoring a reporting testov

Implementácia a testovanie

·          Vývoj, migrácia údajov a integrácia

·          Testovanie

o    Funkčné testovanie (FAT)

o    Systémové a integračné testovanie (SIT)

o    Záťažové a výkonnostné testovanie voliteľné

o    Bezpečnostné testovanie (SW/HW a kybernetická bezpečnosť)

o    Používateľské testy funkčného používateľského rozhrania (UX)

o    Používateľské akceptačné testovanie (UAT)

·          Školenia personálu

·          Dokumentácia

o    Aplikačná príručka

o    Integračná príručka

o    Používateľská príručka 

o    Zdrojové kódy a licencie

o    Inštalačná a konfiguračná príručka

o    Prevádzkový opis a pokyny pre diagnostiku, servis a údržbu

o    Pokyny na obnovu pri výpadku alebo havárii (Havarijný plán)

o    Bezpečnostný projekt voliteľné

o    Údaje o monitorovaní úrovne poskytovaných služieb (SLA) aktív IT

Nasadenie a postimplementačná podpora

·          Nasadenie do produkčnej prevádzky (vyhodnotenie)

·          Akceptácia spustenia do produkčnej prevádzky (vyhodnotenie)

Dokončovacia fáza

·          Manažérske správy, plány, reporty, zoznamy, odporúčania a požiadavky:

o    Správa o dokončení projektu (etapy/fázy)

o    Plán kontroly po odovzdaní projektu

o    Odporúčanie nadväzných krokov

o    Plán monitorovania a hodnotenia po odovzdaní projektu

PRÍRUČKY PROGRAMU SLOVENSKO

Príručka pre žiadateľa

Príručka pre prijímateľa (vrátane jej príloh)

Príručka k oprávnenosti výdavkov (vrátane jej príloh)

Komunikačná stratégia Program Slovensko programové obdobie 2021-2027 (vrátane jej príloh)

Všeobecná informácia k predkladaniu a schvaľovaniu ŽoNFP

Dizajn manuál Programu Slovenso (vrátane jej príloh)

Vzor Zmluvy o poskytnutí NFP

Príručka pre žiadateľov/prijímateľov k procesu a kontrole verejného obstarávania/obstarávania

ŠTANDARDY pre eGOVERNMENT

Zákon č. 95/2019 Z.z. o ITVS

Zákon č. 305/2013 Z.z. o eGovernmente a o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci

Zákon č. 177/2018 Z.z. proti byrokracii a o niektorých opatreniach na znižovanie administratívnej záťaže využívaním ISVS

Zákon č. 18/2018 Z.z. o ochrane osobných údajov

Vyhláška č. 85/2020 Z.z. o riadení IT projektov

Vyhláška č. 78/2020 Z.z. o štandardoch pre ITVS

Vyhláška č. 438/2019 Z.z. o výkone ustanovení zákona o e-Governmente (eDesk modul)

Vyhláška č. 331/2018 Z.z. o zaručenej konverzii

Vyhláška č. 29/2017 Z.z. o alternatívnom autentifikátore

Vyhláška č. 85/2018 Z.z. o spôsobe vyhotovenia listinného rovnopisu elektronického úradného dokumentu

Vyhláška č. 25/2014 Z.z. o IOM

Metodické usmernenie nariadeniu (GDPR) k spracúvaniu osobných údajov (prostredníctvom web stránok) v súlade s požiadavkami Nariadenia Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

Štandardné zmluvné doložky pre sprostredkovateľov (UOOU)

ŠTANDARDY pre KYBERNETICKÚ a INFORMAČNÚ BEZPEČNOSŤ

Zákon č. 69/2018 Z.z. o Kybernetickej bezpečnosti

Zákon č. 45/2011 Z.z. o Kritickej infraštruktúre

Zákon č. 351/2011 Z.z. o elektronických komunikáciách (ochrana súkromia a osobných údajov, ochrana sietí a zariadení)

Zákon č. 272/2016 Z.z. o dôveryhodných službách (elektronický podpis) a o dôveryhodných službách pre elektronické transakcie na vnútornom trhum (EiDAS)

Trestný zákon č. 300/2005 Z.z. (trestné činy páchané pomocou elektronických prostriedkov a v elektronickom prostredí)

Vyhláška č. 179/2020 Z.z. k spôsobom kategorizácie a obsahu bezpečnostných opatrení ITVS

