projektovy_zamer

= {{id name="projekt_2560_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

112

113

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2560_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

\\

(% class="" %)|(((

**ID**

)))|(((

**SKRATKA**

)))|(((

**POPIS**

)))

(% class="" %)|(((

1.

)))|(((

API

)))|(((

Application programming interface

)))

(% class="" %)|(((

2.

)))|(((

BPMN

)))|(((

Business Process Model and Notation

)))

(% class="" %)|(((

3.

)))|(((

CSRÚ

)))|(((

Centrálna správa referenčných údajov

)))

(% class="" %)|(((

4.

)))|(((

DevOps

)))|(((

Je skrátený názov pre developer, security alebo aj automatizovaný devops ako súbor procesov medzi vývojom a prevádzkou, skratka z developer operations. Vysvetlenie detail viď [[https:~~/~~/en.wikipedia.org/wiki/DevOps>>url:https://en.wikipedia.org/wiki/DevOps||shape="rect"]]

)))

(% class="" %)|(((

5.

)))|(((

DMS

)))|(((

Document management system

)))

(% class="" %)|(((

6.

)))|(((

EDR

)))|(((

Endpoint Detection and Response

)))

(% class="" %)|(((

7.

)))|(((

EÚ

)))|(((

Európska únia

)))

(% class="" %)|(((

8..

)))|(((

HW

)))|(((

Hardware

)))

(% class="" %)|(((

9.

)))|(((

HLD

)))|(((

High level dizajn – vysokoúrovňový dizajn napr architektúru, bezpečnosť

)))

(% class="" %)|(((

10.

)))|(((

IaaS

)))|(((

Infrastructure as a service

)))

(% class="" %)|(((

11.

)))|(((

IAM

)))|(((

Identity and Access Management

)))

(% class="" %)|(((

12.

)))|(((

IKT

)))|(((

Informačno-komunikačné technológie

)))

(% class="" %)|(((

13.

)))|(((

IS

)))|(((

Informačný systém

)))

(% class="" %)|(((

14.

)))|(((

IS VS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

15.

)))|(((

KPI

)))|(((

Key performance indicator – Kľúčové indikátory, prostredníctvom ktorých sa meria naplnenie cieľov projektu.

)))

(% class="" %)|(((

16.

)))|(((

LLD

)))|(((

Low level dizajn – nízkoúrovňový dizajn napr. pre architektúru, bezpečnosť. Obsahuje detailné dizajny až na úrovní nastavení parametrov

)))

(% class="" %)|(((

17.

)))|(((

MDM

)))|(((

Mobile devicemanagement

)))

(% class="" %)|(((

18.

)))|(((

MIRRI

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

(% class="" %)|(((

19.

)))|(((

MV SR

)))|(((

Ministerstvo vnútra SR

)))

(% class="" %)|(((

20.

)))|(((

NKIVS

)))|(((

Národná koncepcia informatizácie verejnej správy

)))

(% class="" %)|(((

21.

)))|(((

OOÚ

)))|(((

Ochrana osobných údajov

)))

(% class="" %)|(((

22.

)))|(((

PO

)))|(((

Plán obnovy a odolnosti

)))

(% class="" %)|(((

23.

)))|(((

OVM

)))|(((

Orgán verejnej moci

)))

(% class="" %)|(((

24.

)))|(((

PaaS

)))|(((

Platform as a service

)))

(% class="" %)|(((

25.

)))|(((

PILOT

)))|(((

PILOT - Prevádzka riešenia na vybraných aktéroch na produkčnom prostredí.

)))

(% class="" %)|(((

26.

)))|(((

PoC

)))|(((

PoC - Implementovaný prototyp riešenia nasadený do produkčnej prevádzky a overený E2E testami minimálne s využitím mockov

)))

(% class="" %)|(((

27.

)))|(((

PR

)))|(((

Projektové riadenie

)))

(% class="" %)|(((

28.

)))|(((

ROLLOUT

)))|(((

ROLLOUT - Postupné pripájanie ostatných aktérov na produkčnom prostredí.

)))

(% class="" %)|(((

29.

)))|(((

RFO

)))|(((

Register fyzických osôb

)))

(% class="" %)|(((

30.

)))|(((

RPO

)))|(((

Register právnických osôb

)))

(% class="" %)|(((

31.

)))|(((

SDL

)))|(((

Security development lifecycle

)))

(% class="" %)|(((

32.

)))|(((

SFTP

)))|(((

SSH File Transfer Protocol

)))

(% class="" %)|(((

33.

)))|(((

SLA

)))|(((

Service level agreement

)))

(% class="" %)|(((

34.

)))|(((

SOAP

)))|(((

Simple Object Access Protocol

)))

(% class="" %)|(((

35.

)))|(((

SOAR

)))|(((

Security orchestration, automation and response

)))

(% class="" %)|(((

36.

)))|(((

SR

)))|(((

Slovenská republika

)))

(% class="" %)|(((

37.

)))|(((

SŠHR SR

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky

)))

(% class="" %)|(((

38.

)))|(((

ŠÚ SR

)))|(((

Štatistický úrad Slovenskej republiky

)))

(% class="" %)|(((

39.

)))|(((

VÚC

)))|(((

Vyšší územný celok alebo iný povoľovací orgán

)))

.

**// //**

= {{id name="projekt_2560_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

\\

Tento projekt je vypracovaný v súlade s:

419

420

* Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;

421

* Výzvou č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“.

422

423

Správa štátnych hmotných rezerv Slovenskej republiky (uvádzaná aj ako Správa rezerv alebo SŠHR SR) je ostatným ústredným orgánom štátnej správy Slovenskej republiky pre zabezpečenie všetkých činností vyplývajúcich zo zákona o štátnych hmotných rezervách a o doplnení zákona o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

424

425

Hlavným poslaním Správy rezerv je podieľanie sa na znižovaní dôsledkov rôznych krízových javov, minimalizovaní materiálnych strát a predovšetkým na ochrane života, zdravia a majetku v súlade so zvyšovaním úrovne bezpečnosti Slovenskej republiky. Správa rezerv je výhradným odborným, administratívnym, a správnym garantom pre oblasť správy a použitia štátnych hmotných rezerv pri zabezpečovaní potravinovej, energetickej a ďalšej bezpečnosti obyvateľstva Slovenskej republiky.

426

427

Štátne hmotné rezervy sú určené na riešenie krízových situácií. Nie sú určené na riešenie krátkodobých výpadkov dodávok v zásobovaní, na výkup a skladovanie prebytkov na trhu, na intervenčné nákupy, ani na ovplyvňovanie trhu. Tvorba aj udržiavanie štátnych hmotných rezerv sú v plnom rozsahu hradené zo štátneho rozpočtu. Štátne hmotné rezervy sú skladované v závodoch Správy rezerv, resp. u ochraňovateľov na základe zmluvy o ochraňovaní. Správu rezerv riadi a za jej činnosť zodpovedá predseda. Predseda je štatutárnym orgánom Správy rezerv. Predsedu v čase jeho neprítomnosti v rozsahu jeho práv a povinností zastupuje podpredseda Správy rezerv.

428

429

Správa rezerv sa organizačne člení na odbory, oddelenia a strediská. Odbor je základný organizačný útvar, v ktorom sa sústreďuje väčší rozsah súvisiacich odborných činností. Odbor riadi riaditeľ odboru. Oddelenie je organizačný útvar, ktorý vykonáva a zabezpečuje samostatnú časť určitého okruhu kompetencií. Oddelenie riadi vedúci oddelenia. Stredisko je organizačný útvar, ktorý vykonáva osobitnú časť kompetencií Správy rezerv, a to prevažne naskladňovanie, skladovanie, udržiavanie a vyskladňovanie štátnych hmotných rezerv. Stredisko riadi vedúci strediska. Momentálne Správa rezerv disponuje štyrmi strediskami: Vígľaš, Kysuce, Čachtice a Ľupča.

430

431

V pôsobnosti Správy rezerv sú aj právnické osoby, konkrétne Poľnonákup TATRY, a. s. so sídlom na ulici Slavkovská 36, 060 01 Kežmarok, a Spoločnosť pre skladovanie, a. s. so sídlom na ulici Trakovice 461, 919 33 Trakovice. Právnické osoby sú samostatné podnikateľské subjekty, ktoré nie sú napojené na rozpočet Správy rezerv.

432

433

SŠHR SR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa ([[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]]). Základná prevádzkovaná služba: IS správy štátnych hmotných rezerv SR. SŠHR SR je správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

434

435

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na SŠHR v období od 19.10.2023 do 24.10.2023 audit kybernetickej bezpečnosti. Dňa 23.11.2023 bola SŠHR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 SŠHR SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. **Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre SŠHR SR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.**

436

437

Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy.

438

439

**Kvantitatívne prínosy v rámci navrhovaného projektu sú:**

440

441

* Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku.

