projekt_2541_Projektovy_zamer_detailny

= {{id name="projekt_2541_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

125

126

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2541_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

(% class="" %)|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

(% class="" %)|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

155

156

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

(% class="" %)|(((

Core

)))|(((

Next Generation Firewall

)))

(% class="" %)|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

(% class="" %)|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

(% class="" %)|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

(% class="" %)|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

(% class="" %)|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

(% class="" %)|(((

Log

)))|(((

Záznam činnosti

)))

(% class="" %)|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

(% class="" %)|(((

PZS

)))|(((

Poskytovateľ základnej služby – Mesto Kolárovo

)))

(% class="" %)|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

(% class="" %)|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

(% class="" %)|(((

sw

)))|(((

Softvér

)))

(% class="" %)|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

(% class="" %)|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

(% class="" %)|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

(% class="" %)|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

== {{id name="projekt_2541_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek(príklady)"/}}Konvencie pre typy požiadaviek (príklady) ==

N/A

**// //**

**

**

= {{id name="projekt_2541_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

261

262

**Manažérske zhrnutie**

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Kolárovo“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v meste Kolárovo a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

**Tab.č.1** Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]])

(% class="" %)|(((

**Základná služba**

)))|(((

**IČO**

)))|(((

**Prevádzkovateľ základnej služby**

)))|(((

**Sektor**

)))|(((

**Podsektor**

)))|(((

**Ústredný orgán**

)))

(% class="" %)|(((

Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

)))|(((

306517

)))|(((

Mesto Kolárovo

)))|(((

Verejná správa

)))|(((

Informačné systémy verejnej správy

295

)))|(((

296

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.

302

303

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení samohodnotenia kybernetickej bezpečnosti realizovaného v Meste Kolárovo v roku 2024.

Predmetom projektu je:

308

309

* Tvorba bezpečnostnej dokumentácie a metodiky - vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení,

310

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,

311

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

Po implementácii projektu bude mesto pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

316

317

Mesto v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

318

319

Hlavnými beneficientom projektu je MsÚ Kolárovo a jeho jednotliví pracovníci, resp. užívatelia informačných systémov mesta. Nepriamym beneficientom sú obyvatelia mesta a subjekty komunikujúce s MsÚ. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod úradu a poskytovanie služieb občanom a podnikateľom.

Predpokladaný rozpočet projektu: **334 139,54 EUR**

\\

**~ **

== {{id name="projekt_2541_Projektovy_zamer_detailny-Motiváciaarozsahprojektu"/}}Motivácia a rozsah projektu ==

330

331

Mesto Kolárovo je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

332

333

Mesto v roku 2024 realizovalo „Samohodnotenie stave kybernetickej bezpečnosti“. Predmetom samohodnotenia bolo posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

334

335

Samohodnotením sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

336

337

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného samohodnotenia.

338

339

V zmysle výsledkov samohodnotenia kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení nedostatočná, resp. len čiastočne splnená. Mesto vykonáva vybrané procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

\\

**Hlavné zistenia:**

* Chýbajúca dokumentácia a interné smernice a postupy v zmysle zákona o KB,

346

* Nedostatočná identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu,

347

* Nepostačujúce riadenie rizík, chýbajúce identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík,

348

* Nedostatočné postupy pri zaradení osoby do niektorých z bezpečnostných rolí, nedostatočný plán rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia,

349

* Nedostatočne zavedené opatrenia v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácie zariadení v sieťach a informačných systémoch,

350

* Nenasadené technické riešenie podporujúce riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení,

351

* Chýbajúce nástroje na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementáciu segmentácie sietí,

352

* Nedostatočne zavedené bezpečnostné opatrenia na bezpečné mobilné pripojenie do siete a vzdialený prístup,

353

* Neaktualizovaná dokumentácia počítačovej siete s evidenciou všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov,

354

* Chýbajúce centrálny Log manažment systém pre zber a ukladanie logov z jednotlivých informačných systémov,

355

* Nenasadený centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov,

356

* Nedostatočne vypracované plány kontinuity prevádzky.

\\

**~ Realizované činnosti v rámci projektu**

361

362

V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024 a sú delené do troch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.