Metodika pre Systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (CSIRT)

Smernica č. 7/2019 o riešení Bezpečnostných incidentov Vládnou jednotkou CSIRT

Vyhláška NBU č. 166/2018 Z.z., o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov 

Vyhláška NBU č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)

Vyhláška NBU č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení 

Vyhláška NBU č. 436/2019 Z.z., o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

ŠTANDARDY pre VLÁDNY CLOUD

Katalóg služieb a požiadavky na realizáciu služieb Vládneho Cloudu

Metodické usmernenie pre proces zaradenia cloudovej služby do katalógu č. 4542/2019/oSAEG-1

Usmernenie na aktualizáciu plánu migrácie IKT rezortu do dátového centra štátu

ŠTANDARDY pre RIADENIE PROJEKTU a PROGRAMU

Metodický pokyn k spracovaniu:
_Štúdie uskutočniteľnost (ŠÚ)
_Finančnej analýzy projektu
_Analýzy nákladov a prínosov projektu (CBA)
_Finančnej analýzy žiadateľa o NFP
_Celkových nákladov na vlastníctvo v programovom období 2014 – 2020

Metodický pokyn UPVII č. 3425/2019/oPK-1 na rozpočtovanie nákupu IT v rámci medzirezortného programu 0EK Informačné technológie financované zo štátneho rozpočtu

Metodické usmernenie o postupe pri príprave investícií a koncesií podliehajúcich hodnoteniu MFSR

Rámec na hodnotenie verejných investičných projektov v SR

Použivatelská priručka MetaIS

Použivatelská príručka MetaIS Confluence

Informatizácia 2.0 - revízia výdavkov

ŠTANDARDY pre RIADENIE ARCHITEKTÚRY

Používateľská príručka MetaIS č. 3642/2018/oSAEG-1

Metodický pokyn ÚPVII č. 514/2017-313 z 10.1.2017 na aktualizáciu obsahu centrálneho metainformačného systému verejnej správy povinnými osobami v znení neskorších predpisov

Metodické usmernenie č. 5651/2019/oSAEG-1 z 20.09.2019 na odpočet plnenia NKIVS orgánmi riadenia

Pravidlá publikovania elektronických služieb do multikanálového prostredia verejnej správy (Číslo: 3204/2018/oAeG-1)

ŠTANDARDY pre KVALITU ÚDAJOV

Zákon č. 305/2013 Z.z. o eGovernmente (§52) - povinnosť referencovania sa a využívať referenčné údaje.

Zákon č. 305/2013 Z.z. o eGovernmente (§10) - povinnosť využívať „Modul procesnej integrácie a integrácie údajov (jeho časti IS CSRÚ)“ a realizovať integráciu údajov, synchronizáciu údajov pri referencovaní a pri výmene údajov s referenčnými registrami a základnými číselníkmi.

Metodické umernenie o postupe zaraďovania referenčných údajov do zoznamu referenčných údajov vo väzbe na referenčné registre  (č. 3639/2019/oDK-1)

Metodické usmernenie č. 1/2019 k zálohovaniu údajov v databázach domén, registrátorov a kontaktov súvisiacich so správou domén najvyššej úrovne

Postup pripojenia OVM v roli konzumenta údajov do IS CSRÚ

ŠTANDARDY pre DIZAJN a OPTIMALIZACIU PROCESOV a ŽIVOTNÝCH SITUÁCII

Metodika Používateľské princípy pre návrh a rozvoj elektronických služieb verejnej správy

Metodika optimalizácie procesov verejnej správy (najmä postupovať podľa bodu 3.5 b) pri vytváraní Procesnej analýzy) a v súlade s Metodikou optimalizácie procesov – konvenciami modelovania (aktualizovať diagramy životných situácií a karty životných situácií vedených na MVSR, ak Dielo ovplyvní výkon procesov životnej situácie)

Metodika merania výkonnosti procesov prostredníctvom KPI (dodať funkcionalitu exportu dát z Diela a meriania výkonnosti procesov)

Metodika merania nákladovosti TB-ABC

Metodika identifikácie, vizualizácie a referencovania údajov pri dátovom modelovaní vo verejnej správe

ŠTANDARDY pre UX

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy

Metodické usmernenie UVSR č. 002089/2018/oLŠISVS-7 zo dňa 11.05.2018

Metodické usmernenie pre tvorbu používateľsky kvalitných elektronických služieb verejnej správy (Číslo spisu v DKS: 004307/2019/oBI)