442

* Zabránenie riziku narušenia údajov implementáciou EDR.

\\

**Kvalitatívne prínosy v rámci navrhovaného projektu sú:**

447

448

* Zníženie miery rizika vzniku kybernetického incidentu.

449

* Zvýšenie miery súladu s platnou legislatívou.

450

* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

451

* Zvýšenie detekcie kybernetických bezpečnostných incidentov.

452

* Zvýšená spokojnosť a dôvera používateľov.

453

454

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

455

456

Rámcový rozpočet projektu je stanovený na sumu 449 617,25 EUR s DPH.

457

458

Projekt bude financovaný z Programu Slovensko:

459

460

* špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,

461

* opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,

462

* oblasť B. Kybernetická a informačná bezpečnosť.

463

464

Projekt je v súlade s nasledovným typom aktivity**: Podpora včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9** s definovanou hlavnou aktivitou: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**.

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

469

470

SŠHR SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti patrí prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

471

472

* organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

473

* riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

474

* personálnej bezpečnosti,

475

* riadenia prístupov,

476

* riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

477

* bezpečnosti pri prevádzke informačných systémov a sietí,

478

* hodnotenia zraniteľností a bezpečnostných aktualizácií,

479

* ochrany proti škodlivému kódu,

480

* sieťovej a komunikačnej bezpečnosti,

481

* akvizície, vývoja a údržby informačných sietí a informačných systémov,

482

* zaznamenávania udalostí a monitorovania,

483

* fyzickej bezpečnosti a bezpečnosti prostredia,

484

* riešenia kybernetických bezpečnostných incidentov,

485

* kryptografických opatrení,

486

* kontinuity prevádzky,

487

* auditu, riadenia súladu a kontrolných činností.

488

489

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. SŠHR SR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

490

491

V súlade s § 29 ZoKB prebiehal na SŠHR SR v období od 19.10.2023 do 24.10.2023 audit kybernetickej bezpečnosti. Dňa 23.11.2023 bola SŠHR SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB SŠHR SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde SŠHR SR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.

**Dotknutý IS VS**:

* Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.

496

497

Dotknuté** úseky, agendy VS a životné situácie:**

498

499

* Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na SŠHR SR.

500

501

**Dotknuté prioritné osy v zmysle NKIVS:**

502

503

* Prioritná os 4 – Kybernetická a informačná bezpečnosť

504

505

**Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:**

506

507

Prioritná os 4: Kybernetická a informačná bezpečnosť

508

509

* Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

510

511

Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:

512

513

* **PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: 1**

514

* **PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 95**

515

516

Ukazovateľ PR017 uvádza počet všetkých zamestnancov SŠHR SR, ktorí budú primárnou skupinou nových/vylepšených produktov a procesov realizovaných v rámci projektu.

(% class="" %)|(((

**P.č.**

)))|(((

**Názov hodnotiaceho kritéria**

522

)))|(((

523

**Parametre v projekte**

)))|(((

**Zdroj**

)))

(% class="" %)|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

531

)))|(((

532

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

533

)))|(((

534

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_Projekt_KyberSecSŠHR.xlsx, ktorý tvorí aj prílohu ŽoNFP.

)))

(% class="" %)|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

540

)))|(((

541

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

542

)))|(((

543

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

)))

(% class="" %)|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu.

553

)))|(((

554

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.

555

)))|(((

556

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

557

558

- Kontinuita prevádzky

559

560

- Sieťová a komunikačná bezpečnosť

561

562

- Bezpečnosť pri prevádzke informačných systémov a sietí

563

564

- Zaznamenávanie udalostí a monitorovanie

565

566

- Riešenie kybernetických bezpečnostných incidentov

567

568

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

\\

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

)))

(% class="" %)|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.

578

)))|(((

579

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.

580

)))|(((

581

§ 24 ods. 2 písm. a) – kategória: III

582

583

§ 24 ods. 2 písm. b) a c) – kategória: III

584

585

§ 24 ods. 2 písm. d) – kategória: III

586

587

§24 ods. 2 písm. e) – kategória: III

)))

\\

(% class="" %)|(((

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

(% class="" %)|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

601

602

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

III.

)))|(((

Počet interných zamestnancov: 100

Počet klientov:

- Fyzické osoby (občania): **5 424 687** (k 1.1.2024, zdroj Štatistický úrad SR)

611

612

- Právnické osoby: 3000 (údaje za rok 2023) (obce, mestá, VÚC, ministerstvá, externí ochraňovatelia)

613

614

Celkom 5 427 687 dotknutých osôb.

615

)))

616

(% class="" %)|(((

617

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

618

619

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona

624

625

Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

III.

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky má ISVS, ktoré sú technicky realizované pre účely základnej služby pomocou 12 IS. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní , čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby:

630

631

- na strane zamestnancov úradu v rozsahu 7125 hodín (pracovný deň v rámci úradu je 7,5 hodiny)

632

633

- v rozsahu dostupnosti služby pre občanov a podnikateľov v rozsahu 433 974 960 hodín (pracovný deň 8 hodín).

634

635

Teda celkovo by bola prevádzka základnej služby nedostupná na území Slovenskej republiky 433 982 085 hodín.

636

)))

637

(% class="" %)|(((

638

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

639

640

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

Incident spôsobil úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie, nedostupnosť informácií pohotovostných a mobilizačných skladových zásobách SŠHR SR.

645

)))

646

(% class="" %)|(((

647

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

648

649

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

)))|(((

III.

)))|(((

Incident by spôsobil narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti Slovenskej republiky.

)))

\\

**Identifikované problémy súčasného stavu**

659

660

Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

661

662

Celková **úroveň riadenia kybernetickej a informačnej bezpečnosti Správy štátnych a hmotných rezerv Slovenskej republiky** v zmysle požiadaviek zákona o kybernetickej bezpečnosti **a zavedených opatrení** v zmysle vyhlášky 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) sú považované na základe auditu za **ČIASTOČNE SPLNENÉ**. Správa štátnych hmotných rezerv ako poskytovateľ základnej služby vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.. Touto vyhláškou Národného bezpečnostného úradu sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

663

664

**Stratégia kybernetickej bezpečnosti** obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z..

665

666

Zavedený proces **klasifikácie informácií **je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

667

668

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oblastiach:

669

670

* Potreba implementácie HW a SW časti bezpečnosti siete a implementácie sieťovej a komunikačnej bezpečnosti siete (dodávka firewallov a nástroja na ich manažovanie)

671

* Potreba riešenia problému absentujúceho **systému pre zber a analýzu bezpečnostných udalostí (SIEM)**

672

* Potreba riešenia problému absentujúceho **systému pre zaznamenávanie udalostí a monitorovanie sietí (Log manažment systém)**

673

* Potreba riešenia problému absentujúceho **systému pre ochranu proti škodlivému kódu (Dodanie a implementácia EDR)**

674

* **Aktualizácie metodík, vytvorenie a aktualizácia bezpečnostnej dokumentácie, vykonanie analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM**

675

676

* Audit a kontrolné činnosti - obstaranie externých testov zraniteľností, penetračných testov a pod. (**Penetračné testovanie**)

677

* Financovanie nákladov spojených s **auditom kybernetickej bezpečnosti** podľa § 29 zákon č. 69/2018 Z. z.

678

* Potreba zabezpečiť kontinuitu prevádzky, t.j. je potrebné **zabezpečiť riadenie kontinuity kybernetickej bezpečnosti**

679

680

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

681

682

* Kontinuita prevádzky

683

* Sieťová a komunikačná bezpečnosť

684

* Bezpečnosť pri prevádzke informačných systémov a sietí

685

* Zaznamenávanie udalostí a monitorovanie

686

* Riešenie kybernetických bezpečnostných incidentov

687

* Hodnotenie zraniteľností a bezpečnostné aktualizácie

688

* Ochrana proti škodlivému kódu

689

* Audit a kontrolné činnosti

690

691

**Hlavným problémom, ktorému Správa štátnych hmotných rezerv Slovenskej republiky ako PZS čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne, aby boli technologické náležitosti KIB realizované tak, aby:**

692

693

* **chránili IT systémy, ktoré zabezpečujú prevádzku základnej služby pred kybernetickými útokmi**

694

* **plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,**

695

* **boli pripravené na ďalší rozvoj IT technológií PZS a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.**

\\

**[[image:attach:Obrázok1.png||width="750"]]**

\\

**Hlavné ciele:**

Hlavným cieľom projektu je **zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti** zavedením nových bezpečnostných opatrení:

706

707

* Zvýšenie prijatých bezpečnostných opatrení v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie a ochrane proti škodlivému kódu.

708

* Zabezpečenie pravidelnej aktualizácie pre nové, ako aj už implementované bezpečnostné nástroje (bez pravidelnej aktualizácie neplnia základnú úlohu na čo boli určené, napr. neaktuálna vírusová databáza).