363

364

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

365

366

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

367

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

368

* vypracovanie štatútu bezpečnostného výboru;

369

* Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

370

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

371

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

372

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

373

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, zaznamenávania bezpečnostných záznamov a zaznamenávania a vyhodnocovania prevádzkových záznamov;

374

* implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;

375

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;

376

* Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

377

* zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup,

378

* vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;

379

* realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

380

* Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

381

* implementácia centrálneho nástroja na zaznamenávanie činností sietí, informačných systémov, používateľov a identifikovanie bezpečnostných incidentov;

382

* vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

383

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;

384

* vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

385

* implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

386

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

387

* vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

388

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

389

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

390

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

391

* vypracovanie postupov zálohovania a postupov na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

392

* implementácia systému zálohovania.

\\

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

397

398

**Tvorba bezpečnostnej dokumentácie a metodiky (1)**

399

400

Potreba aktualizácie vyplýva z výsledkov samohodnotenia kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba vypracovania bezpečnostnej dokumentácie kybernetickej bezpečnosti.

401

402

Jedná sa o vypracovanie kompletnej dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

403

404

**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

405

406

=== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ===

407

408

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===

409

410

Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.

411

412

V rámci oblasti „Bezpečnosť pri prevádzke informačných systémov a sietí“ bude nástroj pokrývať oblasť zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

413

414

Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov. V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===

419

420

Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.

\\

**Prevádzkový monitoring**

425

426

Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel.

\\

**Aktualizácia / upgrade sieťovej vrstvy**

431

432

Vykonané samohodnotenie konštatovalo skutočnosť, že mesto nemá vytvorenú bezpečnostná segmentácia siete a navrhuje vytvoriť bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného samohodnotenia. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

\\

**Aktualizácia / upgrade serverovej infraštruktúry**

437

438

Vykonané samohodnotenie konštatuje morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

\\

Podrobný popis vrátane špecifikácie je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

443

444

**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

**~ **

**~ **

**~ **

**~ **

**~ **

\\

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného samohodnotenia, príp. auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

== {{id name="projekt_2541_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Mesto Kolárovo

)))|(((

Mesto Kolárovo

)))|(((

Vlastník procesu

)))|(((

Integrovaný informačný systém Datalan Korwin

501

502

Registratúrna kniha Memphis

503

504

Webové sídlo [[www.kolarovo.sk>>url:http://www.kolarovo.sk||shape="rect"]]

)))

(% class="" %)|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Garant eGovernmentu

)))|(((

-

)))

\\

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

530

)))|(((

531

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

537

)))|(((

538

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

539

)))|(((

540

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

541

542

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte

)))

(% class="" %)|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

\\

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)

552

)))|(((

553

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

554

555

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte.

)))

**~ **

== {{id name="projekt_2541_Projektovy_zamer_detailny-Merateľnéukazovatele(KPI)"/}}Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

MU_01

)))|(((

C_01

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

596

)))|(((

597

Merateľný ukazovateľ výstupu

598

599

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

)))|(((

počet

)))|(((

0

)))|(((

1

)))|(((

V čase ukončenia projektu pri prevzatí výstupov projektu

608

)))|(((

609

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: Mesto Kolárovo

)))

(% class="" %)|(((

MU_02

)))|(((

C_01

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

// //

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|(((

počet

)))|(((

0

)))|(((

10 591

\\

(zdroj: Štatistický úrad SR)

633

)))|(((

634

V čase udržateľnosti projektu, podľa aktuálneho počtu obyvateľov.

635

)))|(((

636

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: obyvatelia mesta Kolárovo

)))

\\

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Špecifikáciapotriebkoncovéhopoužívateľa"/}}Špecifikácia potrieb koncového používateľa ==

\\

Z hľadiska projektu je koncovým používateľom Mesto Kolárovo, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky samohodnotenia kybernetickej bezpečnosti realizovaného v roku 2024, resp. jeho hlavné zistenia.