ŠTANDARDY RIADENIA KVALITY

Metodika riadenia QAMPR 

Riadenie kvality podľa Smernice STN EN ISO 9001: 2016

ŠTANDARDY pre LICENCIE

Uznesenia vlády č. 286/2019 o povinnosti prednostne pristupovať k platným a účinným centrálnym IKT zmluvám

Metodický pokyn k zabezpečeniu centrálneho nákupu produktov a služieb spoločnosti ORACLE v rámci Centrálnej rámcovej dohody na poskytovanie licencií a produktov ORACLE a služieb s nimi súvisiacich

ŠTANDARDY OBSTARAVANIA

Zákon č.343/2015 Z.z. o verejnom obstarávaní

Koncepcia nákupu IT vo verejnej správe (v kontexte rokovania o licencnych pravach k zdrojovemu kodu)

OSTATNÉ ŠTANDARDY

Zákon č. 211/2000 Z.z. o slobodnom prístupe k informáciám

Zákon č. 315/2016 Z.z. o registri partnerov verejného sektora

ID

FÁZA/AKTIVITA

ZAČIATOK

(odhad termínu)

KONIEC

(odhad termínu)

1.

Prípravná fáza a Iniciačná fáza

04/2024

12/2024

2.

Realizačná fáza

01/2025

12/2025

3.

Dokončovacia fáza

12/2025

12/2025

4.

Podpora prevádzky (SLA)

01/2026

12/2030

Názov výdavku

MJ

Jednotková cena bez DPH (v EUR)

Počet jednotiek

Spolu s DPH (v EUR)

Kľúčový používateľ

HOD

                       15,28 €

1957,5

         29 910,60 €

Biznis vlastník

HOD

                       33,74 €

530

         17 882,20 €

Manažér kybernetickej bezpečnosti

HOD

                       33,74 €

530

         17 882,20 €

IT Analytik

HOD

                       33,74 €

530

         17 882,20 €

Next-gen firewall

projekt

                33 033,33 €

1

         39 640,00 €

Serverová infraštruktúra

projekt

             109 333,33 €

1

      131 200,00 €

Sieťové úložisko NAS

projekt

                  9 836,33 €

1

         11 803,60 €

Vypracovanie a aktualizácia smerníc a plánu pre

rozvoj IT

projekt

                34 800,00 €

1

         41 760,00 €

SIEM  /Security Incident and Event Management/

projekt

                67 830,00 €

1

         81 396,00 €

Audit kybernetickej bezpečnosti

projekt

                  7 400,00 €

1

            8 880,00 €

Paušálna sadzba

projekt

                23 229,33 €

1,00

         27 875,20 €

Celková suma

426 111,98 €

ID

Meno a Priezvisko

Pozícia

Oddelenie

Rola v projekte

1.

Mgr. Juraj Škripec

Právnik

Právno-organizačné oddelenie

Kľúčový používateľ

2.

Ing. Martina Juríková

správca počítačovej siete - informatik

Kancelária prednostu

IT analytik

3.

Bude doplnené

Bude doplnené

Bude doplnené

4.

JUDr. Iveta Brindzová

Prednostka MsÚ

Mesto Púchov

Biznis vlastník

5.

Ing. Branislav Zríny

Externý IT konzultant

Mesto Púchov

Manažér kybernetickej a informačnej bezpečnosti

6.

PhDr. Vladimíra Pazderová, PhD.

Projektový manažér

Externý dodávateľ

Projektový manažér

Projektová rola:

KĽUČOVÝ POUŽIVATEĽ

Stručný popis:

·          zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

·          zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

·          Kľúčový používateľ navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

Detailný popis rozsahu zodpovednosti, povinností a kompetencií

Zodpovedný za:

·          Návrh a špecifikáciu funkčných a technických požiadaviek

·          Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

·          Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

·          Špecifikáciu požiadaviek koncových používateľov na prínos systému

·         Špecifikáciu požiadaviek na bezpečnosť, 

·          Návrh a definovanie akceptačných kritérií,

·          Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

·          Finálne odsúhlasenie používateľského rozhrania

·          Vykonanie akceptačného testovania (UAT)

·          Finálne odsúhlasenie a  akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

·         Finálny návrh na spustenie do produkčnej prevádzky, 

·          Predkladanie požiadaviek na zmenu funkcionalít produktov

·          Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

·          Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

Projektová rola:

IT ANALYTIK

Stručný popis:

·          zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

·          analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

·          Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

·          Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

·          Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

Detailný popis rozsahu zodpovednosti, povinností a kompetencií

Zodpovedný za:

·          Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

·          Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

·          Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

·          Mapovanie požiadaviek do návrhu funkčných riešení.

