projekt_2560_Projektovy_zamer_detailny

= {{id name="projekt_2560_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

111

112

V súlade s Vyhláškou č. 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

113

114

115

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

**~ **

== {{id name="projekt_2560_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

|(((

**ID**

)))|(((

**SKRATKA**

)))|(((

**POPIS**

)))

|(((

1.

)))|(((

API

)))|(((

Application programming interface

)))

|(((

2.

)))|(((

BPMN

)))|(((

Business Process Model and Notation

)))

|(((

3.

)))|(((

CSRÚ

)))|(((

Centrálna správa referenčných údajov

)))

|(((

4.

)))|(((

DevOps

)))|(((

Je skrátený názov pre developer, security alebo aj automatizovaný devops ako súbor procesov medzi vývojom a prevádzkou, skratka z developer operations. Vysvetlenie detail viď [[https:~~/~~/en.wikipedia.org/wiki/DevOps>>url:https://en.wikipedia.org/wiki/DevOps||shape="rect"]]

)))

|(((

5.

)))|(((

DMS

)))|(((

Document management system

)))

|(((

6.

)))|(((

EDR

)))|(((

Endpoint Detection and Response

)))

|(((

7.

)))|(((

EÚ

)))|(((

Európska únia

)))

|(((

8..

)))|(((

HW

)))|(((

Hardware

)))

|(((

9.

)))|(((

HLD

)))|(((

High level dizajn – vysokoúrovňový dizajn napr architektúru, bezpečnosť

)))

|(((

10.

)))|(((

IaaS

)))|(((

Infrastructure as a service

)))

|(((

11.

)))|(((

IAM

)))|(((

Identity and Access Management

)))

|(((

12.

)))|(((

IKT

)))|(((

Informačno-komunikačné technológie

)))

|(((

13.

)))|(((

IS

)))|(((

Informačný systém

)))

|(((

14.

)))|(((

IS VS

)))|(((

Informačný systém verejnej správy

)))

|(((

15.

)))|(((

KPI

)))|(((

Key performance indicator – Kľúčové indikátory, prostredníctvom ktorých sa meria naplnenie cieľov projektu.

)))

|(((

16.

)))|(((

LLD

)))|(((

Low level dizajn – nízkoúrovňový dizajn napr. pre architektúru, bezpečnosť. Obsahuje detailné dizajny až na úrovní nastavení parametrov

)))

|(((

17.

)))|(((

MDM

)))|(((

Mobile devicemanagement

)))

|(((

18.

)))|(((

MIRRI

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

|(((

19.

)))|(((

MV SR

)))|(((

Ministerstvo vnútra SR

)))

|(((

20.

)))|(((

NKIVS

)))|(((

Národná koncepcia informatizácie verejnej správy

)))

|(((

21.

)))|(((

OOÚ

)))|(((

Ochrana osobných údajov

)))

|(((

22.

)))|(((

PO

)))|(((

Plán obnovy a odolnosti

)))

|(((

23.

)))|(((

OVM

)))|(((

Orgán verejnej moci

)))

|(((

24.

)))|(((

PaaS

)))|(((

Platform as a service

)))

|(((

25.

)))|(((

PILOT

)))|(((

PILOT - Prevádzka riešenia na vybraných aktéroch na produkčnom prostredí.

)))

|(((

26.

)))|(((

PoC

)))|(((

PoC - Implementovaný prototyp riešenia nasadený do produkčnej prevádzky a overený E2E testami minimálne s využitím mockov

)))

|(((

27.

)))|(((

PR

)))|(((

Projektové riadenie

)))

|(((

28.

)))|(((

ROLLOUT

)))|(((

ROLLOUT - Postupné pripájanie ostatných aktérov na produkčnom prostredí.

)))

|(((

29.

)))|(((

RFO

)))|(((

Register fyzických osôb

)))

|(((

30.

)))|(((

RPO

)))|(((

Register právnických osôb

)))

|(((

31.

)))|(((

SDL

)))|(((

Security development lifecycle

)))

|(((

32.

)))|(((

SFTP

)))|(((

SSH File Transfer Protocol

)))

|(((

33.

)))|(((

SLA

)))|(((

Service level agreement

)))

|(((

34.

)))|(((

SOAP

)))|(((

Simple Object Access Protocol

)))

|(((

35.

)))|(((

SOAR

)))|(((

Security orchestration, automation and response

)))

|(((

36.

)))|(((

SR

)))|(((

Slovenská republika

)))

|(((

37.

)))|(((

SŠHR SR

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky

)))

|(((

38.

)))|(((

ŠÚ SR

)))|(((

Štatistický úrad Slovenskej republiky

)))

|(((

39.

)))|(((

VÚC

)))|(((

Vyšší územný celok alebo iný povoľovací orgán

)))

.

**// //**

= {{id name="projekt_2560_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

408

409

410

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

411

412

413

Tento projekt je vypracovaný v súlade s:

414

415

* Vyhláškou č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy;

416

* Výzvou č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“.

417

418

Správa štátnych hmotných rezerv Slovenskej republiky (uvádzaná aj ako Správa rezerv alebo SŠHR SR) je ostatným ústredným orgánom štátnej správy Slovenskej republiky pre zabezpečenie všetkých činností vyplývajúcich zo zákona o štátnych hmotných rezervách a o doplnení zákona o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov.