709

* Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti.

\\

\\

**Aplikované princípy informatizácie VS (v zmysle NKIVS):**

716

717

Princíp P6: Bezpečnosť

718

719

* Optimálna úroveň bezpečnosti

720

* Včasné riešenie bezpečnosti

721

* Dostupnosť – odolnosť voči výpadkom

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

\\

(% class="" %)|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

\\

)))|(((

**SUBJEKT**

(názov / skratka)

)))|(((

**ROLA**

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

743

)))|(((

744

**Informačný systém**

745

746

(názov ISVS a MetaIS kód)

)))

(% class="" %)|(((

1.

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky

)))|(((

\\

SŠHR SR

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ/ Užívateľ IS

\\

)))|(((

Automatizovaná správa registratúry - isvs_10546

762

763

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

764

765

Ekonomický informačný systém – SAP - isvs_9045

766

767

Dochádzkový systém AttendanceProW - isvs_9016

768

769

Webové sídlo Správy štátnych hmotných rezerv - isvs_469

Titan - isvs_468

)))

(% class="" %)|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Gestor eGovernmentu

)))|(((

N/A

)))

(% class="" %)|(((

3.

)))|(((

Zamestnanec SŠHR SR

)))|(((

-

)))|(((

Užívateľ

)))|(((

N/A

)))

(% class="" %)|(((

4.

)))|(((

Národný bezpečnostný úrad

)))|(((

NBÚ

)))|(((

\\

)))|(((

N/A

)))

(% class="" %)|(((

5.

)))|(((

Územná samospráva

)))|(((

-

)))|(((

Užívateľ

)))|(((

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

)))

(% class="" %)|(((

6.

)))|(((

Ústredný krízový štáb

)))|(((

-

)))|(((

Vlastník dát/ Užívateľ IS

825

)))|(((

826

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

)))

(% class="" %)|(((

7.

)))|(((

Občan

)))|(((

-

)))|(((

Zákazník / Užívateľ

)))|(((

N/A

)))

(% class="" %)|(((

8.

)))|(((

Podnikateľ

)))|(((

-

)))|(((

Zákazník / Užívateľ

)))|(((

N/A

)))

\\

\\

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

\\

Hlavným cieľom projektu je zabezpečenie kybernetickej bezpečnosti Správy štátnych hmotných rezerv Slovenskej republiky, vrátane včasnej a efektívnej reakcie na kybernetické útoky. Zároveň by sa malo dosiahnuť kvalitnejšie a transparentnejšie riadenie celého životného cyklu identifikovaných kybernetických incidentov a zjednotenie postupov a technologickej úrovne kybernetickej odolnosti informačných systémov. Všeobecnými cieľmi preto sú:

\\

* Kvalitnejšie a rýchlejšie riadenie, monitorovanie a reagovanie na kybernetické hrozby.

866

* Zvýšenie efektívnosti ochrany informačných systémov v oblasti správy štátnych hmotných rezerv

867

* Zvýšenie odolnosti informačných systémov voči kybernetickým útokom.

868

* Automatizovaný reporting o vzniku kybernetického bezpečnostného incident.

\\

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

878

)))|(((

879

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1

)))|(((

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

885

)))|(((

886

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

887

)))|(((

888

Dodržanie legislatívnych požiadaviek, implementácia nových nástrojov

)))

**~ **

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

\\

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))

(% class="" %)|(((

1.

)))|(% rowspan="2" %)(((

928

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

929

)))|(((

930

PO095 / PSKPSOI12 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

931

)))|(((

932

Počet verejných inštitúcií, ktoré sú podporované za

933

934

účelom rozvoja a modernizácie kybernetických

935

936

služieb, produktov, procesov a zvyšovania

937

938

vedomostnej úrovne napríklad v kontexte opatrení

939

940

smerujúcich k elektronickej bezpečnosti verejnej

správy.

)))|(((

Počet

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

951

952

Čas plnenia merateľného ukazovateľa projektu:

953

954

Fyzické ukončenie realizácie hlavných aktivít projektu

)))

(% class="" %)|(((

2.

)))|(((

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

960

)))|(((

961

Ukazovateľ PR017 uvádza počet všetkých zamestnancov SŠHR SR, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu

)))|(((

používatelia / rok

)))|(((

0

)))|(((

95

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.

970

971

V prípade SŠHR SR ide o počet zamestnancov, ktorí využívajú IS SŠHR SR alebo akékoľvek elektronické zariadenia v správe SŠHR SR.

972

973

Čas plnenia merateľného ukazovateľa projektu:

974

975

v rámci udržateľnosti projektu

)))

\\

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

983

984

Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celej SŠHR SR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

985

986

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

987

988

Riziká a závislostí sú spracované v Prílohe č. 1 – **Zoznam RIZÍK a ZÁVISLOSTÍ**. Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.

(% class="" %)|(((

**ID**

)))|(((

**NÁZOV RIZIKA a ZÁVISLOSTI**

**~ **

)))|(((

**POPIS / NÁSLEDOK**

)))

(% class="" %)|(((

**1**

)))|(((

Nebude možné naplniť všetky kvalitatívne požiadavky projektu.

1003

)))|(((

1004

Nebudú plne dosiahnuté očakávané benefity projektu.

)))

(% class="" %)|(((

**2**

)))|(((

Jednotlivé komponenty projektu nebudú vykazovať známky 100% kompatibility.

1010

)))|(((

1011

Vzhľadom na vytvorenie ekosystému je dôležité, aby jednotlivé prvky boli schopné komunikovať vzájomne a mali rovnaké východiskové požiadavky na obojsmernú programovú komunikáciu.

)))

(% class="" %)|(((

**3**

)))|(((

Nedostupnosť komponentov novej infraštruktúry

1017

)))|(((

1018

Nedostupnosť komponentov novej infraštruktúry, prípadne ich veľmi dlhé dodacie lehoty môžu mať negatívny vplyv na termín ukončenia projektu.

)))

(% class="" %)|(((

**4**

)))|(((

Projekt nebude realizovaný a nasadený podľa plánu.

1024

)))|(((

1025

V prípade omeškania dodávok projektu resp. v prípade omeškania nasadenia výstupov projektu, nebude možné efektívne a včas reagovať na bezpečnostné incidenty.

)))

(% class="" %)|(((

**5**

)))|(((

Nepridelené finančné prostriedky

1031

)))|(((

1032

Predčasné ukončenie projektu, predĺženie doby realizácie projektu.

)))

(% class="" %)|(((

**6**

)))|(((

Komplikácie s verejným obstarávaním

1038

)))|(((

1039

V prípade neskorého vypísania VO, prípadne komplikácií v procese VO by bol ohrozený začiatok implementačnej fázy.

)))

(% class="" %)|(((

**7**

)))|(((

Neúplné požiadavky

)))|(((

Neúplné požiadavky môžu spôsobiť predĺženie trvania projektu, navýšenie nákladov, z dôvodu potreby dodatočného obstarávania komponentov.

)))

(% class="" %)|(((

**8**

)))|(((

Vysoké náklady na prevádzku

1052

)))|(((

1053

Náklady na prevádzku budú vyššie ako plánované. Prekročenie plánovaných nákladov na prevádzku. Potreba dodatočných finančných zdrojov.

)))

(% class="" %)|(((

**9**

)))|(((

Ohrozenie prevádzky a dostupnosti systému

1059

)))|(((

1060

Ohrozenie prevádzky a dostupnosti systému z dôvodu možných kybernetických útokov.

)))

(% class="" %)|(((

**10**

)))|(((

Nedostatočné vyhodnotenie kvality

1066

)))|(((

1067

Neodhalenie slabých miest v jednotlivých fázach implementácie projektu.

)))

(% class="" %)|(((

**11**

)))|(((

Nesúčinnosť a nespoľahlivosť dodávateľa

1073

)))|(((

1074

Predčasné ukončenie projektu, alebo predĺženie doby realizácie projektu.

)))

(% class="" %)|(((

**12**

)))|(((

Nedostatok ľudských zdrojov

1080

)))|(((

1081

Predĺženie doby realizácie projektu. Výstupy projektu budú dodané v nedostatočnej kvalite.

)))

\\

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

\\

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a celú životnú situáciu rieši komplexne.

\\

=== {{id name="projekt_2560_Projektovy_zamer_detailny-Alternatíva1-Ponechaniesúčasnéhostavu"/}}Alternatíva 1 - Ponechanie súčasného stavu ===

1097

1098

Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z.

\\

**Alternatíva 2 – Aktualizácia bezpečnostnej dokumentácie a čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti**

1103

1104

Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti implementáciou nástrojov EDR na vybrané zariadenia a implementáciou NGFW.