\\

Hlavné zistenia:

* potreba vypracovania komplexnej bezpečnostnej dokumentácie kybernetickej bezpečnosti,

654

* nedostatočná správa a umiestnenie aktív prepojených na základnú službu,

655

* umiestnenie záloh nespĺňa požiadavky riadenia kontinuity kybernetickej bezpečnosti,

656

* potreba vytvorenia segmentácie siete,

657

* zavedenie riadenia prístupov užívateľov do sietí a informačných systémov,

658

* nezavedený systém pre zber a analýzu bezpečnostných udalostí,

659

* v oblasti riadenia rizík chýba nástroj, ktorým by efektívne preskúmaval a aktualizoval identifikované riziká v závislosti od prijatých bezpečnostných opatrení,

660

* potreba testovania obnovy záloh,

661

* chýbajúce časy a postupy pre obnovu napadnutých systémov a pod.

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Rizikáazávislosti"/}}Riziká a závislosti ==

670

671

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}Stanovenie alternatív v biznisovej vrstve architektúry ==

\\

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

\\

1. **Ponechanie súčasného stavu**

684

685

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich zo samohodnotenia kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

686

687

1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**

688

689

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení samohodnotenia KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

690

691

1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**

692

693

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci samohodnotenia kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

\\

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

Mesto Kolárovo

)))|(((

MIRRI SR

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

720

)))|(((

721

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium B

Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)

731

)))|(((

732

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení samohodnotenia kybernetickej bezpečnosti

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

742

)))|(((

743

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby

)))|(((

X

)))|(((

\\

)))

\\

**Vyhodnotenie MCA**

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

)))

(% class="" %)|(((

Kritérium B

Odstránenie zistení vyplývajúcich z samohodnotenia kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

čiastočne

)))|(((

Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia samohodnotenia, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z samohodnotenia kybernetickej bezpečnosti.

)))

(% class="" %)|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

nie

)))|(((

-

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

)))

\\

// //

== {{id name="projekt_2541_Projektovy_zamer_detailny-Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}Stanovenie alternatív v aplikačnej vrstve architektúry ==

832

833

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni mesta, bude na úrovni kombinácie In-House riešenia a Outsourcingu.

834

835

== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ==

836

837

== {{id name="projekt_2541_Projektovy_zamer_detailny-"/}} ==

838

839

== {{id name="projekt_2541_Projektovy_zamer_detailny-Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}Stanovenie alternatív v technologickej vrstve architektúry ==

840

841

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

\\

\\

**~ **

= {{id name="projekt_2541_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

\\

Výstupom projektu budú:

854

855

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

856

* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),

857

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

\\

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

\\

\\

**~ **

= {{id name="projekt_2541_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

870

871

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „zákon č. 69/2018 Z. z.“) a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „zákon o ITVS“).

872

873

Predmetom projektu sú primárne tie oblasti, kde žiadateľ identifikoval najvyššiu mieru rizika a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami vyplývajúcimi z vykonaného samohodnotenia kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej ako „zákon o KB“), zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

874

875

Jednotlivé biznis funkcie (podaktivity výzvy realizované v rámci projektu) bezpečnostnej architektúry sú znázornené na nasledovnom obrázku:

876

877

[[image:attach:image-2024-4-30_14-0-7.png||width="555"]]

878

879

Obr.1 Biznis funkcie / podaktivity projektu

880

881

Aplikačnú architektúru projektu tvoria nasledovné riešenia pre oblasť informačnej a kybernetickej bezpečnosti:

\\

[[image:attach:image-2024-4-30_14-0-30.png||width="567"]]

886

887

Obrázok 2 Model aplikačnej architektúry

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===

892

893

Samohodnotenie identifikovalo vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.

894

895

Pre oblasť Bezpečnosti pri prevádzke informačných systémov a sietí slúži nástroj na ako riešenie v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru a zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov. Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov (SIEM).V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

896

897

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===

898

899

Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke, ako napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení je navrhnutý na implementáciu Centrálny ticketovací systém.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Prevádzkovýmonitoring"/}}Prevádzkový monitoring ===

904

905

=== {{id name="projekt_2541_Projektovy_zamer_detailny-Zrealizovanéhosamohodnoteniavyplynulo,žemestonepoužívanástrojnadetekciukybernetickýchbezpečnostnýchincidentov.Vrámciriešeniakybernetickýchbezpečnostnýchincidentovpredstavuje„Prevádzkovýmonitoring“nástrojnadetekciu,zberanepretržitévyhodnocovanieaevidenciukybernetickýchbezpečnostnýchudalostí.Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel."/}}Z realizovaného samohodnotenia vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. ===

\\

\\

== {{id name="projekt_2541_Projektovy_zamer_detailny-Prehľade-Governmentkomponentov"/}}Prehľad e-Government komponentov ==

912

913

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

914

915

Projekt nebuduje koncové služby.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

920

921

Projekt nebuduje/nerozvíja ISVS

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

926

927

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS{{id name="_ftnref1"/}}^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

932

933

V rámci projektu nebude realizovaná integrácia.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

938

939

Projekt nebuduje aplikačné služby.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

944

945

Projekt nebude poskytovať údaje do IS CSRÚ.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

950

951

Projekt nebude konzumovať údaje z IS CSRÚ.