419

420

Hlavným poslaním Správy rezerv je podieľanie sa na znižovaní dôsledkov rôznych krízových javov, minimalizovaní materiálnych strát a predovšetkým na ochrane života, zdravia a majetku v súlade so zvyšovaním úrovne bezpečnosti Slovenskej republiky. Správa rezerv je výhradným odborným, administratívnym, a správnym garantom pre oblasť správy a použitia štátnych hmotných rezerv pri zabezpečovaní potravinovej, energetickej a ďalšej bezpečnosti obyvateľstva Slovenskej republiky.

421

422

Štátne hmotné rezervy sú určené na riešenie krízových situácií. Nie sú určené na riešenie krátkodobých výpadkov dodávok v zásobovaní, na výkup a skladovanie prebytkov na trhu, na intervenčné nákupy, ani na ovplyvňovanie trhu. Tvorba aj udržiavanie štátnych hmotných rezerv sú v plnom rozsahu hradené zo štátneho rozpočtu. Štátne hmotné rezervy sú skladované v závodoch Správy rezerv, resp. u ochraňovateľov na základe zmluvy o ochraňovaní. Správu rezerv riadi a za jej činnosť zodpovedá predseda. Predseda je štatutárnym orgánom Správy rezerv. Predsedu v čase jeho neprítomnosti v rozsahu jeho práv a povinností zastupuje podpredseda Správy rezerv.

423

424

Správa rezerv sa organizačne člení na odbory, oddelenia a strediská. Odbor je základný organizačný útvar, v ktorom sa sústreďuje väčší rozsah súvisiacich odborných činností. Odbor riadi riaditeľ odboru. Oddelenie je organizačný útvar, ktorý vykonáva a zabezpečuje samostatnú časť určitého okruhu kompetencií. Oddelenie riadi vedúci oddelenia. Stredisko je organizačný útvar, ktorý vykonáva osobitnú časť kompetencií Správy rezerv, a to prevažne naskladňovanie, skladovanie, udržiavanie a vyskladňovanie štátnych hmotných rezerv. Stredisko riadi vedúci strediska. Momentálne Správa rezerv disponuje štyrmi strediskami: Vígľaš, Kysuce, Čachtice a Ľupča.

425

426

V pôsobnosti Správy rezerv sú aj právnické osoby, konkrétne Poľnonákup TATRY, a. s. so sídlom na ulici Slavkovská 36, 060 01 Kežmarok, a Spoločnosť pre skladovanie, a. s. so sídlom na ulici Trakovice 461, 919 33 Trakovice. Právnické osoby sú samostatné podnikateľské subjekty, ktoré nie sú napojené na rozpočet Správy rezerv.

427

428

SŠHR SR je zároveň subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa ([[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]]). Základná prevádzkovaná služba: IS správy štátnych hmotných rezerv SR. SŠHR SR je správca a prevádzkovateľ sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

429

430

V súlade s § 29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „ZoKB“) prebiehal na SŠHR v období od 19.10.2023 do 24.10.2023 audit kybernetickej bezpečnosti. Dňa 23.11.2023 bola SŠHR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s §29 ods. 5 SŠHR SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. **Tento projekt rieši vybrané návrhy a opatrenia na nápravu nesúladov, ktoré majú pre SŠHR SR najvyššiu prioritu a zabezpečia zvýšenie úrovne kybernetickej a informačnej bezpečnosti.**

431

432

Projektom budú dosiahnuté nasledovné kvantitatívne ako aj kvalitatívne prínosy.

433

434

**Kvantitatívne prínosy v rámci navrhovaného projektu sú:**

435

436

* Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku.

437

* Zabránenie riziku narušenia údajov implementáciou EDR.

438

439

440

**Kvalitatívne prínosy v rámci navrhovaného projektu sú:**

441

442

* Zníženie miery rizika vzniku kybernetického incidentu.

443

* Zvýšenie miery súladu s platnou legislatívou.

444

* Zvýšenie úrovne kybernetickej a informačnej bezpečnosti.

445

* Zvýšenie detekcie kybernetických bezpečnostných incidentov.

446

* Zvýšená spokojnosť a dôvera používateľov.

447

448

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

449

450

Rámcový rozpočet projektu je stanovený na sumu 449 617,25 EUR s DPH.

451

452

Projekt bude financovaný z Programu Slovensko:

453

454

* špecifický cieľ RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy,

455

* opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie,

456

* oblasť B. Kybernetická a informačná bezpečnosť.

457

458

Projekt je v súlade s nasledovným typom aktivity**: Podpora včasnej detekcie a zvýšenie schopnosti reakcie na kybernetické bezpečnostné incidenty a na adaptáciu najmodernejších technológií, na zvýšenie odolnosti základných služieb pred kybernetickými hrozbami, vrátane podpory inovatívnych produktov a služieb až po úroveň TRL 9** s definovanou hlavnou aktivitou: **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti**.

459

460

461

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

462

463

SŠHR SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov základných služieb má povinnosti, ktoré vyplývajú zo zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti patrí prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti:

464

465

* organizácie kybernetickej bezpečnosti a informačnej bezpečnosti,

466

* riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti,

467

* personálnej bezpečnosti,

468

* riadenia prístupov,

469

* riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami,

470

* bezpečnosti pri prevádzke informačných systémov a sietí,

471

* hodnotenia zraniteľností a bezpečnostných aktualizácií,

472

* ochrany proti škodlivému kódu,

473

* sieťovej a komunikačnej bezpečnosti,

474

* akvizície, vývoja a údržby informačných sietí a informačných systémov,

475

* zaznamenávania udalostí a monitorovania,

476

* fyzickej bezpečnosti a bezpečnosti prostredia,

477

* riešenia kybernetických bezpečnostných incidentov,

478

* kryptografických opatrení,

479

* kontinuity prevádzky,

480

* auditu, riadenia súladu a kontrolných činností.