\\

**Alternatíva 3 – Aktualizácia bezpečnostnej dokumentácie a zvýšenie úrovne kybernetickej a informačnej bezpečnosti na základe zistení z vykonaného auditu bezpečnosti**

1109

1110

Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom.Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady na zefektívnenie poskytovaných. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti v rámci SŠHR SR implementáciou nástrojov na riadenie EDR, SIEM, Log management, NGFW a ďalších.

// //

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

\\

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

\\

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej).

\\

(% class="" %)|(((

**// //**

)))|(((

**KRITÉRIUM**

)))|(((

**ZDÔVODNENIE KRIÉRIA**

1134

)))|(((

1135

**OBČAN/ PODNIKATEĽ**

)))|(((

**ÚRADNÍK**

)))|(((

**SŠHR SR**

)))|(((

**NBÚ**

)))

(% class="" %)|(% rowspan="6" %)(((

1144

STANOVENÉ ALTERNATÍVY

// //

)))|(((

Kritérium A (KO) Kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti,

1149

1150

Monitorovanie kritických informačných systémov.

1151

)))|(((

1152

Nový systém by mal výrazne skvalitniť poskytovanie služieb kybernetickej ochrany pre IS úradu.

)))|(((

\\

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium B (KO) Zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

1164

)))|(((

1165

Automatizácia výkonu kybernetickej ochrany a hĺbková detekcia.

)))|(((

\\

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium C (KO)

Integrácia všetkých používaných systémov.

1179

)))|(((

1180

Zjednotenie kybernetickej ochrany v rámci úradu.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium D (KO) Jednotnosť procesov a používaných

Aplikácií.

)))|(((

Jednotnosť procesov a postupov je základným cieľom efektívneho riadenia kybernetickej a informačnej bezpečnosti.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium E (KO) . Zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS

1207

)))|(((

1208

Kvalitné a efektívne riadenie kybernetickej bezpečnosti sa dá

1209

1210

zabezpečiť iba pomocou existencie

1211

1212

štruktúrovaných informácií na základe ktorých sa dajú prijímať

1213

1214

rýchle a kvalifikované rozhodnutia.

)))|(((

X

)))|(((

\\

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Kritérium F Bezpečné prepojenie so

systémami SŠHR SR

\\

)))|(((

Systematické zvýšenie úrovne zabezpečenia prenosu citlivých

Údajov.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

\\

(% class="" %)|(((

**Zoznam kritérií**

)))|(((

**Alter-natíva**

**1**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alter-natíva 2**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alternatíva 3**

)))|(((

**Spôsob**

**dosiahnutia**

)))

(% class="" %)|(((

Kritérium A

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementáciou alternatívy 2 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.

)))|(((

áno

)))|(((

Implementáciou alternatívy 3 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.

)))

(% class="" %)|(((

Kritérium B

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementácia alternatívy 2 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

)))

(% class="" %)|(((

Kritérium C

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 nezabezpečí zjednotenie kybernetickej ochrany v rámci úradu.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí zjednotenie kybernetickej ochrany v rámci úradu.

)))

(% class="" %)|(((

Kritérium D

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 neprispeje k jednotnosti procesov a používaných

aplikácií.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 prispeje k jednotnosti procesov a používaných

aplikácií.

)))

(% class="" %)|(((

Kritérium E

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementácia alternatívy 2 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.

)))

(% class="" %)|(((

Kritérium F

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 sa nezabezpečí prepojenie IS na elektronický prenos informácií.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí bezpečné prepojenie IS na elektronický prenos informácií.

)))

\\

**Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 3 ako jediná, ktorá spĺňa všetky požiadavky**.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

\\

Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 3. Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1379

1380

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy. Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

1381

1382

= {{id name="projekt_2560_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1383

1384

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Výstupom bude aj dodanie používateľskej príručky, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (Havarijný plán) a bezpečnostný projekt. Na dodržanie štandardov sa použije M-04 Audit kvality zameraný na výstupy z iniciačnej, realizačnej a dokončovacej fázy projektu.

\\

Realizácia projektu bude v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. pozostávať z uvedených etáp:

\\

* Analýza a dizajn,

* Nákup technických prostriedkov, programových prostriedkov a služieb

1394

* Implementácia a testovanie,

\\

SŠHR SR bude pri implementácii postupovať v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre a požadované výstupy budú dodávane primerane vzhľadom na charakter projektu.

\\

(% class="" %)|(((

**Etapa**

)))|(((

**Požadované výstupy**

)))

(% class="" %)|(((

**Analýza a dizajn**

)))|(((

**Úvodná správa (Projektový iniciálny dokument, ďalej ako „PID“) pre všetky funkčné oblasti**

- Zoznam požiadaviek

- Akceptačné kritériá

1415

1416

- Rámcová špecifikácia riešenia (Popis produktu, Dekompozícia produktu, Vývojový diagram

produktu)

- Biznis architektúra

1421

1422

- Aplikačná architektúra

1423

1424

- Technologická architektúra – časť systémová architektúra

1425

1426

- Bezpečnostná architektúra

1427

1428

- Stratégia testovania

- Plán testovania

- Testovacie scenáre a prípady

1433

1434

**Detailná funkčná špecifikácia riešenia**

1435

1436

- vypracovanie registratúrneho poriadku

1437

1438

- detailný popis funkcionality a biznis požiadaviek,

1439

1440

- Blokové a dátové modely finálneho produktu

1441

1442

**Detailná technická špecifikácia, pre všetky systémy samostatne**

1443

1444

- technická architektúra – časť fyzická architektúra

1445

1446

- špecifikácia správy používateľov a používateľských profilov (vrátane rolí a práv)

1447

1448

- špecifikácia podpory identifikácie používateľov a autentifikácie vykonávaných činností

1449

1450

- špecifikácia technologických riešení a predpokladov na dosiahnutie výkonnostných požiadaviek

- Plán testovania

- Testovacie scenáre a prípady

- Plán Implementácie

)))

(% class="" %)|(((

**Nákup technických prostriedkov, programových prostriedkov a služieb**

1460

)))|(((

1461

**Obstaranie programových prostriedkov a služieb (R2-2)**

1462

)))

1463

(% class="" %)|(((

1464

**Implementácia a testovanie**

)))|(((

**Implementácia:**

**Implementačný plán pre všetky funkčné oblasti samostatne:**

1469

1470

- Implementácia systémov pre všetky funkčné oblasti samostatne

1471

1472

- Implementácia integrácií systémov pre všetky funkčné oblasti samostatne

1473

1474

- Úvodná konfigurácia systému podľa reálnych biznis procesov pre testovacie účely

1475

1476

- Vybudovanie testovacieho prostredia, jeho nasadenie a oživenie diela pre všetky systémy a pre všetky funkčné oblasti samostatne

1477

1478

- Implementácia procesov

**Testovanie:**

**Zrealizovanie testovania minimálne v nasledovnom rozsahu:**

- Funkčné testy

- Bezpečnostné testy - v rozsahu dokumentu „Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti“ (dostupná na [[https:~~/~~/www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf>>url:https://www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf||shape="rect"]])

- Záťažové testy

- Systémové integračné testy

1491

1492

- Testy použiteľnosti

1493

1494

- Používateľské akceptačné testovanie

)))

(% class="" %)|(((

**Nasadenie**

)))|(((

**Nasadenie do produkcie:**

1500

1501

- Príprava produkčného prostredia

1502

1503

- Administratívna príprava produkčného prostredia (procesy, dokumentácia)

1504

1505

- Inštalácia riešenia do produkčného prostredia

1506

1507

- Sprístupnenie riešenia v produkčnom prostredí vybraným používateľom

)))

(% class="" %)|(((

**~ **

**Dokončovacia fáza projektu**

1513

)))|(((

1514

**Manažérsky produkt**

1515

1516

**- **M-02 Správa o dokončení projektu

1517

1518

**- **M-02 Plán kontroly po odovzdaní projektu

1519

1520

**- **M-02 Odporúčanie nadväzných krokov

1521

1522

**- **M-02 Plán monitorovania a hodnotenia po odovzdaní projektu

1523

)))

1524

(% class="" %)|(((

1525

**Služby projektového riadenia**

1526

)))|(((

1527

**Manažérsky produkt**

1528

1529

**- **M-01 Plán etapy

1530

1531

**- **M-02 Manažérske správy, plány, reporty, zoznamy a požiadavky

1532

1533

**- **M-03 Akceptačný protokol

1534

1535

**- **M-04 Audit kvality

1536

1537

**- **M-05 Analýza nákladov a prínosov

)))

\\

Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:

1543

1544

* Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.

1545

* Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre SŠHR SR.

1546

* Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre SŠHR SR.

1547

* Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.

1548

* Dodanie a aktualizácia bezpečnostnej dokumentácie, projektového manažmentu a riadenia.

\\

= {{id name="projekt_2560_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

\\

Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na SŠHR SR. Kybernetická bezpečnosť je z pohľadu podnikovej architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.

\\

Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:

1561

1562

* Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.

1563

* Aktualizácia bezpečnostnej stratégie kybernetickej bezpečnosti.

1564

* Vytvorenie a aktualizácia bezpečnostných politík kybernetickej bezpečnosti.

1565

* Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.

1566

* Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.

1567

* Zavedenie BCM a SDLC procesov do prevádzky úradu

\\

Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:

1572

1573

* Zavedenie a implementácia centrálneho nástroja pre zber a analýzu bezpečnostných udalostí (SIEM) a zaznamenávanie udalostí a monitorovanie sietí (Log manažment systém)

1574

* Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.

1575

* Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.

1576

* Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

\\

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1583

1584

Kapitola je spracovaná v dokumente I-03 Prístup k projektu.

1585

1586

= {{id name="projekt_2560_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

\\

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

1591

1592

Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

1593

1594

Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.

1595

1596

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

1597

1598

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

1599

1600

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

1601

1602

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

1603

1604

Zákon č. 218/2013 Z.z. o núdzových zásobách ropy a ropných výrobkov a o riešení stavu ropnej núdze a o zmene a doplnení niektorých zákonov

1605

1606

Zákon č. 372/2012 Z. z. o štátnych hmotných rezervách a o doplnení zákona č. 25/2007 Z. z. o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

1607

1608

Smernica č. 1/2021 Postup pri tvorbe, hospodárení a použití mobilizačných rezerv

1609

1610

Smernica č. 4/2021 Postup pri tvorbe, hospodárení a použití pohotovostných zásob

1611

1612

Smernica č. 17/2021 Skladová evidencia štátnych hmotných rezerv

1613

1614

Smernica č. 8/2022 – Financovanie bežných výdavkov ochraňovateľov spojených s ochraňovaním mobilizačných rezerv a pohotovostných zásob hradených zo štátneho rozpočtu

1615

1616

Smernica č. 15/2019 Stanovenie spôsobu merania a výpočtu množstva skladovaných hmotných rezerv, noriem strát pri skladovaní a manipulácii s materiálmi zásob hmotných rezerv

1617

1618

= {{id name="projekt_2560_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1619

1620

V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).

1621

1622

**KVANTITATÍVNE PRÍNOSY:**

1623

1624

**Zabránenie riziku narušenia údajov implementáciou EDR**

1625

1626

Prínos je vypočítaný ako rozdiel medzi sumárom pravdepodobných priemerných nákladov v prípade narušenia údajov medzi prostredím bez implementovaného riešenia EDR a prostredím s implementovaným EDR. Priemerné náklady sú vypočítané ako úspora na priemerných nákladoch pri úspešnom porušení údajov. Implementácia riešenia EDR počíta so znížením rozsahu dopadu o 97%.

\\

**Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku**

1631

1632

Riziko dopadu veľmi závažného incidentu podľa VM je v súčasnosti 10%. Aj keď z praxe vyplýva, že periodicita takéhoto incidentu je 1 krát za 10r. Nasadením riešenia dôjde k zníženiu pravdepodobnosti dopadu závažného incidentu o polovicu. Zároveň zmenou bezpečnostnej architektúry, zálohovania a zavedením Bussiness continuty manažmentu dôjde k zníženiu doby obnovy z 14 (10 prac.) dní na 2 dni.

**~ **

**KVALITATÍVNE PRÍNOSY:**

1637

1638

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti Správy štátnych hmotných rezerv Slovenskej republiky prináša viaceré významné kvalitatívne prínosy v oblasti kybernetickej bezpečnosti a ochrany kritických informačných systémov:

\\

**Zvýšená kybernetická ochrana - **Projekt prispieva k posilneniu ochrany pred kybernetickými hrozbami a útokmi. Zvýšená schopnosť detekcie a prevencie hrozieb pomáha minimalizovať riziko kybernetických incidentov a znefunkčnenia kritických systémov. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že organizácia bude vystavená menej rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Súčasné kybernetické hrozby neustále evoluujú a stávajú sa čoraz zložitejšími a nebezpečnejšími. Útoky sa objavujú na nových frontoch a využívajú nové techniky na obehnanie existujúcich obranných mechanizmov. Tieto hrozby predstavujú závažné riziká pre organizáciu, ktoré môžu mať vážne dôsledky na jej činnosť a povesť. V rámci projektu investujeme do nových technológií, nástrojov a stratégií, ktoré organizácii umožnia identifikovať a eliminovať tieto hrozby na najvyššej úrovni. Vytvoríme širší a komplexnejší prístup k kybernetickej bezpečnosti, ktorý zabezpečí, že organizácia bude dobre pripravená na kybernetické hrozby všetkých druhov. Rozšírením kybernetickej bezpečnosti na najvyššiu úroveň budeme mať možnosť brániť sa najnáročnejším útokom a minimalizovať ich škodlivé účinky. Tým zabezpečíme ochranu aktív a dôvernosti organizácie, čo je kritické pre našich klientov, zamestnancov a partnerov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť a prosperitu organizácie.

1643

1644

**Rýchlejšia reakcia na hrozby -** Implementácia technologických riešení a automatizácia procesov umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budeme implementovať najmodernejšie technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k okamžitejšom nasadení potrebných opatrení na minimalizáciu potenciálnych škôd. To znamená, že vďaka implementácii projektu budeme schopní zareagovať na hrozby rýchlejšie a účinnejšie. Výsledkom je nielen zníženie rizika pre organizáciu, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť. Zvýšená rýchlosť a efektivita reakcie na kybernetické hrozby prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesť. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany organizácie pred hrozbami v dnešnom digitálnom svete.

1645

1646

**Hĺbková analýza hrozieb –** Projektom sa zvýši schopnosť odhaľovať sofistikované hrozby a budúce kybernetické útoky. Hĺbková analýza je kritická v identifikácii a porozumení novým a komplexným hrozbám, ktoré sa vyvíjajú v kybernetickom prostredí. Prostredníctvom projektu investujeme do školenia našich expertov a do moderných nástrojov na analýzu a identifikovanie hrozieb, čo umožní získať hlbší pohľad do štruktúry hrozieb a ich metód. Okrem toho, sledovanie správania útočníkov je ďalším významným prvkom hĺbkovej analýzy. S týmito nástrojmi sme schopní sledovať, ako sa útočníci pohybujú v našej sieti a aké kroky podnikajú na dosiahnutie svojich cieľov. Toto je kľúčové pri rozpoznaní sofistikovaných útokov, ktoré môžu byť skryté a ťažko detekovateľné tradičnými metódami. Zlepšená schopnosť hĺbkovej analýzy hrozieb prinesie organizácii výhody v podobe predchádzania novým, ešte neznámym útokom a rýchlejšiemu vytváraniu ochranných opatrení. Týmto spôsobom projekt prispieva k dlhodobejšiemu zabezpečeniu organizácie pred kybernetickými hrozbami a znižuje pravdepodobnosť závažných incidentov.

1647

1648

**Spolupráca a komunikácia -** Zlepšená spolupráca a komunikácia medzi rôznymi tímami v organizácii pomáha včasnému zdieľaniu informácií o hrozbách a koordinácii reakcií na kybernetické incidenty. Zlepšená spolupráca znamená, že tímy zamerané na bezpečnosť, IT, a všetky ďalšie príslušné oddelenia budú mať jednoduchší prístup k informáciám o kybernetických hrozbách. To umožní včasné a rýchle zdieľanie informácií o identifikovaných rizikách a aktuálnych situáciách. Týmto spôsobom môžeme predchádzať izolovaným silám a skrátiť čas, ktorý by inak bol stratený na vyhľadávanie dôležitých informácií. V prípade kybernetických incidentov, kedy každá sekunda záleží, umožňuje tento projekt okamžitú komunikáciu a koordináciu reakcií. Rôzne tímy sú schopné okamžite reagovať na situácie, spolupracovať na náprave incidentu a obnoviť normálnu prevádzku bez neprimeraného omeškania. Spolupráca a komunikácia sú kľúčom k efektívnemu kybernetickému bezpečnostnému procesu, a ich zdokonalenie v rámci tohto projektu posilňuje obranu organizácie proti hrozbám. Zabezpečuje to, že organizácia je jednotným tímom, ktorý je schopný reagovať na kybernetické hrozby s jednotným úsilím, čo vedie k zníženiu rizika a minimalizácii škôd.

1649

1650

**Zvýšená reputácia a dôvera -** Dôsledné opatrenia v oblasti kybernetickej bezpečnosti pomáhajú zvýšiť dôveru v štát a reputáciu krajiny. Zabezpečením integrity, dôvernosti a dostupnosti dôležitých informácií a služieb v kybernetickom priestore sa zlepšuje vnímaná kvalita a spoľahlivosť verejnej správy.

1651

1652

**Rýchla identifikácia nových hrozieb -** Vďaka zdokonaleným nástrojom môže organizácia rýchlejšie identifikovať nové kybernetické hrozby. S novými technológiami a analýzou správania útočníkov môžeme odhaliť aj rafinovanejšie útoky, ktoré by mohli uniknúť tradičným bezpečnostným systémom.

1653

1654

**Včasné varovania -** Proaktívna kybernetická bezpečnostná stratégia umožňuje organizácii generovať včasné varovania a upozornenia na potenciálne hrozby. To dáva tímom viac času na prípravu a predchádzanie útokom.

1655

1656

**Preventívne opatrenia -** Projekt zahŕňa implementáciu preventívnych opatrení na základe včasného rozpoznania hrozieb. Tieto opatrenia môžu zahŕňať aktualizácie zraniteľných systémov, zvýšenú monitorovanie, a iné kroky na minimalizáciu rizika.

1657

1658

**Znižuje zraniteľnosť organizácie -** Proaktivita v reakcii na kybernetické hrozby robí organizáciu menej zraniteľnou voči novým hrozbám. Tým sa minimalizuje potenciálna škoda, ktorú by organizácia mohla utrpieť v dôsledku kybernetického útoku.

\\

**Projektom sa zabezpečí, že organizácia nebude iba pasívnym príjemcom informácií o hrozbách, ale aktívnym účastníkom v boji proti nim. Tým sa SŠHR SR stane schopnou predvídať a čeliť hrozbám s vyššou efektivitou a dôslednosťou, čím sa posilňuje celková kybernetická bezpečnosť. Celkovo projekt prispeje k vytvoreniu moderného a efektívneho systému včasnej reakcie na kybernetické hrozby v oblasti verejnej správy. Zvýšená kybernetická ochrana a reaktívna schopnosť pomôžu minimalizovať riziká, ktoré kybernetický priestor predstavuje pre dôležité informácie a služby, a to nielen v v pôsobnosti SŠHR SR, ale aj pre celý štát.**

\\

**Opis rozpočtu projektu a detailný popis nákladov**

1667

1668

Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“ Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená cena s DPH za jednotlivé položky.

\\

Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia SŠHR SR:

\\

(% class="" %)|(((

**Názov položky**

)))|(((

**Počet**

)))|(((

**Skupina nákladov**

)))|(((

**Cena celkom s DPH**

1684

)))

1685

(% class="" %)|(((

1686

I. Dodanie NGFW zariadení Firewall typ A

1687

1688

I. Dodanie NGFW zariadení Firewall typ B

1689

1690

I. Implementácia Firewall typ A

1691

1692

I. Implementácia Firewall typ B

I. Školenie

)))|(((

1 komplet

)))|(((

022 – HW

022 – HW

518 – Ostatné služby

518 – Ostatné služby

518 – Ostatné služby

)))|(((

78 870,84 EUR

)))

(% class="" %)|(((

II. Dodanie log manažment systému (LMS)

1712

1713

II. Implementácia log manažment systému

II. Školenie LMS

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

102 510,80 EUR

)))

(% class="" %)|(((

III. Dodanie EDR

III. Implementácia EDR

III. Školenie EDR

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

31 053,00 EUR

)))

(% class="" %)|(((

IV. Dodanie SIEM

IV. Implementácia SIEM

IV. Školenie SIEM

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

108 258,80 EUR

)))

(% class="" %)|(((

V. Aktualizácie metodík, vytvorenie a aktualizácia bezpečnostnej dokumentácie, vykonanie analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM

1763

1764

V. Podpora pri zavedení metodík, bezpečnostnej dokumentácie, analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM do praxe

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

60 804,00 EUR

)))

(% class="" %)|(((

VI. Penetračné testovanie

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

8 256,00 EUR

)))

(% class="" %)|(((

VII. Audit kybernetickej bezpečnosti

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

7 736,00 EUR

)))

(% class="" %)|(((

Interné kapacity – Kľúčový používateľ

)))|(((

700 človekohodín

)))|(((

521 - Mzdové výdavky

)))|(((

22 713,60 EUR

)))

(% class="" %)|(((

Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach

)))|(((

7%

)))|(((

907 - Paušálna sadzba

)))|(((

29 414,21 EUR

)))

(% class="" %)|(((

**Celková suma**

)))|(((

**~ **

)))|(((

**~ **

)))|(((

**449 617,25 EUR**

)))

\\

Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu **449 617,25 EUR** s DPH. Podporné aktivity budú realizované v rozpočte projektu do maximálnej výšky 7%. Podporné aktivity budú využité maximálne do uvedeného rozpočtu na riadenie projektu a publicitu a informovanosť.

\\

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

\\

(% class="" %)|(((

Náklady

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

1834

)))

1835

(% class="" %)|(((

1836

**Všeobecný materiál**

)))|(((

\\

)))

(% class="" %)|(((

**IT - CAPEX**

)))|(((

\\

)))

(% class="" %)|(((

Služby (518)

)))|(((

//179 284,00 Eur//

)))

(% class="" %)|(((

SW (013)

)))|(((

//189 982,60 Eur//

)))

(% class="" %)|(((

HW (022)

)))|(((

//28 222,84 Eur//

)))

(% class="" %)|(((

**IT - OPEX- prevádzka**

)))|(((

\\

)))

(% class="" %)|(((

Aplikácie

)))|(((

//13 350,00 Eur / rok//

)))

(% class="" %)|(((

SW

)))|(((

//16 370,30 Eur / rok//

)))

(% class="" %)|(((

HW

)))|(((

//5 275,60 Eur / rok//

)))

(% class="" %)|(((

**Prínosy**

)))|(((

\\

)))

(% class="" %)|(((

**Finančné prínosy**

)))|(((

\\

)))

(% class="" %)|(((

Administratívne poplatky

)))|(((

//-//

)))

(% class="" %)|(((

Ostatné daňové a nedaňové príjmy

)))|(((

//-//

)))

(% class="" %)|(((

**Ekonomické prínosy**

)))|(((

\\

)))

(% class="" %)|(((

Občania (€)

)))|(((

//N/A//

)))

(% class="" %)|(((

Úradníci (€)

)))|(((

//1 370 253 Eur//

)))

(% class="" %)|(((

Úradníci (FTE)

)))|(((

//N/A//

)))

(% class="" %)|(((

**Kvalitatívne prínosy**

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

//-//

)))

\\

= {{id name="projekt_2560_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

\\

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

\\

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

12/2024

)))|(((

\\

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))|(((

\\

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

01/2025

)))|(((

03/2025

)))|(((

\\

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

01/2025

)))|(((

12/2025

)))|(((

Je potrebné obstarať dodávateľa riešenia/ licencie[[~[1~]>>path:#_ftn1||name="_ftnref1" shape="rect"]]/ konzultačné služby/ HW a SW

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

04/2025

)))|(((

09/2025

)))|(((

\\

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

10/2025

)))|(((

12/2025

)))|(((

\\

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))|(((

\\

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

\\

)))|(((

Potrebné obstarať SLA zmluvu

)))

\\

**Projekt bude realizovaný metódou Waterfall v súlade s **Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou.

// //

// [[image:attach:Obrázok2.png||height="400"]]//

// //

\\

\\

= {{id name="projekt_2560_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

\\

**Riadiaci výbor** projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

\\

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

2068

2069

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

2070

2071

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

\\

Riadiaci výbor projektu môžu tvoriť:

2076

2077

1. **predseda** Riadiaceho výboru projektu,

2078

1. **podpredseda **Riadiaceho výboru projektu,

2079

1. **vlastník alebo vlastníci procesov SŠHR** (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,

2080

1. **zástupcu kľúčových používateľov **(end user),

2081

1. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.

2082

1. projektový manažér prijímateľa PPM.

\\

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

\\

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

\\

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

\\

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

2099

2100

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

\\

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

\\

(% class="" %)|(((

**ID**

)))|(((

**MENO A PRIEZVISKO**

)))|(((

**POZÍCIA**

)))|(((

**ORGANIZAČNÝ ÚTVAR**

2116

)))|(((

2117

**ROLA V PROJEKTE S UVEDENÍM HLASOVACIEHO PRÁVA**

)))

(% class="" %)|(((

1.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Predseda RV (HP)

)))

(% class="" %)|(((

2.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Podpredseda RV (HP)

)))

(% class="" %)|(((

3.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca vlastníkov procesov (HP)

)))

(% class="" %)|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca vlastníkov procesov II. (HP)

)))

(% class="" %)|(((

5.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupcu kľúčových používateľov

)))

(% class="" %)|(((

6.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca Dodávateľa

)))

(% class="" %)|(((

7.

)))|(((

Mgr. Tibor Balberčák

)))|(((

Projektový manažér

)))|(((

Odbor informačných technológií

2193

)))|(((

2194

Projektový manažér prijímateľa

)))

\\

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

2200

2201

Projektový tím bude pozostávať z pozícií:

2202

2203

* Projektové role:

2204

* Projektový manažér,

2205

* Kľúčový používateľ,

2206

* Manažér kybernetickej a informačnej bezpečnosti

\\

* Ďalšie projektové role:

* Finančný manažér

* Asistent PM

V súlade s výzvou SŠHR SR zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov SŠHR SR.

\\

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

2219

2220

Projektový manažér Objednávateľa bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

\\

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

\\

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

\\

(% class="" %)|(((

**ID**

)))|(((

**MENO A PRIEZVISKO**

)))|(((

**POZÍCIA**

)))|(((

**ORGANIZAČNÝ ÚTVAR**

)))|(((

**PROJEKTOVÁ ROLA**

)))

(% class="" %)|(((

1.

)))|(((

Mgr. Tibor Balberčák

)))|(((

Projektový manažér

)))|(((

Odbor informačných technológií

)))|(((

Projektový manažér

)))

(% class="" %)|(((

2.

)))|(((

Ing. Stanislav Lacko

)))|(((

Špecialista v oblasti počítačových sietí

2260

)))|(((

2261

Odbor informačných technológií

)))|(((

Kľúčový používateľ

)))

(% class="" %)|(((

3.

)))|(((

Mgr. Martin Oczvirk

)))|(((

Manažér kybernetickej a informačnej bezpečnosti

2271

)))|(((

2272

Odbor informačných technológií

2273

)))|(((

2274

Manažér kybernetickej a informačnej bezpečnosti

)))

(% class="" %)|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Finančný manažér

)))

(% class="" %)|(((

5.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Asistent PM

)))

\\

\\

== {{id name="projekt_2560_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

\\

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**PROJEKTOVÝ MANAŽÉR**

2313

)))

2314

(% class="" %)|(((

2315

Detailný popis rozsahu zodpovedností, povinností a kompetencií:

2316

)))|(((

2317

- zodpovedá za každodenné riadenie projektu v mene RV, za monitorovanie projektu, za plánovanie aktivít, za informovanie o projekte, atď.,

2318

2319

- zodpovedá za určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory RV pre riadenie, plánovanie a kontrolu projektu a efektívne využívanie projektových zdrojov (ľudských a finančných),

2320

2321

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR), metodických požiadaviek súvisiacich s implementáciou projektu a formálnu administráciu projektu súvisiacu s riadením, organizovaním, finančným zúčtovaním, sledovaním čiastkových a celkových výsledkov (monitorovaním) a hodnotením výsledkov,

2322

2323

- integrovane riadi prípravu a uskutočnenie projektu, nasadenie disponibilných prostriedkov, zabezpečuje koordináciu dodávateľov a zhotoviteľov jednotlivých výstupov projektu, zabezpečuje koordináciu partnerov, časový priebeh a kvalitu výstupov projektu, zmeny projektu a rieši konflikty s okolím projektu,

2324

2325

- prijíma rozhodnutia a riadi projekt tak, aby sa splnili stanovené ciele projektu, a aby projekt dodával dohodnuté produkty v dohodnutej kvalite, v čase, a v rámci rozpočtu,

2326

2327

- zodpovedá RV za plnenie cieľov projektu a celkový postup prác v projekte,

2328

2329

- informuje RV o stave a priebehu projektu, predkladá návrhy na zlepšenie,

2330

2331

- riadi strategické a projektové riziká, vrátane vývojových a rezervných plánov,

2332

2333

- zodpovedá za identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii,

2334

2335

- aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

2336

2337

- zabezpečuje kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

2338

2339

- zabezpečuje vecnú administráciu zúčtovania dodávateľských faktúr,

2340

2341

- predkladá požiadavky dodávateľa na rokovanie RV,

2342

2343

- zodpovedá za koordináciu a zabezpečenie podkladov pre oddelenie komunikačné pre potreby medializácie projektu,

2344

2345

- zodpovedá za informovanie zamestnancov a verejnosti o začatí a ukončení projektu v závislosti od jeho charakteru,

2346

2347

- zodpovedá za zabezpečenie vypracovania, priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie a produktov,

2348

2349

- pripravuje a predkladá stanovené dokumenty na schválenie RV,

2350

2351

- navrhuje zaradiť projekt alebo jeho časť do režimu utajenia,

2352

2353

- zabezpečuje permanentný dohľad a zvýšenú mieru kontroly a ochrany tokov informácií pri realizácii utajovaného projektu alebo utajovanej časti projektu,

2354

2355

- zodpovedá za vypracovanie požiadaviek na zmenu, návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV,

2356

2357

- zabezpečuje podanie žiadosti o rozpočtové opatrenie MF SR cez Rozpočtový informačný systém na projekt IT podľa potreby,

2358

2359

- zodpovedá za riadenie zmeny a prípadné požadované riadenie konfigurácií,

2360

2361

- navrhuje členov projektového tímu po dohode s líniovým vedúcim a tímovým manažérom a tiež navrhuje rozsah ich zodpovedností a činností,

2362

2363

- organizuje, riadi, motivuje projektový tím a deleguje úlohy členom projektového tímu,

2364

2365

- hodnotí členov projektového tímu,

2366

2367

- udeľuje pokyny na výkon činností projektovej kancelárie,

2368

2369

- podľa potreby deleguje svoje povinnosti a práva na tímových manažérov a koordinuje ich činnosť,

2370

2371

- plní úlohy tímového manažéra (vedúceho projektového tímu), ak takáto rola v projekte nie je obsadená –viď činnosť projektovej role „Tímový manažér“,

2372

2373

- monitoruje výkonnosť projektu, to znamená, že sleduje pokrok vo vybraných ukazovateľoch (KPI) projektu a predkladá ho na schválenie RV,

2374

2375

- zabezpečuje evidenciu v informačných systémoch pre štandardizované procesy programové a projektového riadenia, napr. IT monitorovací systém pre európske štrukturálne a investičné fondy,

2376

2377

- zodpovedá za publikovanie RV schválených projektových výstupov v MetaIS chronologicky, z každej fázy životného cyklu projektu,

2378

2379

- zodpovedá za publikovanie zápisov RV v MetaIS,

2380

2381

- počas celej doby realizácie projektu štandardne zabezpečuje nasledovné prierezové činnosti:

2382

2383

~1. kontinuálne zdôvodňovanie projektu, ktoré zahŕňa posúdenie, či je projekt požadovaný a dosiahnuteľný, potrebné na rozhodovanie o pokračovaní vynakladania prostriedkov počas všetkých fáz projektu, vypracované aspoň po ukončení každej fázy projektu,

2384

2385

2. plánovanie a operatívne riadenie dodávania projektových produktov,

2386

2387

3. riadenie rizík a závislostí, ktoré zahŕňa identifikáciu, hodnotenie a riadenie rizík, závislostí a hrozieb na úspešnú realizáciu projektu,

2388

2389

- zabezpečuje dodržiavanie legislatívno-metodických zásad pre riadenie projektov,

2390

2391

- zodpovedá za formálnu administráciu projektu, riadenie centrálneho úložiska projektovej dokumentácie SŠHR SR, správu a archiváciu projektovej dokumentácie,

2392

2393

- sleduje dodržiavanie interných riadiacich aktov.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**KĹÚČOVÝ POUŽÍVATEĽ**

)))

(% class="" %)|(((

Stručný popis:

)))|(((

- reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov,

2407

2408

- poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT,

2409

2410

- aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

2411

2412

- plní pokyny PM a dohody zo stretnutí projektového tímu.

\\

)))

(% class="" %)|(((

Detailný popis rozsahu zodpovedností, povinností a kompetencií

2418

)))|(((

2419

· návrh a špecifikáciu funkčných, nefunkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť,

2420

2421

· jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy,

2422

2423

· návrh a definovanie rizík, rozhraní a závislostí,

2424

2425

· vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania) a za finálne odsúhlasenie používateľského rozhrania,

2426

2427

· návrh a definovanie akceptačných kritérií,

2428

2429

· akceptačné testovanie (UAT) a návrh na akceptáciu projektových produktov alebo projektových výstupov a finálny návrh na spustenie do produkčnej prevádzky,

2430

2431

· 7. predkladanie požiadaviek na zmenu funkcionalít produktov,

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**PROJEKTOVÁ KANCELÁRIA („PMO“)**

2440

)))

2441

(% class="" %)|(((

2442

Projektovou kanceláriou je príslušný organizačný útvar FR SR v zmysle organizačného poriadku FR SR, ktorý zabezpečuje podporu riadenia projektu, najmä:

2443

)))|(((

2444

- administratívnu a technickú podporu v jednotlivých fázach životného cyklu projektu,

2445

2446

- vypracovanie a odovzdanie menovacích dekrétov a odvolacích dekrétov

2447

2448

pre predsedu RV, členov RV, PM a podpísaných predsedom RV pre členov projektového tímu a PMO,

2449

2450

- zabezpečenie oboznámenia predsedu RV, členov RV, a členov projektového tímu s projektom, ich

2451

2452

úlohami a rozsahom ich zodpovedností, atď. podľa pokynu PM,

2453

2454

- organizačné zabezpečenie zasadnutí RV, spracovanie zápisov zo zasadnutí RV a zabezpečenie ich

2455

2456

zverejnenia prostredníctvom MetaIS, ak je to potrebné,

2457

2458

- organizačné zabezpečenie stretnutí realizovaných v rámci projektu, spracovanie zápisov z týchto

stretnutí,

- vykonávanie úloh na základe pokynov PM,

2463

2464

- vypracovanie a aktualizácia zoznamov úloh, rizík, otvorených otázok a iných manažérskych správ,

2465

2466

reportov, zoznamov a požiadaviek,

2467

2468

- organizačné zabezpečenie pripomienkového konania projektovej dokumentácie,

2469

2470

- správu projektov, monitorovanie stavu projektu, udržiavanie aktuálnosti a hodnovernosti údajov

2471

2472

o projektoch a podľa potreby optimalizáciu projektov,

2473

2474

- prípravu informácií o stave realizácie projektu podľa potreby,

2475

2476

- zhromaždenie, analyzovanie a vyhodnotenie poznatkov z implementácie projektov a definovanie

2477

2478

ponaučenia za účelom predchádzania a opakovania chýb z minulosti,

2479

2480

- zabezpečenie zverejnenia projektových výstupov jednotlivých fáz životného cyklu projektu na centrálnom

2481

2482

úložisku projektovej dokumentácie SŠHR SR a v MetaIS, ak je to potrebné,

2483

2484

- poskytuje súčinnosť PM pri predkladaní projektových produktov na posúdenie ekonomickej výhodnosti

2485

2486

a súladu s programovým riadením MIRRI SR, ak je to potrebné,

2487

2488

- organizáciu procesov súvisiacich s výkazmi práce členov projektových tímov jednotlivých projektov,

2489

2490

- vytvorenie a spravovanie centrálneho úložiska projektovej dokumentácie SŠHR SR,

2491

2492

- vytvorenie komunikačnej platformy v rámci projektu a medzi projektami navzájom,

2493

2494

- zabezpečenie interakcie medzi zainteresovanými stranami, ich spokojnosť a realizáciu požiadaviek

2495

2496

spojených s implementáciou projektu,

2497

2498

- spoluprácu s metodickou podporou projektového riadenia,

2499

2500

- zabezpečenie uloženia originálov projektovej dokumentácie.

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**MANAŽÉR KYBERNETICKEJ A INFORMAČNEJ BEZPEČNOSTI („KIB“)**

)))

(% class="" %)|(((

Stručný popis:

)))|(((

- má neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných,

2514

2515

- má sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a v zmysle ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,

2516

2517

- zodpovedá za posúdenie možných alternatív realizácie projektu za oblasť IB a KB,

2518

2519

- zodpovedá za posúdenie požiadaviek agendy IB a KB na rozhrania a spoločné komponenty, na integrácie a procesy konverzie a migrácie, identifikácia nesúladu a návrh riešenia,

2520

2521

- poskytuje konzultácie a súčinnosť pre problematiku IB a KB,

2522

2523

- poskytuje konzultácie pri tvorbe šablón a vzorov dokumentácie pre oblasť IB a KB,

2524

2525

- poskytuje konzultácie a vykonáva kontrolnú činnosť zameranú na obsah a komplexnosť dokumentácie z hľadiska IB a KB,

2526

2527

- dohliada na zosúladenie projektu s princípmi definovanými v interných riadiacich aktoch SŠHR SR a dokumentoch týkajúcich sa bezpečnosti SŠHR SR,

2528

2529

- zabezpečuje získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti IB a KB,

2530

2531

- aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

2532

2533

- plní pokyny PM a dohody zo stretnutí projektového tímu.

2534

)))

2535

(% class="" %)|(((

2536

Detailný popis rozsahu zodpovedností, povinností a kompetencií

2537

)))|(((

2538

- zodpovedá́ za špecifikovanie:

2539

2540

• štandardov, princípov a stratégií v oblasti informačnej bezpečnosti („IB“) a kybernetickej bezpečnosti („KB“) a ich dodržiavanie,

2541

2542

• funkčných, nefunkčných a technických požiadaviek na IB a KB a za ich analýzu,

2543

2544

• požiadaviek na IB a KB, kontroluje ich implementáciu v realizovanom projekte,

2545

2546

• požiadaviek na bezpečnosť̌ vývojového, testovacieho a produkčného prostredia,

2547

2548

• požiadaviek na bezpečnosť̌ v rámci bezpečnostnej vrstvy,

2549

2550

• požiadaviek na školenia pre oblasť̌ IB a KB,

2551

2552

• požiadaviek na bezpečnostnú́ architektúru riešenia a technickú́ infraštruktúru pre oblasť̌ IB a KB,

2553

2554

• požiadaviek na dostupnosť̌, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na IB a KB,

2555

2556

• požiadaviek na IB a KB, bezpečnostný́ projekt a riadenie prístupu,

2557

2558

• požiadaviek na opis vývojového, testovacieho a produkčného prostredia za oblasť̌ IB a KB,

2559

2560

• požiadaviek na testovanie z hľadiska IB a KB, realizáciu kontroly zapracovania a retestu,

2561

2562

• požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť̌ IB a KB, ako aj v zmysle "best practies",

2563

2564

• požiadaviek na dodanie potrebnej dokumentácie súvisiacej s IBaKB kontroluje ich implementáciu v realizovanom projekte,

2565

2566

• požiadaviek a konzultácie pri návrhu riešenia za agendu IB a KB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný́ návrh riešenia (DNR)“,

2567

2568

• požiadaviek nabezpečnosť ITaKB v rámci procesu "akceptácie, odovzdania a správy zdrojových kódov“,

2569

2570

• akceptačných kritérií́ za oblasť̌ IB a KB,

2571

2572

• pravidiel pre publicitu a informovanosť̌ s ohľadom na IB a KB,

2573

2574

• podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť̌ IB a KB,

2575

2576

• požiadaviek na bezpečnostný́ projekt pre oblasť̌ IB a KB,

\\

- zodpovedá́ za realizáciu kontroly:

2581

2582

• zameranej na naplnenie požiadaviek definovaných v bezpečnostnom projekte za oblasť̌ IB a KB,

2583

2584

• zameranú́ na správnosť̌ nastavení́ a konfigurácii bezpečnosti jednotlivých prostredí́,

2585

2586

• zameranú́ na realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť̌ a kompletný́ popis rozhraní́, správnu identifikácia závislostí,

2587

2588

• naplnenia definovaných požiadaviek pre oblasť̌ IB a KB,

2589

2590

• zameranú́ na implementovaný́ proces v priamom súvise s IB a KB,

2591

2592

• súladu s platnou legislatívou v oblasti IB a KB (obsahuje aj kontrolu legislatívnych požiadaviek),

2593

2594

• zameranú́ na zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní́ a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

\\

)))

\\

(% class="" %)|(((

**Projektová rola:**

)))|(((

**ČLEN PROJEKTOVÉHO TÍMU**

)))

(% class="" %)|(((

Stručný popis:

)))|(((

- vykonáva odbornú prácu v projekte a poskytuje odborné stanoviská a konzultácie za príslušnú oblasť,

2610

2611

- aktívne sa zúčastňuje odborných stretnutí tímu, ako aj konzultácií,

2612

2613

- zabezpečuje vypracovanie, priebežnú aktualizáciu a verzionovanie manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice v súčinnosti a podľa pokynov tímového manažéra a PM,

2614

2615

- plní úlohy uložené tímovým manažérom a PM v požadovanej kvalite a v stanovených termínoch,

2616

2617

- plní dohody zo stretnutí projektového tímu,

2618

2619

- odpočtuje plnenie úloh tímovému manažérovi a PM,

2620

2621

- predkladá námety, podnety, požiadavky a upozorňuje na problémy a riziká súvisiace s projektom tímovému manažérovi a PM,

2622

2623

- spolupracuje s projektovým tímom na strane dodávateľa,

2624

2625

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR a EK) a metodických a administratívnych požiadaviek súvisiacich s implementáciou projektu.

)))

\\

= {{id name="projekt_2560_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

2631

2632

= {{id name="projekt_2560_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =

\\

**Príloha 1: **Zoznam rizík a závislostí

\\

Koniec dokumentu

\\

\\

[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

Wiki zdrojový kód pre projektovy_zamer