\\

=== {{id name="projekt_2541_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

956

957

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

\\

**~ **

= {{id name="projekt_2541_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

964

965

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

966

967

= {{id name="projekt_2541_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

== {{id name="projekt_2541_Projektovy_zamer_detailny-Sumarizácianákladovaprínosov"/}}Sumarizácia nákladov a prínosov ==

\\

(% class="" %)|(((

Náklady

)))|(((

Tvorba bezpečnostnej dokumentácie a metodiky (1)

979

)))|(((

980

Implementácia softvérových a hardvérových nástrojov (2)

981

)))

982

(% class="" %)|(((

983

**Všeobecný materiál**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Práce/služby

)))|(((

44 460,00

)))|(((

59 108,00

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))|(((

\\

)))

(% class="" %)|(((

SW

)))|(((

// //

)))|(((

30 386,96

)))

(% class="" %)|(((

HW

)))|(((

// //

)))|(((

155 594,58

)))

(% class="" %)|(((

Mzdové výdavky - MKB

)))|(((

// //

)))|(((

23 590,00

)))

(% class="" %)|(((

Paušálna sadzba – nepriame výdavky

)))|(((

// //

)))|(((

21 000,00

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

// //

)))|(((

8.000,00

)))

(% class="" %)|(((

SW

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

HW

)))|(((

\\

)))|(((

15.000,00

)))

(% class="" %)|(((

**Prínosy**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Finančné prínosy**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Administratívne poplatky

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Ostatné daňové a nedaňové príjmy

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Ekonomické prínosy**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Občania (€)

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Úradníci (€)

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

Úradníci (FTE)

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

**Kvalitatívne prínosy**

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

// //

)))|(((

// //

)))

\\

\\

**~ **

= {{id name="projekt_2541_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

\\

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

03/2025

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

04/2025

)))|(((

03/2027

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

04/2025

)))|(((

03/2027

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

03/2027

)))|(((

05/2027

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

06/2027

)))|(((

05/2032

)))|(((

\\

)))

\\

**Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**

**~ **

**Projekt bude realizovaný metódou Waterfall**

1225

1226

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

1231

1232

// [[image:attach:image-2024-4-30_14-1-44.png||width="482"]]//

// //

// //

\\

\\

\\

**~ **

= {{id name="projekt_2541_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

\\

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1256

* Projektový manažér objednávateľa (PM)

1257

1258

Zostavuje sa **Projektový tím objednávateľa**

1259

1260

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

\\

)))|(((

Primátor

)))|(((

Mesto Kolárovo

)))|(((

Predseda RV

)))

(% class="" %)|(((

2.

)))|(((

\\

)))|(((

Zástupca primátora / kľúčový používateľ

)))|(((

Mesto Kolárovo

)))|(((

Člen RV

)))

(% class="" %)|(((

3.

)))|(((

\\

)))|(((

Manažér kybernetickej bezpečnosti / vlastník procesov

)))|(((

Mesto Kolárovo

)))|(((

Člen RV

)))

(% class="" %)|(((

4.

)))|(((

\\

)))|(((

IT architekt / it analytik

)))|(((

Dodávateľ

)))|(((

Člen RV

)))

\\

[[image:attach:image-2024-4-30_14-2-13.png||height="250"]]

1327

1328

== {{id name="projekt_2541_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1353

)))

1354

(% class="" %)|(((

1355

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1360

1361

· Riadenie prípravy, inicializácie a realizácie projektu

1362

1363

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1364

1365

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1366

1367

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1368

1369

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1370

1371

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1372

1373

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1374

1375

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1376

1377

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1378

1379

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1380

1381

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1382

1383

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1384

1385

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1386

1387

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1388

1389

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1390

1391

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1392

1393

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1394

1395

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1396

1397

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1398

1399

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1400

1401

· Dodržiavanie metodík projektového riadenia,

1402

1403

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1404

1405

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

1411

)))|(((

1412

· Certifikácia - Prince 2

1413

1414

· Certifikácia - PMI PMP

1415

1416

· Certifikácia – IPMA

1417

1418

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

\\

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1444

)))

1445

(% class="" %)|(((

1446

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1453

1454

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1455

1456

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1457

1458

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1459

1460

· Špecifikáciu požiadaviek na bezpečnosť,

1461

1462

· Návrh a definovanie akceptačných kritérií,

1463

1464

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1465

1466

· Finálne odsúhlasenie používateľského rozhrania

1467

1468

· Vykonanie akceptačného testovania (UAT)

1469

1470

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1471

1472

· Finálny návrh na spustenie do produkčnej prevádzky,

1473

1474

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1475

1476

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1477

1478

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1498

1499

· vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1500

1501

· zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1502

)))

1503

(% class="" %)|(((

1504

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1511

1512

· Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1513

1514

· Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1515

1516

· Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1517

1518

· Zodpovednosť za technické navrhnutie a realizáciu projektu.

1519

1520

· Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1521

1522

· Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1523

1524

· Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1525

1526

· Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1527

1528

· Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1529

1530

· Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1531

1532

· Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1533

1534

· Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1535

1536

· Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1537

1538

· Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1539

1540

· Prípravu akceptačných kritérií

1541

1542

· Analýza nových nástrojov, produktov a technológií

1543

1544

· Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1545

1546

· Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1547

1548

· Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1549

1550

· Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1551

1552

· Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1553

1554

· Participáciu na výkone bezpečnostných testov,

1555

1556

· Participáciu na výkone UAT testov,

1557

1558

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1559

1560

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1561

1562

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - Togaf

1572

1573

· Certifikácia – ArchiMate

1574

1575

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1595

1596

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1597

1598

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1599

1600

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1601

1602

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1603

)))

1604

(% class="" %)|(((

1605

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1612

1613

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1614

1615

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1616

1617

· Mapovanie požiadaviek do návrhu funkčných riešení.

1618

1619

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1620

1621

· Analýza funkčných a nefunkčných požiadaviek,

1622

1623

· Návrh fyzického a logického modelu,

1624

1625

· Návrh testovacích scenárov,

1626

1627

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1628

1629

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1630

1631

· Definovanie akceptačných kritérií v projekte

1632

1633

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1634

1635

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1636

1637

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1638

1639

· Rieši požiadavky používateľov a konflikty iných priorít

1640

1641

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1642

1643

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1644

1645

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

\\

· Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1655

1656

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

\\

)))

(% class="" %)|(((

**Poznámka**

)))|(((

\\

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**VLASTNÍK PROCESOV **(biznis vlastník)

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

\\

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1687

)))

1688

(% class="" %)|(((

1689

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1694

1695

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1696

1697

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1698

1699

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1700

1701

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1702

1703

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1704

1705

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1706

1707

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1708

1709

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1710

1711

· Schválenie akceptačných kritérií,

1712

1713

· Riešenie problémov používateľov

1714

1715

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1716

1717

· Vykonanie UX a UAT testovania

1718

1719

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1720

1721

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1722

1723

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1724

1725

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1726

1727

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1728

1729

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1730

1731

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1732

1733

· Odsúhlasenie akceptačných protokolov zmenových konaní

1734

1735

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1736

1737

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1757

1758

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1763

1764

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1765

1766

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1767

1768

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1769

1770

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1771

)))

1772

(% class="" %)|(((

1773

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1778

1779

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1780

1781

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1782

1783

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1784

1785

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1786

1787

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1788

1789

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1790

1791

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1792

1793

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1794

1795

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1796

1797

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1798

1799

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1800

1801

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1802

1803

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1804

1805

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1806

1807

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1808

1809

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1810

1811

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1812

1813

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1814

1815

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1816

1817

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1818

1819

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1820

1821

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1822

1823

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1824

1825

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1826

1827

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1828

1829

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1830

1831

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1832

1833

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1834

1835

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1836

1837

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1838

1839

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1840

1841

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1842

1843

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

\\

\\