481

482

Tieto bezpečnostné opatrenia sa prijímajú a realizujú na základe schválenej bezpečnostnej dokumentácie, ktorá musí byť aktuálna a musí zodpovedať reálnemu stavu. SŠHR SR je povinná preveriť účinnosť prijatých bezpečnostných opatrení a plnenie požiadaviek stanovených zákonom vykonaním auditu kybernetickej bezpečnosti v stanovenom rozsahu.

483

484

V súlade s § 29 ZoKB prebiehal na SŠHR SR v období od 19.10.2023 do 24.10.2023 audit kybernetickej bezpečnosti. Dňa 23.11.2023 bola SŠHR SR odovzdaná finálna verzia záverečnej správy o výsledkoch auditu. V súlade s § 29 ods. 5 ZoKB SŠHR SR ako prevádzkovateľ základnej služby v zákonom stanovenej lehote zaslala záverečnú správu o výsledkoch auditu NBÚ spolu s opatreniami na nápravu a s lehotami na ich odstránenie. Projektom budú financované oblasti, kde SŠHR SR identifikovala najvyššiu mieru rizika a najvyššie dopady a kde má najvyššiu mieru nesúladu s legislatívnymi požiadavkami, vyplývajúce z vykonaného auditu kybernetickej bezpečnosti.

**Dotknutý IS VS**:

* Projektom priamo nie sú ovplyvnené žiadne ISVS. Projekt zabezpečuje zvýšenie kybernetickej bezpečnosti v rámci organizácie.

489

490

Dotknuté** úseky, agendy VS a životné situácie:**

491

492

* Projekt zabezpečuje zvýšenie kybernetickej a informačnej bezpečnosti v rámci organizácie, čím pokrýva kompletne všetky úseky, agendy a životné situácie realizované na SŠHR SR.

493

494

**Dotknuté prioritné osy v zmysle NKIVS:**

495

496

* Prioritná os 4 – Kybernetická a informačná bezpečnosť

497

498

**Dotknuté čiastkové ciele pre danú prioritnú os v zmysle NKIVS:**

499

500

Prioritná os 4: Kybernetická a informačná bezpečnosť

501

502

* Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

503

504

Projekt je vo vecnom súlade so Zlepšovaním technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy s oprávnenou hlavnou aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti. Projektom budú adresované nasledovné merateľné ukazovatele projektu relevantné pre Program Slovensko:

505

506

* **PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov: 1**

507

* **PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov: 95**

508

509

Ukazovateľ PR017 uvádza počet všetkých zamestnancov SŠHR SR, ktorí budú primárnou skupinou nových/vylepšených produktov a procesov realizovaných v rámci projektu.

|(((

**P.č.**

)))|(((

**Názov hodnotiaceho kritéria**

515

)))|(((

516

**Parametre v projekte**

)))|(((

**Zdroj**

)))

|(((

1.

)))|(((

Miera rizík ohrozujúcich úspešnú realizáciu projektu

524

)))|(((

525

V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.

526

)))|(((

527

viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI_Projekt_KyberSecSŠHR.xlsx, ktorý tvorí aj prílohu ŽoNFP.

)))

|(((

2.

)))|(((

Administratívne, odborné a prevádzkové kapacity žiadateľa

533

)))|(((

534

Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.

535

)))|(((

536

Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.

Prílohou ŽoNFP sú:

- Životopisy členov projektového tímu

)))

|(((

3.

)))|(((

Miera oprávnenosti výdavkov projektu.

546

)))|(((

547

Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.

548

)))|(((

549

V rámci projektu budú realizované nasledovné oprávnené podaktivity:

550

551

- Kontinuita prevádzky

552

553

- Sieťová a komunikačná bezpečnosť

554

555

- Bezpečnosť pri prevádzke informačných systémov a sietí

556

557

- Zaznamenávanie udalostí a monitorovanie

558

559

- Riešenie kybernetických bezpečnostných incidentov

560

561

- Hodnotenie zraniteľností a bezpečnostné aktualizácie

562

563

564

Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.

)))

|(((

4.

)))|(((

Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.

570

)))|(((

571

V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.

572

)))|(((

573

§ 24 ods. 2 písm. a) – kategória: III

574

575

§ 24 ods. 2 písm. b) a c) – kategória: III

576

577

§ 24 ods. 2 písm. d) – kategória: III

578

579

§24 ods. 2 písm. e) – kategória: III

)))

|(((

**Dopad kybernetického bezpečnostného incidentu v závislosti**

)))|(((

**Kategória**

)))|(((

**Vysvetlenie**

)))

|(((

§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.

592

593

Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.

)))|(((

III.

)))|(((

Počet interných zamestnancov: 100

Počet klientov:

- Fyzické osoby (občania): **5 424 687** (k 1.1.2024, zdroj Štatistický úrad SR)

602

603

- Právnické osoby: 3000 (údaje za rok 2023) (obce, mestá, VÚC, ministerstvá, externí ochraňovatelia)

604

605

Celkom 5 427 687 dotknutých osôb.