·          Návrh a správa katalóg požiadaviek  - registra požiadaviek riešenia

·          Analýza funkčných a nefunkčných požiadaviek,

·          Návrh fyzického a logického modelu,

·          Návrh testovacích scenárov,

·          V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

·          Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

·          Definovanie akceptačných kritérií v projekte

·          Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

·          Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

·          Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

·          Rieši požiadavky používateľov a konflikty iných priorít

·          Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

·          Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

·          Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

Projektová rola:

BIZNIS VLASTNÍK

Stručný popis:

·          zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

·          zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje  akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

Detailný popis rozsahu zodpovednosti, povinností a kompetencií

Zodpovedný za:

·          Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

·          Spoluprácu pri riešení odpovedí na otvorené otázky  a riziká projektu.

·          Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

·          Riešenie problémov a požiadaviek  v spolupráci s odbornými garantmi,

·          Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

·          Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

·          Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

·          Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

·          Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

·          Schválenie akceptačných kritérií,

·          Riešenie problémov používateľov

·          Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

·          Vykonanie UX a UAT testovania

·          Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

·          Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

·          Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

·          Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

·          Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

·          Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

·          Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

·          Odsúhlasenie akceptačných protokolov zmenových konaní

·          Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

·          plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

Projektová rola:

MANAŽER KYBERNETICKEJ BEZPEČNOSTI

Stručný popis:

·          zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

·          koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KYBERNETICKEJ BEZPEČNOSTI:

1)   neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

2)   rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

a)     § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

b)     ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

Detailný popis rozsahu zodpovednosti, povinností a kompetencií

Zodpovedný za:

·       špecifikovanie štandardov, princípov a stratégií v oblasti KIB,

·       ak je projekt primárne zameraný na problematiku KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na KIB,

·       špecifikovanie požiadaviek na KIB, kontroluje ich implementáciu v realizovanom projekte,

·       špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

·       špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť KIB,

·       špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

·       špecifikovanie požiadaviek na školenia pre oblasť KIB,

·       špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť KIB,

·       špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na KIB,

·       realizáciu posúdenie požiadaviek agendy KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

·       špecifikovanie požiadaviek na KIB, bezpečnostný projekt a riadenie prístupu,

·       špecifikovanie požiadaviek na testovanie z hľadiska KIB, realizáciu kontroly zapracovania a retestu,

·       špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť KIB, ako aj v zmysle "best practies",

·       špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s KIB kontroluje ich implementáciu v realizovanom projekte,

·       špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

·       špecifikáciu požiadaviek na bezpečnosť KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

·       špecifikáciu akceptačných kritérií za oblasť KIB,

·       špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na KIB,

·       poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť KIB,

·       získavanie informácií nutných pre plnenie úloh v oblasti KIB,

·       špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť KIB,

·       konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska KIB,

·       špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť KIB,

·       realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť KIB

·       realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

·       realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

·       realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB,

·       realizáciu kontroly zameranú na implementovaný proces v priamom súvise s KIB,

·       realizáciu kontroly súladu s planou legislatívou v oblasti KIB (obsahuje aj kontrolu leg. požiadaviek)

·       realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

·       poskytovanie konzultácií a súčinnosti pre problematiku KIB,

·       získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti KIB,

·       aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

·       plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

Projektová rola:

PROJEKTOVÝ MANAŽÉR

Stručný popis:

·          zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

·          zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

·         zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

Detailný popis rozsahu zodpovednosti, povinností a kompetencií

Zodpovedný za:

·          Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

·          Riadenie prípravy, inicializácie a realizácie projektu

·          Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

·          Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

·          Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

·          Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

·          Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

·          Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

·          Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

·          Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

·          Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

·          Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

·          Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

·          Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

·          Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

·          Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

·          Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

·          Riadenie implementačných a prevádzkových aktivít v rámci projektov.

·          Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

·          Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

·          Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

·          Dodržiavanie metodík projektového riadenia,

·          Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

·          Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr