projekt_2542_Projektovy_zamer_detailny

= {{id name="projekt_2542_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

127

128

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

129

130

131

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2542_Projektovy_zamer_detailny-Použitéskratkyapojmy"/}}Použité skratky a pojmy ==

136

137

(% class="wrapped" %)

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

Active Directory

)))|(((

Active Directory je implementácia adresárových služieb [[LDAP>>url:https://sk.wikipedia.org/wiki/LDAP||shape="rect"]] firmou [[Microsoft>>url:https://sk.wikipedia.org/wiki/Microsoft||shape="rect"]] na použitie v systéme [[Microsoft Windows>>url:https://sk.wikipedia.org/wiki/Microsoft_Windows||shape="rect"]]. Umožňuje administrátorom nastavovať politiku, inštalovať programy na mnoho počítačov alebo aplikovať kritické aktualizácie v celej organizačnej štruktúre. Active Directory svoje informácie a nastavenia ukladá v centrálnej organizovanej databáze.

)))

|(((

BIA

)))|(((

Business Impact Analysis - Analýza vplyvu (BIA) je základom celého procesu riadenia kontinuity podnikania (BCM). Pozostáva z techník a metód na posúdenie vplyvu narušenia dodávok kľúčových produktov alebo služieb organizácie a iných zainteresovaných strán na organizáciu a ich podporných kritických činností

)))

|(((

BCM

)))|(((

Business Continuity Management - Riadenie kontinuity podnikania je kompletný súbor procesov,

157

158

ktorý identifikuje potenciálne vplyvy , ktoré ohrozujú organizáciu z pohľadu kybernetickej bezpečnosti. Poskytuje schopnosť účinnej reakcie na vzniknutý kybernetický bezpečnostný incident

)))

|(((

Core

)))|(((

Next Generation Firewall

)))

|(((

DAC kábel

)))|(((

Direct attach copper kábel, slúži k pripojeniu aktívnych prvkov.

)))

|(((

EDR riešenie

)))|(((

EDR (Endpoint Detection and Response) zlepšuje schopnosť identifikovať, monitorovať a reagovať na podozrivé aktivity na koncových zariadeniach, ako sú pracovné stanice, servery a mobilné zariadenia

)))

|(((

EPS

)))|(((

EPS (skratka pre Encapsulated PostScript) je univerzálny [[typ súboru>>url:https://sk.wikipedia.org/wiki/Typ_s%C3%BAboru||shape="rect"]], ktorý sa využíva pri posielaní dokumentov do tlačiarne

)))

|(((

Firewall

)))|(((

Sieťové zariadenie alebo softvér, ktorého úlohou je oddeliť siete s rôznymi prístupovými právami (typicky napr. Extranet a Intranet) a kontrolovať tok dát medzi týmito sieťami

)))

|(((

GDPR

)))|(((

Nariadenie EU 2016/679 o ochrane fyzických osôb pri spracúvaní osobných údajov

)))

|(((

HW

)))|(((

Hardvér

)))

|(((

LAN

)))|(((

Lokálna (vnútorná) počítačová sieť (Local Area Network)

)))

|(((

Log

)))|(((

Záznam činnosti

)))

|(((

MKB

)))|(((

Manažér kybernetickej bezpečnosti

)))

|(((

PZS

)))|(((

Poskytovateľ základnej služby – Mesto Kolárovo

)))

|(((

SIEM

)))|(((

Systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase (Security Information and Event Management)

)))

|(((

Spam

)))|(((

Spam je nevyžiadaná a hromadne rozosielaná správa

)))

|(((

sw

)))|(((

Softvér

)))

|(((

Switch

)))|(((

Prepínač ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] switch) alebo sieťový prepínač (angl. network switch) je aktívny prvok [[počítačovej siete>>url:https://sk.wikipedia.org/wiki/Po%C4%8D%C3%ADta%C4%8Dov%C3%A1_sie%C5%A5||shape="rect"]], ktorý spája jej jednotlivé časti. Prepínač slúži ako centrálny prvok v sieťach [[hviezdicovej topológie>>url:https://sk.wikipedia.org/wiki/Hviezdicov%C3%A1_sie%C5%A5||shape="rect"]]. V minulosti sa ako centrálny prvok v týchto sieťach používal [[rozbočovač>>url:https://sk.wikipedia.org/wiki/Rozbo%C4%8Dova%C4%8D_(ethernet)||shape="rect"]] ([[angl.>>url:https://sk.wikipedia.org/wiki/Angli%C4%8Dtina||shape="rect"]] hub).

)))

|(((

TCP

)))|(((

Protokol riadenia prenosu (angl. Transmission Control Protocol)

)))

|(((

UPS

)))|(((

Zariadenie alebo systém, ktorý zabezpečuje plynulú dodávku elektriny pre zariadenia, ktoré nesmú byť neočakávane vypnuté.

)))

|(((

VPN

)))|(((

VPN je počítačová sieť na prepojenie počítačov na rôznych miestach internetu do jednej virtuálnej počítačovej siete.

)))

== {{id name="projekt_2542_Projektovy_zamer_detailny-Konvenciepretypypožiadaviek"/}}Konvencie pre typy požiadaviek ==

N/A

= {{id name="projekt_2542_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

260

261

262

== {{id name="projekt_2542_Projektovy_zamer_detailny-Manažérskezhrnutie"/}}Manažérske zhrnutie ==

263

264

265

Projekt „Podpora v oblasti kybernetickej a informačnej bezpečnosti v meste Hnúšťa“ (ďalej len „projekt“) bol vypracovaný s cieľom rozšíriť spôsobilosti v oblasti informačnej a kybernetickej bezpečnosti v meste Hnúšťa a zabezpečiť súlad so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej len „zákon o KB“) a umožniť poskytovanie základnej služby.

266

267

268

**Tab.č.1** Základná služba v zmysle Zoznamu základných služieb NBÚ SR (zdroj: [[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]])

269

270

(% class="wrapped" %)

|(((

**Základná služba**

)))|(((

**IČO**

)))|(((

**Prevádzkovateľ základnej služby**

)))|(((

**Sektor**

)))|(((

**Podsektor**

)))|(((

**Ústredný orgán**

)))

|(((

Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

)))|(((

318744

)))|(((

Mesto Hnúšťa

)))|(((

Verejná správa

)))|(((

Informačné systémy verejnej správy

294

)))|(((

295

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

Hlavným cieľom projektu je „Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom“.

300

301

Tento cieľ bude naplnený realizáciu činností v oblasti informačnej a kybernetickej bezpečnosti, ktoré vychádzajú zo zistení auditu kybernetickej bezpečnosti realizovaného v Meste Hnúšťa koncom roka 2023.

302

303

304

Predmetom projektu je:

305

306

* Tvorba bezpečnostnej dokumentácie a metodiky - potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti o interné dokumenty a smernice, ktoré nie sú v nej zapracované a doplnení identifikovaných zistení pri audite,

307

* Implementácia softvérových a hardvérových nástrojov pre oblasť informačnej a kybernetickej bezpečnosti v nadväznosti na riziká identifikované v audite,

308

* Financovanie mzdových výdavkov Manažéra kybernetickej bezpečnosti.

309

310

311

Po implementácii projektu bude mesto pripravené efektívnejšie riadiť informačnú a kybernetickú bezpečnosť (ďalej iba „IB“ a „KB“) a čeliť interným a externým hrozbám v oblasti IB a KB.

312

313

Mesto v súčasnosti nedisponuje dostatočnými finančnými, technologickými a personálnymi zdrojmi, aby mohlo vykonávať všetky potrebné aktivity v rozsahu požadovanom zákonom o KB.

314

315

Hlavnými beneficientom projektu je MsÚ Hnúšťa a jeho jednotliví pracovníci, resp. užívatelia informačných systémov mesta. Nepriamym beneficientom sú obyvatelia mesta a subjekty komunikujúce s MsÚ. V dôsledku zavedených opatrení, ktoré zvýšia mieru ochrany informačných systémov bude minimalizovaný výpadok, resp. negatívny dopad bezpečnostných incidentov na riadnych chod úradu a poskytovanie služieb občanom a podnikateľom.

316

317

318

Predpokladaný rozpočet projektu: **380 903,59 EUR**

**~ **

== {{id name="projekt_2542_Projektovy_zamer_detailny-Motiváciaarozsahprojektu"/}}Motivácia a rozsah projektu ==

324

325

Mesto Hnúšťa je ako poskytovateľ základnej služby zapísané do registra prevádzkovateľov základnej služby. Mesto musí plniť povinnosti vyplývajúce zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti (ďalej aj „zákona“) a zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe.

326

327

328

Mesto v decembri 2023 realizovalo „Audit o stave kybernetickej bezpečnosti“. Predmetom auditu bolo posúdenie zhody prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov pre jednotlivé siete a informačné systémy a pre tie, ktoré podporujú základné služby, s cieľom zabezpečiť požadovanú úroveň kybernetickej bezpečnosti a predchádzať kybernetickým bezpečnostným incidentom.

329

330

331

Cieľom auditu bolo preveriť zhodu prijatých bezpečnostných opatrení s požiadavkami podľa zákona a súvisiacich osobitných predpisov vzťahujúcich sa na bezpečnosť sietí a informačných systémov prevádzkovateľa základnej služby .

332

333

334

Auditom sa identifikovali nedostatky pri zabezpečovaní kybernetickej bezpečnosti s cieľom prijať opatrenia na ich odstránenie a nápravu, a na predchádzanie kybernetických bezpečnostných incidentov.

335

336

337

Účelom predkladaného projektu nie je len splnenie zákonných povinností, ale mesto si uvedomuje dôležitosť problematiky kybernetickej a informačnej bezpečnosti a aj z tohto dôvodu sa uchádza o NFP na realizáciu opravných a chýbajúcich opatrení, ktoré vyplynuli z vykonaného auditu.

338

339

340

V zmysle výsledkov auditu kybernetickej bezpečnosti je celková úroveň riadenia kybernetickej bezpečnosti v zmysle požiadaviek zákona č. 69/2018 Z.z., vyhlášky 362/2018 Z.z. a zavedených opatrení čiastočne splnená. Mesto vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z. Vyhláška Národného bezpečnostného úradu, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení, konkrétne:

341

342

343

* Stratégia kybernetickej bezpečnosti obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z.,

344

* Zavedený proces klasifikácie informácií je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov,

345

* V priebehu auditu boli získané dôkazy o dostatočnej kvalifikácii a odborných skúsenostiach preverovaných zamestnancov.

**Silné stránky**

Silnými stránkami plnenia opatrení kybernetickej bezpečnosti je vypracovaná dokumentácia ku kybernetickej bezpečnosti s prepojením na základnú službu. Veľký priestor na zlepšenie je hlavne v oblasti riadenia dodávateľov, plánovania vzdelávania osôb zastávajúce niektorú z bezpečnostných rolí, a v **dopracovaní existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti o interné dokumenty a smernice, ktoré nie sú v nej zapracované a doplnení identifikovaných zistení pri audite**.

**Slabé stránky**

Slabou stránkou riadenia kybernetickej bezpečnosti je **správa a umiestnenie aktív** prepojených na základnú službu. **Umiestnenie záloh nespĺňa požiadavky riadenia kontinuity kybernetickej bezpečnosti.** V prípade vzniku nepredvídaných udalostí samotné umiestnenie záloh môže mať kritický dopad na obnovu poskytovaných služieb. Zálohy musia byť uložené na vzdialenom mieste, čo najďalej od produkčných serverov. Miestnosť so zálohami je potrebné zabezpečiť obdobne ako miestnosť s produkčným servermi.

357

358

359

Požiadavkou zákona je aj **vytvoriť segmentáciu siete**, tým, že sieťam alebo informačným systémom sú umožnené len špecifikované služby umiestnené vo vyhradených segmentoch počítačovej siete. Nevyhnutnou potrebou je aj **riadenie prístupov užívateľov do sietí** a informačných systémov na princípe zásady na najnižších privilégií. Veľkú pozornosť treba venovať aj **aktualizácii operačných systémov**.

360

361

362

Slabou stránkou je aj **detekcia bezpečnostných incidentov, postupov a reakcie pri kybernetických útokoch**. **V tomto čase nie je zavedený systém pre zber a analýzu bezpečnostných udalostí vytváraných IT prostriedkami v reálnom čase**(SIEM).

363

364

365

V oblasti riadenia rizík chýba **nástroj, ktorým by efektívne preskúmaval a aktualizoval identifikované riziká v závislosti od prijatých bezpečnostných opatrení**.

366

367

368

Nevyhnutnou požiadavkou je aj **testovanie obnovy záloh**, ktoré je v tomto čase len formálne zdokumentované. V prípade kybernetického bezpečnostného útoku alebo vzniknutého incidentu **neexistujú postupy pre obnovu napadnutých systémov**. Tieto postupy a opatrenia musia byť rozpísané v kontinuite riadenia kybernetickej bezpečnosti (BCM). Predpokladom efektívneho plánovania kontinuity je, aby boli vopred definované scenáre rôznych udalostí, ktoré môžu mať potencionálne negatívny vplyv na bežné činnosti organizácie. **Nie sú zadefinované časy obnovy pre každú udalosť**, ktorá by mohla nastať. Plánovanie kontinuity organizácie stanoví požiadavky na zdroje (adekvátnych finančných, materiálno-technických a personálnych zdrojov), ktoré budú potrebné na implementáciu vybraných stratégií kontinuity činností.

369

370

371

Rovnako je potrebné aj **obsadiť pracovné role, ktoré sú nevyhnutné pre plánovanie a riadenie kontinuity**.

372

373

374

Po odstránení nezhôd má mesto vysoký potenciál dosiahnuť primeranú úroveň kybernetickej bezpečnosti na dosiahnutie bezpečnej a spoľahlivej prevádzky základnej služby.

**~ **

**Realizované činnosti v rámci projektu**

381

382

V rámci projektu bude mesto realizovať činnosti, ktoré predstavujú reakciu mesta na výsledky auditu kybernetickej bezpečnosti realizovaného v decembri 2023 a sú delené do dvoch hlavných oblastí, konkrétne predstavujú tvorbu **(1) bezpečnostnej dokumentácie a metodiky, (2) implementáciu softvérových a hardvérových nástrojov**, **(3) činnosti manažéra kybernetickej bezpečnosti**.

383

384

385

V rámci projektu budú realizované nasledovné činnosti definované vo výzve na predkladanie žiadostí o poskytnutie NFP:

386

387

* vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

388

* vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

389

* vypracovanie štatútu bezpečnostného výboru;

390

* identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

391

* implementáciu systému pre inventarizáciu aktív;

392

* riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení,

393

* vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti,

394

* vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

395

* zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení;

396

* zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, zaznamenávania bezpečnostných záznamov a zaznamenávania a vyhodnocovania prevádzkových záznamov;

397

* implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov,

398

* zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby;

399

* vypracovanie a implementácia interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat;

400

* implementácia nástroja na centrálne riadenie a aplikovanie bezpečnostných záplat a pod.

401

* implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel;

402

* zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup;

403

* vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane prepojení s externými sieťami, topológiu siete a využitie IP rozsahov;

404

* realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;

405

* implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov;

406

* implementácia centrálneho nástroja na zaznamenávanie činností sietí, informačných systémov, používateľov a identifikovanie bezpečnostných incidentov;

407

* vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností;

408

* špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane dokumentácie rozsahu dát zaznamenávaných log súborov;

409

* vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

410

* implementácia nástroja na detekciu, nástroja na zber, nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

411

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

412

* vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

413

* vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

414

* vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

415

* vypracovanie postupov zálohovania a postupov na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

416

* implementácia systému zálohovania.

417

418

419

[[image:attach:image-2024-4-30_16-1-16.png||width="535"]]

420

421

Obrázok 1 Biznis funkcie / podaktivity projektu

422

423

424

Tieto činnosti budú naplnené podaktivitami (1), (2) a (3):

425

426

427

**Tvorba bezpečnostnej dokumentácie a metodiky (1)**

428

429

Potreba aktualizácie vyplýva z výsledkov auditu kybernetickej bezpečnosti, v rámci ktorého bola identifikovaná potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti o interné dokumenty a smernice, ktoré nie sú v nej zapracované a doplnení identifikovaných zistení pri audite.

430

431

432

Jedná sa o aktualizáciu dokumentácie kybernetickej bezpečnosti v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a v Zmysle Vyhlášky NBÚ SR č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

433

434

435

**Implementácia softvérových a hardvérových nástrojov (2) **(podrobný popis je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva) bude pozostávať z nasledovných komponentov:

436

437

=== {{id name="projekt_2542_Projektovy_zamer_detailny-"/}} ===

438

439

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojnacentrálneriadenieaaplikovaniebezpečnostnýchzáplat"/}}Nástroj na centrálne riadenie a aplikovanie bezpečnostných záplat ===

440

441

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojjenavrhnutýzdôvoduidentifikáciezistenízauditu,ktorýkonštatoval,žemestonemánastavenýazavedenýprocespreriadeniazáplataaktualizácií.Rovnakoaudítornavrhujeimplementovaťnástrojriadeniazáplatavypracovaťprocesriadeniazáplataaktualizácii,ktorýbudeobsahovaťidentifikáciupotriebsoftvérovýchzáplataaktualizácií,evidenciusoftvérovýchzáplataaktualizáciíainformáciaoichnasadeníaleboodôvodochichnenasadenia,rozhodnutieovhodnomprístupekotestovaniusoftvérovýchzáplataaktualizácií,implementáciusoftvérovýchzáplataaktualizácií,aktualizáciuplánusoftvérovýchzáplataaktualizácií."/}}Nástroj je navrhnutý z dôvodu identifikácie zistení z auditu, ktorý konštatoval, že mesto nemá nastavený a zavedený proces pre riadenia záplat a aktualizácií. Rovnako audítor navrhuje implementovať nástroj riadenia záplat a vypracovať proces riadenia záplat a aktualizácii, ktorý bude obsahovať identifikáciu potrieb softvérových záplat a aktualizácií, evidenciu softvérových záplat a aktualizácií a informácia o ich nasadení alebo o dôvodoch ich nenasadenia, rozhodnutie o vhodnom prístupe k otestovaniu softvérových záplat a aktualizácií, implementáciu softvérových záplat a aktualizácií, aktualizáciu plánu softvérových záplat a aktualizácií. ===

442

443

=== {{id name="projekt_2542_Projektovy_zamer_detailny-"/}} ===

444

445

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojslúžipreoblasťhodnoteniazraniteľnostíabezpečnostnýchaktualizácií.Poskytnutiemožnostisprávcomschváliťalebozamietnuťaktualizáciepredvydaním,vynútiťinštaláciuaktualizáciíkdanémudátumuavytváraťsprávyotom,ktoréaktualizáciekaždýpočítačvyžaduje.Umožňujeautomatickyschvaľovaťurčitétriedyaktualizácií.Poskytujemožnosťschváliťaktualizácieibanadetekciu,čoumožnisprávcomvidieť,ktorépočítačebudúvyžadovaťdanúaktualizáciubeztoho,abytútoaktualizáciuajnainštaloval;možnosťvynucovaťupdatyskupinovoupolitikoukonfigurácieklientaautomatickýchaktualizáciínastraneklienta,čímbudezaistene,žekoncovípoužívatelianebudúmôcťzakázaťaleboobísťnasadenepravidláaktualizácií;konfigurácieklientaajpomocoulokálnejskupinovejpolitikyaleboúpravouregistraWindows."/}}Nástroj slúži pre oblasť hodnotenia zraniteľností a bezpečnostných aktualizácií. Poskytnutie možnosti správcom schváliť alebo zamietnuť aktualizácie pred vydaním, vynútiť inštaláciu aktualizácií k danému dátumu a vytvárať správy o tom, ktoré aktualizácie každý počítač vyžaduje. Umožňuje automaticky schvaľovať určité triedy aktualizácií. Poskytuje možnosť schváliť aktualizácie iba na detekciu, čo umožni správcom vidieť, ktoré počítače budú vyžadovať danú aktualizáciu bez toho, aby túto aktualizáciu aj nainštaloval; možnosť vynucovať updaty skupinovou politikou konfigurácie klienta automatických aktualizácií na strane klienta, čím bude zaistene, že koncoví používatelia nebudú môcť zakázať alebo obísť nasadene pravidlá aktualizácií; konfigurácie klienta aj pomocou lokálnej skupinovej politiky alebo úpravou registra Windows. ===

446

447

448

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojnacentrálnymanažmentlogov"/}}Nástroj na centrálny manažment logov ===

449

450

Audit identifikoval vysoké riziko v danej oblasti a konštatoval zavedený len čiastočný zber logov a manuálnu detekciu incidentov.

451

452

453

V rámci oblasti „Bezpečnosť pri prevádzke informačných systémov a sietí“ bude nástroj pokrývať oblasť zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov.

454

455

456

Pre oblasť zaznamenávania udalostí a monitorovania slúži ako centrálny Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov a centrálny nástroj na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie bezpečnostných incidentov. V rámci riešenia kybernetický bezpečnostných incidentov zabezpečuje detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

457

458

459

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Centrálnyticketovacísystém"/}}Centrálny ticketovací systém ===

460

461

Z dôvodu chýbajúceho technického riešenia podporujúceho riadenie bezpečnosti pri prevádzke informačných systémov a sietí, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov je navrhnuté nasadenie Centrálneho ticketovacieho systému.

// //

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Centrálnasprávaaoverovanieidentít"/}}Centrálna správa a overovanie identít ===

466

467

Výsledok auditu konštatoval, že riadenie prístupov osôb k sieti sa nevykonáva. Z uvedeného dôvodu je plánované nasadenie Centrálnej správy a overovania identít.

468

469

470

V rámci riadenia prístupov predstavuje „Centrálna správa a overovanie identít“ zavedenie, implementáciu alebo aktualizáciu centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení. Riešenie zabezpečujúce uvedené činnosti v súčasnosti nie je nasadené.

471

472

473

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Prevádzkovýmonitoring"/}}Prevádzkový monitoring ===

474

475

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Zrealizovanéaudituvyplynulo,žemestonepoužívanástrojnadetekciukybernetickýchbezpečnostnýchincidentov.Vrámciriešeniakybernetickýchbezpečnostnýchincidentovpredstavuje„Prevádzkovýmonitoring“nástrojnadetekciu,zberanepretržitévyhodnocovanieaevidenciukybernetickýchbezpečnostnýchudalostí.Navrhovanétechnickériešenieumožnímonitorovaniedostupnýchtechnologickýchkapacítdôležitýchsieťovýchzariadeníaslužiebpodľanakonfigurovanýchpravidiel."/}}Z realizované auditu vyplynulo, že mesto nepoužíva nástroj na detekciu kybernetických bezpečnostných incidentov. V rámci riešenia kybernetických bezpečnostných incidentov predstavuje „Prevádzkový monitoring“ nástroj na detekciu, zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí. Navrhované technické riešenie umožní monitorovanie dostupnýchtechnologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. ===

476

477

=== {{id name="projekt_2542_Projektovy_zamer_detailny-"/}} ===

478

479

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Aplikácianariadeniekybernetickejbezpečnosti"/}}Aplikácia na riadenie kybernetickej bezpečnosti ===

480

481

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Vrámciriadeniarizíkkonštatovalvykonanýaudit,žeidentifikáciazraniteľnostirizíkjeneaktualizovanáaidentifikáciahroziebjezastaraláanezodpovedáaktuálnemuzoznamuidentifikovanýchaktív."/}}V rámci riadenia rizík konštatoval vykonaný audit, že identifikácia zraniteľnosti rizík je neaktualizovaná a identifikácia hrozieb je zastaralá a nezodpovedá aktuálnemu zoznamu identifikovaných aktív. ===

482

483

=== {{id name="projekt_2542_Projektovy_zamer_detailny-"/}} ===

484

485

Z uvedeného dôvodu je navrhnuté nasadenie Aplikácie na riadenie kybernetickej bezpečnosti, ktorá v rámci riadenia rizík slúži na:

486

487

* identifikáciu všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu,

488

* ako nástroj na implementáciu systému pre inventarizáciu aktív,

489

* ako nástroj na riadenie rizík pozostávajúcich z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení.

490

491

492

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojnadetegovanieexistujúcichzraniteľností"/}}Nástroj na detegovanie existujúcich zraniteľností ===

493

494

Vykonaný audit konštatoval, že mesto nevykonáva pravidelné detegovanie zraniteľností programových prostriedkov a ich častí a rovnako nepoužíva nástroj na detegovanie zraniteľností technických prostriedkov a ich častí.

495

496

Z uvedeného dôvodu je v rámci hodnotenia zraniteľností a bezpečnostných aktualizácií navrhnutý nástroj určený na detegovanie existujúcich zraniteľností programových prostriedkov a ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí.

497

498

499

=== {{id name="projekt_2542_Projektovy_zamer_detailny-Nástrojnacentrálneriadenieaaplikovaniebezpečnostnýchzáplat"/}}Nástroj na centrálne riadenie a aplikovanie bezpečnostných záplat ===

500

501

Vykonaný audit konštatoval, že v rámci mesta nie je nastavený proces pre riadenia záplat a aktualizácií a v rámci nápravných opatrení bolo prijaté opatrenie implementovať nástroj riadenia záplat. Z uvedeného dôvodu v rámci hodnotenia zraniteľností a bezpečnostných aktualizácií bol navrhnutý nástroj určený na centrálne riadenie a aplikovanie bezpečnostných záplat.

502

503

504

**Aktualizácia / upgrade sieťovej vrstvy**

505

506

Vykonaný audit konštatoval skutočnosť, že mesto nemá implementovanú bezpečnostnú segmentáciu siete a preto navrhuje implementovať bezpečnostnú segmentáciu vo vyhradených segmentoch siete pre testovanie IS a zálohovanie IS. Z uvedeného dôvodu je v rámci projektu navrhnutý upgrade sieťovej vrstvy, na základe ktoré bude možné zrealizovať segmentáciu siete v zmysle plánu implementácie opatrení vyplývajúcich z realizovaného auditu. Upgrade sieťovej vrstvy okrem iného umožní detekciu a prevenciu prienikov, identifikáciu nezvyčajných mechanizmov útokov alebo proaktívne blokovanie škodlivej sieťovej prevádzky. Podrobný popis aktualizácie sieťovej vrstvy je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

507

508

509

**Aktualizácia / upgrade serverovej infraštruktúry**

510

511

Výsledky auditu konštatujú morálne zastaralú infraštruktúru bez podpory výrobcu. Uvedená infraštruktúra predstavuje nedostatočnú kapacitu pre implementáciu zálohovacieho systému a neexistujúce riešenie vysokej dostupnosti sťažujúce vypracovanie plánov kontinuity. Z uvedeného dôvodu je v rámci projektu navrhnutý taký upgrade serverovej infraštruktúry, ktorý bude poskytovať možnosť vysokej dostupnosti, ci už formou zabezpečenia klastrového prostredia, ale aj za účelom poskytnutia výpočtovej kapacity pre implementáciu systému zálohovania, čím bude možné zároveň vypracovať relevantné plány kontinuity prevádzky a tým zvýšiť úroveň kybernetickej bezpečnosti. Podrobný popis aktualizácie serverovej infraštruktúry je uvedený v dokumente Prístup k projektu, kap. 4.4 Technologická vrstva.

512

513

514

Podrobný popis všetkých komponentov, vrátane špecifikácie, je uvedený v dokumente Prístup k projektu, kap. 4.2 Aplikačná vrstva a kap. 4.4 Technologická vrstva.

515

516

517

**Činnosti manažéra pre informačnú a kybernetickú bezpečnosť (3) **– manažér bude zodpovedný za implementáciu dokumentácie, metodík a činností uvedených v bodoch (1) a (2).

Hlavným výsledkom realizácie projektu je zvýšenie kybernetickej bezpečnosti technickými a procesnými opatreniami a taktiež spĺňanie legislatívnych požiadaviek a tým zabezpečenie úspešného absolvovania opakovaného auditu kybernetickej bezpečnosti realizovaného v budúcnosti.

522

523

524

== {{id name="projekt_2542_Projektovy_zamer_detailny-Zainteresovanéstrany/Stakeholderi"/}}Zainteresované strany/Stakeholderi ==

525

526

(% class="wrapped" %)

|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

|(((

1.

)))|(((

Mesto Hnúšťa

)))|(((

Mesto Hnúšťa

)))|(((

Vlastník procesu

)))|(((

[[isvs_14159>>url:https://metais.vicepremier.gov.sk/detail/ISVS/e862dc25-bacc-42e1-b150-0461d2252b0d/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] Informačný systém samosprávy CG ISS

554

555

[[isvs_14160>>url:https://metais.vicepremier.gov.sk/detail/ISVS/f8672863-c95c-4168-b4c9-cfc39548113a/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] Dokumentačný informačný systém CG DIS

556

557

[[isvs_12504>>url:https://metais.vicepremier.gov.sk/detail/ISVS/e19e98c1-15a4-43e0-abc1-67d4f9d548a4/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] Webové sídlo Mesta Hnúšťa

558

559

[[isvs_14161>>url:https://metais.vicepremier.gov.sk/detail/ISVS/5960ba6f-04eb-4639-9b37-b152e8a9b8be/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] VemaPaM – mzdový a personalizačný systém

560

561

[[isvs_14162>>url:https://metais.vicepremier.gov.sk/detail/ISVS/c12ffcf8-37c6-476f-ac5a-bcde73ffb3f5/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] Dochádzky – dochádzkový systém

562

563

[[isvs_14163>>url:https://metais.vicepremier.gov.sk/detail/ISVS/de3ff934-9cc6-4b8c-abb3-71df09764927/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] Cenkros – stavebný systém

564

565

[[isvs_14164>>url:https://metais.vicepremier.gov.sk/detail/ISVS/1e0d43cc-4a35-4e5a-9631-26fe0c8dc906/cimaster?tab=summarizingCart||shape="rect" style="text-decoration: none;" class="table-href"]] WinIBEU - účtovnístvo a majetok

)))

|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Garant eGovernmentu

)))|(((

-

)))

== {{id name="projekt_2542_Projektovy_zamer_detailny-Cieleprojektu"/}}Ciele projektu ==

582

583

(% class="wrapped" %)

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

590

)))|(((

591

Spôsob realizácie strategického cieľa

)))

|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

597

)))|(((

598

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe (Cieľ Národnej koncepcie informatizácie verejnej správy, cieľ 4.1)

599

)))|(((

600

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

601

602

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte

)))

|(((

C_01

)))|(((

Zvýšenie miery ochrany informačných systémov mesta voči potenciálnym kybernetickým incidentom

)))|(((

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (Cieľ Programu Slovensko a príslušnej výzvy)

612

)))|(((

613

Cieľ bude naplnený realizáciou činností uvedených v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

614

615

Konkrétne, vypracovaním a aktualizáciou dokumentácie a metodík kybernetickej bezpečnosti a nasadením SW a HW riešení uvádzaných v projekte.

)))

**~ **

== {{id name="projekt_2542_Projektovy_zamer_detailny-Merateľnéukazovatele(KPI)"/}}Merateľné ukazovatele (KPI) ==

621

622

623

(% class="wrapped" %)

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

|(((

MU_01

)))|(((

C_01

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

656

)))|(((

657

Merateľný ukazovateľ výstupu

658

659

(pozn. čas plnenia merateľného ukazovateľa ku koncu realizácie hlavných aktivít projektu)

)))|(((

počet

)))|(((

0

)))|(((

1

)))|(((

V čase ukončenia projektu pri prevzatí výstupov projektu

668

)))|(((

669

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: Mesto Hnúšťa

)))

|(((

MU_02

)))|(((

C_01

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

// //

)))|(((

Výsledok

(pozn. čas plnenia merateľného ukazovateľa v rámci udržateľnosti projektu)

)))|(((

počet

)))|(((

0

)))|(((

6 504

(pozn. aktuálny počet obyvateľov, zdroj: [[https:~~/~~/egov.hnusta.sk/Default.aspx?NavigationState=880:0>>url:https://egov.hnusta.sk/Default.aspx?NavigationState=880:0||shape="rect"]]:)

692

)))|(((

693

V čase udržateľnosti projektu, podľa aktuálneho počtu obyvateľov.

694

)))|(((

695

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: obyvatelia mesta Hnúšťa

)))

== {{id name="projekt_2542_Projektovy_zamer_detailny-Špecifikáciapotriebkoncovéhopoužívateľa"/}}Špecifikácia potrieb koncového používateľa ==

701

702

703

Z hľadiska projektu je koncovým používateľom Mesto Hnúšťa, resp. mestský úrad a jeho jednotlivých pracovníci. Špecifikáciu potrieb predstavujú výsledky auditu kybernetickej bezpečnosti realizovaného v decembri 2023, resp. jeho hlavné zistenia.

Hlavné zistenia:

* potreba dopracovania existujúcej bezpečnostnej dokumentácie kybernetickej bezpečnosti,

709

* nedostatočná správa a umiestnenie aktív prepojených na základnú službu,

710

* umiestnenie záloh nespĺňa požiadavky riadenia kontinuity kybernetickej bezpečnosti,

711

* potreba vytvorenia segmentácie siete,

712

* zavedenie riadenia prístupov užívateľov do sietí a informačných systémov,

713

* nezavedený systém pre zber a analýzu bezpečnostných udalostí,

714

* v oblasti riadenia rizík chýba nástroj, ktorým by efektívne preskúmaval a aktualizoval identifikované riziká v závislosti od prijatých bezpečnostných opatrení,

715

* potreba testovania obnovy záloh,

716

* chýbajúce časy a postupy pre obnovu napadnutých systémov a pod.

717

718

719

Podrobný popis zistení je uvedený v samotnej Správe z realizovaného auditu.

720

721

722

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

723

724

725

== {{id name="projekt_2542_Projektovy_zamer_detailny-Rizikáazávislosti"/}}Riziká a závislosti ==

726

727

Zoznam a popis rizík spojených s projektom je uvedený v prílohe ZOZNAM RIZÍK a ZÁVISLOSTI

728

729

730

== {{id name="projekt_2542_Projektovy_zamer_detailny-Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}Stanovenie alternatív v biznisovej vrstve architektúry ==

731

732

733

Z pohľadu biznisovej vrstvy prichádzajú do úvahy nasledovné alternatívy:

734

735

736

1. **Ponechanie súčasného stavu**

737

738

Alternatíva znamená nerealizovanie projektu, to zn. neprijatie opatrení potrebných na zosúladenie stavu v oblasti informačnej a kybernetickej bezpečnosti s platnou legislatívou a rovnako nerealizovanie zistení a nápravných opatrení vyplývajúcich z auditu kybernetickej bezpečnosti. Alternatíva znamená vysoké riziko, resp. vysokú pravdepodobnosť vzniku bezpečnostných incidentov. Z uvedeného dôvodu je táto alternatíva neprijateľná.

739

740

1. **Čiastočná realizácia opatrení v rámci kybernetickej bezpečnosti**

741

742

Alternatíva znamená nezískanie prostriedkov z Programu Slovensko a realizáciu čiastkových opatrení v oblasti informačnej a kybernetickej bezpečnosti. V tejto alternatíve budú realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou. Realizované budú najmä opatrenia v oblasti metodiky a tvorby dokumentácie. Uvedená alternatíva (z dôvodu nedostatku finančných prostriedkov) neumožní odstránenie zistení auditu KB a realizáciu nápravných opatrení len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. logmanager a pod.)

743

744

1. **Plnohodnotná realizácia opatrení kybernetickej bezpečnosti**

745

746

Alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti, to zn. zosúladenie so zákonom o KB, odstránenie auditných zistení a realizáciu automatizovaných riešení a nasadenie SW a HW riešení vyplývajúcich z identifikovaných nápravných opatrení v rámci auditu kybernetickej bezpečnosti. Táto alternatíva je želanou alternatívou a predstavuje realizáciu projektu v predkladanom znení.

== {{id name="projekt_2542_Projektovy_zamer_detailny-Multikriteriálnaanalýza"/}}Multikriteriálna analýza ==

751

752

(% class="wrapped" %)

|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

Mesto Hnúšťa

)))|(((

MIRRI SR

)))

|(% rowspan="6" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

772

)))|(((

773

Jedná sa o KO kritérium vychádzajúce zo základnej požiadavky súladu s legislatívou

)))|(((

X

)))|(((

X

)))

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

783

)))|(((

784

Jedná sa o KO kritérium vychádzajúce z nevyhnutnej potreby odstránenia zistení auditu kybernetickej bezpečnosti

)))|(((

X

)))|(((

X

)))

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

794

)))|(((

795

Jedná sa o kritérium predstavujúce komplexné riešenie kybernetickej bezpečnosti prevádzkovateľa základnej služby

)))|(((

X

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

|(((

)))|(((

)))|(((

)))|(((

)))

**Vyhodnotenie MCA**

(% class="wrapped" %)

|(((

Zoznam kritérií

)))|(((

Alt. 1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 2

)))|(((

Spôsob

dosiahnutia

)))|(((

Alt. 3

)))|(((

Spôsob

dosiahnutia

)))

|(((

Kritérium A

Zosúladenie aktuálneho stavu so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Čiastočná realizácia opatrení v oblasti KB predstavuje realizáciu najmä metodickej a dokumentačnej časti opatrení KB. Z uvedeného dôvodu alternatíva naplní súlad so zákonom o KB.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich zo zákona o KB.

)))

|(((

Kritérium B

Odstránenie zistení vyplývajúcich z auditu kybernetickej bezpečnosti (KO)

)))|(((

nie

)))|(((

-

)))|(((

čiastočne

)))|(((

Alternatíva 2 naplní kritérium B len čiastočne, nakoľko zistenia auditu, resp. nápravné opatrenia požadujú realizáciu automatizovaných / IT riešení, ktoré alternatíva 2 neponúka.

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje naplnenie požiadaviek vyplývajúcich z auditu kybernetickej bezpečnosti.

)))

|(((

Kritérium C

Nasadenie automatizovaných riešení pre oblasť kybernetickej bezpečnosti

)))|(((

nie

)))|(((

-

)))|(((

nie

)))|(((

-

)))|(((

áno

)))|(((

Plnohodnotná realizácia opatrení v oblasti KB predstavuje okrem iného aj nasadenie automatizovaných riešenie pre oblasť kybernetickej bezpečnosti.

)))

// //

== {{id name="projekt_2542_Projektovy_zamer_detailny-Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}Stanovenie alternatív v aplikačnej vrstve architektúry ==

910

911

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení realizovaného auditu a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov. Realizácia všetkých opatrení na úrovni mesta, bude na úrovni kombinácie In-House riešenia a Outsourcingu

912

913

914

== {{id name="projekt_2542_Projektovy_zamer_detailny-Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}Stanovenie alternatív v technologickej vrstve architektúry ==

915

916

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

**~ **

= {{id name="projekt_2542_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

923

924

925

Výstupom projektu budú:

926

927

* projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,

928

* vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Tvorba bezpečnostnej dokumentácie a metodiky (1)),

929

* nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti (podrobný zoznam je uvedený v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu: Implementácia softvérových a hardvérových nástrojov (2))

930

931

932

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

933

934

935

= {{id name="projekt_2542_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

936

937

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

938

939

940

[[image:attach:image-2024-4-30_16-1-49.png||width="667"]]

941

942

Obrázok 2 Náhľad architektúry

// //

== {{id name="projekt_2542_Projektovy_zamer_detailny-Prehľade-Governmentkomponentov"/}}Prehľad e-Government komponentov ==

948

949

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

950

951

Projekt nebuduje koncové služby.

952

953

954

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

955

956

Projekt nebuduje/nerozvíja ISVS

957

958

959

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

960

961

Projekt nebuduje aplikačné služby.

962

963

964

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

965

966

V rámci projektu nebude realizovaná integrácia.

967

968

969

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

970

971

Projekt nebuduje aplikačné služby.

972

973

974

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

975

976

Projekt nebude poskytovať údaje do IS CSRÚ.

977

978

979

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

980

981

Projekt nebude konzumovať údaje z IS CSRÚ.

982

983

984

=== {{id name="projekt_2542_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

985

986

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

987

988

= {{id name="projekt_2542_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

989

990

Projekt nevyžaduje vykonanie legislatívnych zmien pre naplnenie jeho cieľov a dodanie výstup. Následná realizácia činností pre oblasť kybernetickej bezpečnosti predpokladá vypracovanie interných smerníc a postupov pre implementáciu opatrení pre oblasť kybernetickej bezpečnosti.

991

992

= {{id name="projekt_2542_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

993

994

995

== {{id name="projekt_2542_Projektovy_zamer_detailny-Sumarizácianákladovaprínosov"/}}Sumarizácia nákladov a prínosov ==

996

997

998

(% class="wrapped" %)

|(((

Náklady

)))|(((

Tvorba bezpečnostnej dokumentácie a metodiky (1)

1003

)))|(((

1004

Implementácia softvérových a hardvérových nástrojov (2)

1005

)))

1006

|(((

1007

**Všeobecný materiál**

)))|(((

)))|(((

)))

|(((

**IT - CAPEX**

)))|(((

)))|(((

)))

|(((

Práce/služby

)))|(((

23 400,00 €

)))|(((

113 404,00 €

)))

|(((

Aplikácie

)))|(((

// //

)))|(((

)))

|(((

SW

)))|(((

)))|(((

44 687,41€

)))

|(((

HW

)))|(((

)))|(((

151 822,18 €

)))

|(((

Mzdové výdavky - MKB

)))|(((

// //

)))|(((

23 590,00 €

)))

|(((

Paušálna sadzba – nepriame výdavky

)))|(((

// //

)))|(((

24 000,00 €

)))

|(((

**IT - OPEX- prevádzka**

)))|(((

)))|(((

)))

|(((

Aplikácie

)))|(((

// //

)))|(((

// //

)))

|(((

SW

)))|(((

)))|(((

)))

|(((

HW

)))|(((

)))|(((

)))

|(((

**Prínosy**

)))|(((

)))|(((

)))

|(((

**Finančné prínosy**

)))|(((

)))|(((

)))

|(((

Administratívne poplatky

)))|(((

)))|(((

)))

|(((

Ostatné daňové a nedaňové príjmy

)))|(((

)))|(((

)))

|(((

**Ekonomické prínosy**

)))|(((

)))|(((

)))

|(((

Občania (€)

)))|(((

)))|(((

)))

|(((

Úradníci (€)

)))|(((

)))|(((

)))

|(((

Úradníci (FTE)

)))|(((

)))|(((

)))

|(((

**Kvalitatívne prínosy**

)))|(((

)))|(((

)))

|(((

)))|(((

// //

)))|(((

// //

)))

**~ **

= {{id name="projekt_2542_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

1166

1167

(% class="wrapped" %)

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

03/2025

)))|(((

vrátane prípravy a realizácie verejného obstarávania

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

04/2025

)))|(((

03/2027

)))|(((

)))

|(((

2a

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

)))|(((

04/2025

)))|(((

03/2027

)))|(((

)))

|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

03/2027

)))|(((

05/2027

)))|(((

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

06/2027

)))|(((

05/2032

)))|(((

)))

**Projekt bude realizovaný metódou Waterfall**

1241

1242

Waterfall- vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

1243

1244

1245

Objednávateľ projektu vypracuje **funkčnú špecifikáciu - detailnú** a **technickú špecifikáciu - rámcovú**.

// //

//[[image:attach:image-2024-4-30_16-2-19.png||width="482"]] //

// //

= {{id name="projekt_2542_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1256

1257

1258

V rámci projektu je zostavený **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1264

* Projektový manažér objednávateľa (PM)

1265

1266

Zostavuje sa **Projektový tím objednávateľa**

1267

1268

* kľúčový používateľ,

* IT analytik,

* IT architekt,

* biznis vlastník,

* manažér kybernetickej a informačnej bezpečnosti,

1273

1274

1275

(% class="wrapped" %)

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

1.

)))|(((

)))|(((

Primátor

)))|(((

Mesto Hnúšťa

)))|(((

Predseda RV

)))

|(((

2.

)))|(((

)))|(((

Prednosta / kľúčový používateľ

)))|(((

Mesto Hnúšťa

)))|(((

Člen RV

)))

|(((

3.

)))|(((

)))|(((

Manažér kybernetickej bezpečnosti / vlastník procesov

)))|(((

Mesto Hnúšťa

)))|(((

Člen RV

)))

|(((

4.