606

)))

607

|(((

608

§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.

609

610

Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)

a/alebo

§ 24 ods. 2 písm. c) zákona

615

616

Geografické rozšírenie kybernetického bezpečnostného incidentu.

)))|(((

III.

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky má ISVS, ktoré sú technicky realizované pre účely základnej služby pomocou 12 IS. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní , čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby:

621

622

- na strane zamestnancov úradu v rozsahu 7125 hodín (pracovný deň v rámci úradu je 7,5 hodiny)

623

624

- v rozsahu dostupnosti služby pre občanov a podnikateľov v rozsahu 433 974 960 hodín (pracovný deň 8 hodín).

625

626

Teda celkovo by bola prevádzka základnej služby nedostupná na území Slovenskej republiky 433 982 085 hodín.

627

)))

628

|(((

629

§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.

630

631

Stupeň narušenia fungovania základnej služby.

)))|(((

III.

)))|(((

Incident spôsobil úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie, nedostupnosť informácií pohotovostných a mobilizačných skladových zásobách SŠHR SR.

636

)))

637

|(((

638

§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.

639

640

Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.

)))|(((

III.

)))|(((

Incident by spôsobil narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti Slovenskej republiky.

)))

**Identifikované problémy súčasného stavu**

649

650

Hlavným dôvodom realizácie projektu je nevyhovujúca úroveň kybernetickej bezpečnosti a potreba zavedenia nových opatrení definovaných legislatívou. Z auditu kybernetickej bezpečnosti (okrem iného) vyplynuli nasledovné skutočnosti:

651

652

Celková **úroveň riadenia kybernetickej a informačnej bezpečnosti Správy štátnych a hmotných rezerv Slovenskej republiky** v zmysle požiadaviek zákona o kybernetickej bezpečnosti **a zavedených opatrení** v zmysle vyhlášky 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len „vyhláška 362/2018 Z.z.) sú považované na základe auditu za **ČIASTOČNE SPLNENÉ**. Správa štátnych hmotných rezerv ako poskytovateľ základnej služby vykonáva procesy na základe schválenej a vydanej dokumentácie, v zmysle požiadaviek Vyhlášky č. 362/2018 Z. z.. Touto vyhláškou Národného bezpečnostného úradu sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

653

654

**Stratégia kybernetickej bezpečnosti** obsahuje všetky požadované náležitosti definované v prílohe č. 1 k vyhláške č. 362/2018 Z. z..

655

656

Zavedený proces **klasifikácie informácií **je v súlade s požiadavkami vyhlášky č. 362/2018 Z. z. pre klasifikáciu informácií kategorizácia sietí a informačných systémov.

657

658

Najvyššia miera nesúladu s legislatívnymi požiadavkami vyplývajúca z auditu kybernetickej bezpečnosti bola identifikovaná v nasledovných oblastiach:

659

660

* Potreba implementácie HW a SW časti bezpečnosti siete a implementácie sieťovej a komunikačnej bezpečnosti siete (dodávka firewallov a nástroja na ich manažovanie)

661

* Potreba riešenia problému absentujúceho **systému pre zber a analýzu bezpečnostných udalostí (SIEM)**

662

* Potreba riešenia problému absentujúceho **systému pre zaznamenávanie udalostí a monitorovanie sietí (Log manažment systém)**

663

* Potreba riešenia problému absentujúceho **systému pre ochranu proti škodlivému kódu (Dodanie a implementácia EDR)**

664

* **Aktualizácie metodík, vytvorenie a aktualizácia bezpečnostnej dokumentácie, vykonanie analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM**

665

666

* Audit a kontrolné činnosti - obstaranie externých testov zraniteľností, penetračných testov a pod. (**Penetračné testovanie**)

667

* Financovanie nákladov spojených s **auditom kybernetickej bezpečnosti** podľa § 29 zákon č. 69/2018 Z. z.

668

* Potreba zabezpečiť kontinuitu prevádzky, t.j. je potrebné **zabezpečiť riadenie kontinuity kybernetickej bezpečnosti**

669

670

S ohľadom na vyššie uvedené bude teda predmetom projektu riešenie problematiky z nasledovných oprávnených oblastí podľa výzvy:

671

672

* Kontinuita prevádzky

673

* Sieťová a komunikačná bezpečnosť

674

* Bezpečnosť pri prevádzke informačných systémov a sietí

675

* Zaznamenávanie udalostí a monitorovanie

676

* Riešenie kybernetických bezpečnostných incidentov

677

* Hodnotenie zraniteľností a bezpečnostné aktualizácie

678

* Ochrana proti škodlivému kódu

679

* Audit a kontrolné činnosti

680

681

**Hlavným problémom, ktorému Správa štátnych hmotných rezerv Slovenskej republiky ako PZS čelí je teda vyriešenie vyššie pomenovaných oblastí informačnej a kybernetickej bezpečnosti tak, aby bol dosiahnutý významný pokrok pri plnení súladu v oblasti príslušných predpisov KIB a súčasne, aby boli technologické náležitosti KIB realizované tak, aby:**

682

683

* **chránili IT systémy, ktoré zabezpečujú prevádzku základnej služby pred kybernetickými útokmi**

684

* **plnili svoje úlohy počas implementácie i v čase udržateľnosti projektu,**

685

* **boli pripravené na ďalší rozvoj IT technológií PZS a bolo možné ich flexibilne rozširovať bez ohrozenia prevádzkovaných i budúcich IT systémov.**

686

687

688

**[[image:attach:Obrázok1.png||width="750"]]**

**Hlavné ciele:**

Hlavným cieľom projektu je **zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti** zavedením nových bezpečnostných opatrení:

694

695

* Zvýšenie prijatých bezpečnostných opatrení v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie a ochrane proti škodlivému kódu.

696

* Zabezpečenie pravidelnej aktualizácie pre nové, ako aj už implementované bezpečnostné nástroje (bez pravidelnej aktualizácie neplnia základnú úlohu na čo boli určené, napr. neaktuálna vírusová databáza).

697

* Aktualizácia bezpečnostnej dokumentácie na základe zistení z vykonaného auditu bezpečnosti.

**Aplikované princípy informatizácie VS (v zmysle NKIVS):**

702

703

Princíp P6: Bezpečnosť

704

705

* Optimálna úroveň bezpečnosti

706

* Včasné riešenie bezpečnosti

707

* Dostupnosť – odolnosť voči výpadkom

708

709

710

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

|(((

**ID**

)))|(((

**AKTÉR / STAKEHOLDER**

)))|(((

**SUBJEKT**

(názov / skratka)

)))|(((

**ROLA**

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

727

)))|(((

728

**Informačný systém**

729

730

(názov ISVS a MetaIS kód)

)))

|(((

1.

)))|(((

Správa štátnych hmotných rezerv Slovenskej republiky

)))|(((

SŠHR SR

)))|(((

Vlastník procesu/ vlastník dát/ prevádzkovateľ/ Užívateľ IS

)))|(((

Automatizovaná správa registratúry - isvs_10546

746

747

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

748

749

Ekonomický informačný systém – SAP - isvs_9045

750

751

Dochádzkový systém AttendanceProW - isvs_9016

752

753

Webové sídlo Správy štátnych hmotných rezerv - isvs_469

Titan - isvs_468

)))

|(((

2.

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie SR

)))|(((

MIRRI SR

)))|(((

Gestor eGovernmentu

)))|(((

N/A

)))

|(((

3.

)))|(((

Zamestnanec SŠHR SR

)))|(((

-

)))|(((

Užívateľ

)))|(((

N/A

)))

|(((

4.

)))|(((

Národný bezpečnostný úrad

)))|(((

NBÚ

)))|(((

)))|(((

N/A

)))

|(((

5.

)))|(((

Územná samospráva

)))|(((

-

)))|(((

Užívateľ

)))|(((

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

)))

|(((

6.

)))|(((

Ústredný krízový štáb

)))|(((

-

)))|(((

Vlastník dát/ Užívateľ IS

809

)))|(((

810

Informačný systém Správy štátnych hmotných rezerv pre riadenie a hodnotenie mimoriadnych udalostí - isvs_9795

)))

|(((

7.

)))|(((

Občan

)))|(((

-

)))|(((

Zákazník / Užívateľ

)))|(((

N/A

)))

|(((

8.

)))|(((

Podnikateľ

)))|(((

-

)))|(((

Zákazník / Užívateľ

)))|(((

N/A

)))

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

839

840

841

Hlavným cieľom projektu je zabezpečenie kybernetickej bezpečnosti Správy štátnych hmotných rezerv Slovenskej republiky, vrátane včasnej a efektívnej reakcie na kybernetické útoky. Zároveň by sa malo dosiahnuť kvalitnejšie a transparentnejšie riadenie celého životného cyklu identifikovaných kybernetických incidentov a zjednotenie postupov a technologickej úrovne kybernetickej odolnosti informačných systémov. Všeobecnými cieľmi preto sú:

842

843

844

* Kvalitnejšie a rýchlejšie riadenie, monitorovanie a reagovanie na kybernetické hrozby.

845

* Zvýšenie efektívnosti ochrany informačných systémov v oblasti správy štátnych hmotných rezerv

846

* Zvýšenie odolnosti informačných systémov voči kybernetickým útokom.

847

* Automatizovaný reporting o vzniku kybernetického bezpečnostného incident.

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

856

)))|(((

857

Spôsob realizácie strategického cieľa

)))

|(((

1

)))|(((

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

863

)))|(((

864

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

865

)))|(((

866

Dodržanie legislatívnych požiadaviek, implementácia nových nástrojov

)))

**~ **

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))

|(((

1.

)))|(% rowspan="2" %)(((

904

Zvýšenie a zlepšenie úrovne kybernetickej a informačnej bezpečnosti

905

)))|(((

906

PO095 / PSKPSOI12 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

907

)))|(((

908

Počet verejných inštitúcií, ktoré sú podporované za

909

910

účelom rozvoja a modernizácie kybernetických

911

912

služieb, produktov, procesov a zvyšovania

913

914

vedomostnej úrovne napríklad v kontexte opatrení

915

916

smerujúcich k elektronickej bezpečnosti verejnej

správy.

)))|(((

Počet

)))|(((

0

)))|(((

1

)))|(((

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

927

928

Čas plnenia merateľného ukazovateľa projektu:

929

930

Fyzické ukončenie realizácie hlavných aktivít projektu

)))

|(((

2.

)))|(((

PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

936

)))|(((

937

Ukazovateľ PR017 uvádza počet všetkých zamestnancov SŠHR SR, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu

)))|(((

používatelia / rok

)))|(((

0

)))|(((

95

)))|(((

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.

946

947

V prípade SŠHR SR ide o počet zamestnancov, ktorí využívajú IS SŠHR SR alebo akékoľvek elektronické zariadenia v správe SŠHR SR.

948

949

Čas plnenia merateľného ukazovateľa projektu:

950

951

v rámci udržateľnosti projektu

)))

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

957

958

Projekt je zameraný na zvýšenie úrovne kybernetickej bezpečnosti v rámci celej SŠHR SR. V rámci projektu nie sú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.

959

960

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

961

962

Riziká a závislostí sú spracované v Prílohe č. 1 – **Zoznam RIZÍK a ZÁVISLOSTÍ**. Zoznam rizík a závislostí reflektuje riziká v čase prípravno-iniciačnej fázy projektu.

|(((

**ID**

)))|(((

**NÁZOV RIZIKA a ZÁVISLOSTI**

**~ **

)))|(((

**POPIS / NÁSLEDOK**

)))

|(((

**1**

)))|(((

Nebude možné naplniť všetky kvalitatívne požiadavky projektu.

977

)))|(((

978

Nebudú plne dosiahnuté očakávané benefity projektu.

)))

|(((

**2**

)))|(((

Jednotlivé komponenty projektu nebudú vykazovať známky 100% kompatibility.

984

)))|(((

985

Vzhľadom na vytvorenie ekosystému je dôležité, aby jednotlivé prvky boli schopné komunikovať vzájomne a mali rovnaké východiskové požiadavky na obojsmernú programovú komunikáciu.

)))

|(((

**3**

)))|(((

Nedostupnosť komponentov novej infraštruktúry

991

)))|(((

992

Nedostupnosť komponentov novej infraštruktúry, prípadne ich veľmi dlhé dodacie lehoty môžu mať negatívny vplyv na termín ukončenia projektu.

)))

|(((

**4**

)))|(((

Projekt nebude realizovaný a nasadený podľa plánu.

998

)))|(((

999

V prípade omeškania dodávok projektu resp. v prípade omeškania nasadenia výstupov projektu, nebude možné efektívne a včas reagovať na bezpečnostné incidenty.

)))

|(((

**5**

)))|(((

Nepridelené finančné prostriedky

1005

)))|(((

1006

Predčasné ukončenie projektu, predĺženie doby realizácie projektu.

)))

|(((

**6**

)))|(((

Komplikácie s verejným obstarávaním

1012

)))|(((

1013

V prípade neskorého vypísania VO, prípadne komplikácií v procese VO by bol ohrozený začiatok implementačnej fázy.

)))

|(((

**7**

)))|(((

Neúplné požiadavky

)))|(((

Neúplné požiadavky môžu spôsobiť predĺženie trvania projektu, navýšenie nákladov, z dôvodu potreby dodatočného obstarávania komponentov.

)))

|(((

**8**

)))|(((

Vysoké náklady na prevádzku

1026

)))|(((

1027

Náklady na prevádzku budú vyššie ako plánované. Prekročenie plánovaných nákladov na prevádzku. Potreba dodatočných finančných zdrojov.

)))

|(((

**9**

)))|(((

Ohrozenie prevádzky a dostupnosti systému

1033

)))|(((

1034

Ohrozenie prevádzky a dostupnosti systému z dôvodu možných kybernetických útokov.

)))

|(((

**10**

)))|(((

Nedostatočné vyhodnotenie kvality

1040

)))|(((

1041

Neodhalenie slabých miest v jednotlivých fázach implementácie projektu.

)))

|(((

**11**

)))|(((

Nesúčinnosť a nespoľahlivosť dodávateľa

1047

)))|(((

1048

Predčasné ukončenie projektu, alebo predĺženie doby realizácie projektu.

)))

|(((

**12**

)))|(((

Nedostatok ľudských zdrojov

1054

)))|(((

1055

Predĺženie doby realizácie projektu. Výstupy projektu budú dodané v nedostatočnej kvalite.

)))

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

1061

1062

1063

V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov a celú životnú situáciu rieši komplexne.

1064

1065

1066

=== {{id name="projekt_2560_Projektovy_zamer_detailny-Alternatíva1-Ponechaniesúčasnéhostavu"/}}Alternatíva 1 - Ponechanie súčasného stavu ===

1067

1068

Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č.69/2018 Z.z.

1069

1070

1071

**Alternatíva 2 – Aktualizácia bezpečnostnej dokumentácie a čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti**

1072

1073

Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti implementáciou nástrojov EDR na vybrané zariadenia a implementáciou NGFW.

1074

1075

1076

**Alternatíva 3 – Aktualizácia bezpečnostnej dokumentácie a zvýšenie úrovne kybernetickej a informačnej bezpečnosti na základe zistení z vykonaného auditu bezpečnosti**

1077

1078

Táto alternatíva predstavuje komplexné a systémové riešenie voči kybernetickým útokom.Zabezpečí zavedenie systémových opatrení a zároveň vytvorí predpoklady na zefektívnenie poskytovaných. Realizáciou tohoto opatrenia sa zabezpečí systémové riešenie reakcie na kybernetické útoky a naplnia sa zákonom stanovené úlohy v oblasti kybernetickej bezpečnosti. Alternatíva uvažuje s aktualizáciou vytvorenej bezpečnostnej dokumentácie na základe zistení z vykonaného auditu kybernetickej bezpečnosti v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení. Zároveň bude zvýšená úroveň kybernetickej a informačnej bezpečnosti v rámci SŠHR SR implementáciou nástrojov na riadenie EDR, SIEM, Log management, NGFW a ďalších.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

1084

1085

1086

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.

1087

1088

1089

Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej).

|(((

**// //**

)))|(((

**KRITÉRIUM**

)))|(((

**ZDÔVODNENIE KRIÉRIA**

1098

)))|(((

1099

**OBČAN/ PODNIKATEĽ**

)))|(((

**ÚRADNÍK**

)))|(((

**SŠHR SR**

)))|(((

**NBÚ**

)))

|(% rowspan="6" %)(((

1108

STANOVENÉ ALTERNATÍVY

// //

)))|(((

Kritérium A (KO) Kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti,

1113

1114

Monitorovanie kritických informačných systémov.

1115

)))|(((

1116

Nový systém by mal výrazne skvalitniť poskytovanie služieb kybernetickej ochrany pre IS úradu.

)))|(((

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Kritérium B (KO) Zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

1128

)))|(((

1129

Automatizácia výkonu kybernetickej ochrany a hĺbková detekcia.

)))|(((

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Kritérium C (KO)

Integrácia všetkých používaných systémov.

1143

)))|(((

1144

Zjednotenie kybernetickej ochrany v rámci úradu.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Kritérium D (KO) Jednotnosť procesov a používaných

Aplikácií.

)))|(((

Jednotnosť procesov a postupov je základným cieľom efektívneho riadenia kybernetickej a informačnej bezpečnosti.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Kritérium E (KO) . Zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS

1171

)))|(((

1172

Kvalitné a efektívne riadenie kybernetickej bezpečnosti sa dá

1173

1174

zabezpečiť iba pomocou existencie

1175

1176

štruktúrovaných informácií na základe ktorých sa dajú prijímať

1177

1178

rýchle a kvalifikované rozhodnutia.

)))|(((

X

)))|(((

)))|(((

X

)))|(((

X

)))

|(((

Kritérium F Bezpečné prepojenie so

systémami SŠHR SR

)))|(((

Systematické zvýšenie úrovne zabezpečenia prenosu citlivých

Údajov.

)))|(((

X

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

**Zoznam kritérií**

)))|(((

**Alter-natíva**

**1**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alter-natíva 2**

)))|(((

**Spôsob**

**dosiahnutia**

)))|(((

**Alternatíva 3**

)))|(((

**Spôsob**

**dosiahnutia**

)))

|(((

Kritérium A

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementáciou alternatívy 2 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.

)))|(((

áno

)))|(((

Implementáciou alternatívy 3 sa zabezpečí kvalitnejšie a rýchlejšie riadenie kybernetickej bezpečnosti a monitorovanie kritických informačných systémov.

)))

|(((

Kritérium B

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementácia alternatívy 2 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 sa zabezpečí zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov.

)))

|(((

Kritérium C

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 nezabezpečí zjednotenie kybernetickej ochrany v rámci úradu.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí zjednotenie kybernetickej ochrany v rámci úradu.

)))

|(((

Kritérium D

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 neprispeje k jednotnosti procesov a používaných

aplikácií.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 prispeje k jednotnosti procesov a používaných

aplikácií.

)))

|(((

Kritérium E

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

áno

)))|(((

Implementácia alternatívy 2 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí zber štruktúrovaných údajov o stave kybernetickej bezpečnosti IS.

)))

|(((

Kritérium F

)))|(((

nie

)))|(((

alternatíva 1 je zachovanie statusu quo bez realizácie projektu

)))|(((

nie

)))|(((

Implementácia alternatívy 2 sa nezabezpečí prepojenie IS na elektronický prenos informácií.

)))|(((

áno

)))|(((

Implementácia alternatívy 3 zabezpečí bezpečné prepojenie IS na elektronický prenos informácií.

)))

**Na základe vyhodnotenia MCA analýzy vychádza Alternatíva 3 ako jediná, ktorá spĺňa všetky požiadavky**.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

1333

1334

1335

Na aplikačnej vrstve budú projektom riešené len aplikačné moduly/funkcionality, ktoré sú nevyhnutné pre dosiahnutie cieľov vybranej alternatívy č. 3. Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

1340

1341

Alternatívy na úrovni technologickej architektúry reflektujú alternatívy vypracované na základe „nadradenej“ architektonickej aplikačnej vrstvy. Vzhľadom na to, že ide o implementáciu nástrojov na zvýšenie kybernetickej a informačnej bezpečnosti, je nutné tieto nástroje inštalovať, resp. implementovať v existujúcom technologickom prostredí a zariadeniach. Z tohto dôvodu je ekonomicky nevýhodné uvažovať s ďalšími alternatívami na technologickej vrstve architektúry.

1342

1343

= {{id name="projekt_2560_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1344

1345

Výstupom projektu je funkčný, stabilný, efektívny, bezpečný systém, ktorý sa dosiahne doplnením SW a HW infraštruktúry. Výstupom bude aj dodanie používateľskej príručky, inštalačnej príručky a pokynov na inštaláciu (úvodnú/opakovanú), prevádzkový opis a pokyny pre servis, údržbu a diagnostiku, pokyny na obnovu pri výpadku alebo havárii (Havarijný plán) a bezpečnostný projekt. Na dodržanie štandardov sa použije M-04 Audit kvality zameraný na výstupy z iniciačnej, realizačnej a dokončovacej fázy projektu.