)))|(((

)))|(((

IT architekt / it analytik

)))|(((

Dodávateľ

)))|(((

Člen RV

)))

[[image:attach:image-2024-4-30_16-2-47.png||height="250"]]

1334

1335

== {{id name="projekt_2542_Projektovy_zamer_detailny-PRACOVNÉNÁPLNE"/}} PRACOVNÉ NÁPLNE ==

1336

1337

1338

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1352

1353

1354

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1355

1356

1357

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1358

)))

1359

|(((

1360

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1365

1366

· Riadenie prípravy, inicializácie a realizácie projektu

1367

1368

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1369

1370

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1371

1372

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1373

1374

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1375

1376

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1377

1378

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1379

1380

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1381

1382

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1383

1384

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1385

1386

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1387

1388

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1389

1390

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1391

1392

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1393

1394

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1395

1396

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1397

1398

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1399

1400

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1401

1402

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1403

1404

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1405

1406

· Dodržiavanie metodík projektového riadenia,

1407

1408

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1409

1410

· Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

)))

|(((

**Odporúčané kvalifikačné predpoklady**

1416

)))|(((

1417

· Certifikácia - Prince 2

1418

1419

· Certifikácia - PMI PMP

1420

1421

· Certifikácia – IPMA

1422

1423

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

1441

1442

1443

· zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1444

1445

1446

· Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1447

)))

1448

|(((

1449

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Návrh a špecifikáciu funkčných a technických požiadaviek

1456

1457

· Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1458

1459

· Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1460

1461

· Špecifikáciu požiadaviek koncových používateľov na prínos systému

1462

1463

· Špecifikáciu požiadaviek na bezpečnosť,

1464

1465

· Návrh a definovanie akceptačných kritérií,

1466

1467

· Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1468

1469

· Finálne odsúhlasenie používateľského rozhrania

1470

1471

· Vykonanie akceptačného testovania (UAT)

1472

1473

· Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1474

1475

· Finálny návrh na spustenie do produkčnej prevádzky,

1476

1477

· Predkladanie požiadaviek na zmenu funkcionalít produktov

1478

1479

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1480

1481

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1501

1502

· vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1503

1504

· zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1505

)))

1506

|(((

1507

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1514

1515

· Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1516

1517

· Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1518

1519

· Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1520

1521

· Zodpovednosť za technické navrhnutie a realizáciu projektu.

1522

1523

· Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1524

1525

· Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1526

1527

· Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1528

1529

· Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1530

1531

· Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1532

1533

· Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1534

1535

· Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1536

1537

· Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1538

1539

· Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1540

1541

· Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1542

1543

· Prípravu akceptačných kritérií

1544

1545

· Analýza nových nástrojov, produktov a technológií

1546

1547

· Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1548

1549

· Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1550

1551

· Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1552

1553

· Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1554

1555

· Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1556

1557

· Participáciu na výkone bezpečnostných testov,

1558

1559

· Participáciu na výkone UAT testov,

1560

1561

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1562

1563

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1564

1565

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

· Certifikácia - Togaf

1575

1576

· Certifikácia – ArchiMate

1577

1578

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

1598

1599

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

1600

1601

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

1602

1603

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

1604

1605

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

1606

)))

1607

|(((

1608

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

1615

1616

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

1617

1618

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

1619

1620

· Mapovanie požiadaviek do návrhu funkčných riešení.

1621

1622

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

1623

1624

· Analýza funkčných a nefunkčných požiadaviek,

1625

1626

· Návrh fyzického a logického modelu,

1627

1628

· Návrh testovacích scenárov,

1629

1630

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

1631

1632

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

1633

1634

· Definovanie akceptačných kritérií v projekte

1635

1636

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

1637

1638

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

1639

1640

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

1641

1642

· Rieši požiadavky používateľov a konflikty iných priorít

1643

1644

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1645

1646

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1647

1648

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

· Certifikácia - OMG-Certified UML (Unified Modeling Language) alebo ekvivalent

1658

1659

· Certifikát vydaný medzinárodne uznávanou akreditačnou a certifikačnou autoritou.

)))

|(((

**Poznámka**

)))|(((

)))

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**VLASTNÍK PROCESOV **(biznis vlastník)

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

1686

1687

1688

· zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

1689

)))

1690

|(((

1691

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Realizáciu dohľadu nad súladom projektových výstupov s požiadavkami koncových používateľov.

1696

1697

· Spoluprácu pri riešení odpovedí na otvorené otázky a riziká projektu.

1698

1699

· Posudzovanie, pripomienkovanie, testovanie a protokolárne odsúhlasovanie projektových výstupov v príslušnej oblasti (v biznis procese) po vecnej stránke (najmä procesnej a legislatívnej)

1700

1701

· Riešenie problémov a požiadaviek v spolupráci s odbornými garantmi,

1702

1703

· Spoluprácu pri špecifikácii a poskytuje súčinnosť pri riešení zmenových požiadaviek

1704

1705

· Schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu z pohľadu používateľov koncového produktu

1706

1707

· Definovanie očakávaní na kvalitu projektu, kritérií kvality projektových produktov, prínosov pre koncových používateľova požiadaviek na bezpečnosť,

1708

1709

· Definovanie merateľných výkonnostných ukazovateľov projektov a prvkov,

1710

1711

· Sledovanie a odsúhlasovanie nákladovosti, efektívnosti vynakladania finančných prostriedkov a priebežné monitorovanie a kontrolu odôvodnenia projektu (BC/CBA)

1712

1713

· Schválenie akceptačných kritérií,

1714

1715

· Riešenie problémov používateľov

1716

1717

· Akceptáciu rozsahu a kvality dodávaných projektových výstupov pri dosiahnutí platobných míľnikov,

1718

1719

· Vykonanie UX a UAT testovania

1720

1721

· Odsúhlasenie spustenia výstupov projektu do produkčnej prevádzky,

1722

1723

· Dostupnosť a efektívne využitie ľudských zdrojov alokovaných na realizáciu projektu,

1724

1725

· Vykonávanie monitorovania a hodnotenia procesov v plánovaných intervaloch.

1726

1727

· Poskytovanie vyjadrení k zmenovým požiadavkám, k ich opodstatnenosti a prioritizácii

1728

1729

· Zisťovanie efektívneho spôsobu riadenia a optimalizácie zvereného procesu, vrátane analyzovanie všetkých vyskytujúcich sa nezhôd,

1730

1731

· Okrem zvažovaní rizík prevádzkových alebo podporných procesov súčasne vlastník napomáha identifikovať príležitosti,

1732

1733

· Zlepšovanie a optimalizáciu procesov v spolupráci s ďalšími prepojenými vlastníkmi procesov a manažérom kvality,

1734

1735

· Odsúhlasenie akceptačných protokolov zmenových konaní

1736

1737

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1738

1739

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

(% class="wrapped" %)

|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1759

1760

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1761

1762

1763

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1764

1765

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1766

1767

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1768

1769

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1770

1771

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1772

)))

1773

|(((

1774

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1779

1780

· ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1781

1782

· špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1783

1784

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1785

1786

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1787

1788

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1789

1790

· špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1791

1792

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1793

1794

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1795

1796

· realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1797

1798

· špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1799

1800

· špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1801

1802

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1803

1804

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1805

1806

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1807

1808

· špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1809

1810

· špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1811

1812

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1813

1814

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1815

1816

· získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1817

1818

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1819

1820

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1821

1822

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1823

1824

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1825

1826

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1827

1828

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1829

1830

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1831

1832

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1833

1834

· realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1835

1836

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1837

1838

· poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1839

1840

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1841

1842

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1843

1844

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

= {{id name="projekt_2542_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

1850

1851