1346

1347

1348

Realizácia projektu bude v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. pozostávať z uvedených etáp:

* Analýza a dizajn,

* Nákup technických prostriedkov, programových prostriedkov a služieb

1353

* Implementácia a testovanie,

1354

1355

1356

SŠHR SR bude pri implementácii postupovať v zmysle vyhlášky MIRRI SR č. 401/2023 Z. z. Pre implementované zmeny budú dodané nasledovné špecializované a manažérske produkty, ktoré budú kompletne pokrývať celý rozsah dodávky popísaný v biznis, aplikačnej a technologickej architektúre a požadované výstupy budú dodávane primerane vzhľadom na charakter projektu.

|(((

**Etapa**

)))|(((

**Požadované výstupy**

)))

|(((

**Analýza a dizajn**

)))|(((

**Úvodná správa (Projektový iniciálny dokument, ďalej ako „PID“) pre všetky funkčné oblasti**

- Zoznam požiadaviek

- Akceptačné kritériá

1372

1373

- Rámcová špecifikácia riešenia (Popis produktu, Dekompozícia produktu, Vývojový diagram

produktu)

- Biznis architektúra

1378

1379

- Aplikačná architektúra

1380

1381

- Technologická architektúra – časť systémová architektúra

1382

1383

- Bezpečnostná architektúra

1384

1385

- Stratégia testovania

- Plán testovania

- Testovacie scenáre a prípady

1390

1391

**Detailná funkčná špecifikácia riešenia**

1392

1393

- vypracovanie registratúrneho poriadku

1394

1395

- detailný popis funkcionality a biznis požiadaviek,

1396

1397

- Blokové a dátové modely finálneho produktu

1398

1399

**Detailná technická špecifikácia, pre všetky systémy samostatne**

1400

1401

- technická architektúra – časť fyzická architektúra

1402

1403

- špecifikácia správy používateľov a používateľských profilov (vrátane rolí a práv)

1404

1405

- špecifikácia podpory identifikácie používateľov a autentifikácie vykonávaných činností

1406

1407

- špecifikácia technologických riešení a predpokladov na dosiahnutie výkonnostných požiadaviek

- Plán testovania

- Testovacie scenáre a prípady

- Plán Implementácie

)))

|(((

**Nákup technických prostriedkov, programových prostriedkov a služieb**

1417

)))|(((

1418

**Obstaranie programových prostriedkov a služieb (R2-2)**

1419

)))

1420

|(((

1421

**Implementácia a testovanie**

)))|(((

**Implementácia:**

**Implementačný plán pre všetky funkčné oblasti samostatne:**

1426

1427

- Implementácia systémov pre všetky funkčné oblasti samostatne

1428

1429

- Implementácia integrácií systémov pre všetky funkčné oblasti samostatne

1430

1431

- Úvodná konfigurácia systému podľa reálnych biznis procesov pre testovacie účely

1432

1433

- Vybudovanie testovacieho prostredia, jeho nasadenie a oživenie diela pre všetky systémy a pre všetky funkčné oblasti samostatne

1434

1435

- Implementácia procesov

**Testovanie:**

**Zrealizovanie testovania minimálne v nasledovnom rozsahu:**

- Funkčné testy

- Bezpečnostné testy - v rozsahu dokumentu „Metodika pre systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti“ (dostupná na [[https:~~/~~/www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf>>url:https://www.csirt.gov.sk/doc/MetodikaZabezpeceniaIKT_v2.0.pdf||shape="rect"]])

- Záťažové testy

- Systémové integračné testy

1448

1449

- Testy použiteľnosti

1450

1451

- Používateľské akceptačné testovanie

)))

|(((

**Nasadenie**

)))|(((

**Nasadenie do produkcie:**

1457

1458

- Príprava produkčného prostredia

1459

1460

- Administratívna príprava produkčného prostredia (procesy, dokumentácia)

1461

1462

- Inštalácia riešenia do produkčného prostredia

1463

1464

- Sprístupnenie riešenia v produkčnom prostredí vybraným používateľom

)))

|(((

**~ **

**Dokončovacia fáza projektu**

1470

)))|(((

1471

**Manažérsky produkt**

1472

1473

**- **M-02 Správa o dokončení projektu

1474

1475

**- **M-02 Plán kontroly po odovzdaní projektu

1476

1477

**- **M-02 Odporúčanie nadväzných krokov

1478

1479

**- **M-02 Plán monitorovania a hodnotenia po odovzdaní projektu

1480

)))

1481

|(((

1482

**Služby projektového riadenia**

1483

)))|(((

1484

**Manažérsky produkt**

1485

1486

**- **M-01 Plán etapy

1487

1488

**- **M-02 Manažérske správy, plány, reporty, zoznamy a požiadavky

1489

1490

**- **M-03 Akceptačný protokol

1491

1492

**- **M-04 Audit kvality

1493

1494

**- **M-05 Analýza nákladov a prínosov

)))

Predmetom dodaného výstupu Obstaranie programových prostriedkov a služieb (R2-2) musí byť:

1499

1500

* Potrebné licencie na pokrytie zariadení pre jednotlivé implementované nástroje vrátane aktualizácie najmenej na 3 roky.

1501

* Služby súvisiace s návrhom, nasadením, migráciou a inštaláciou licencií na zariadenia v infraštruktúre SŠHR SR.

1502

* Služby súvisiace s aktualizáciou, konfiguráciou parametrov serverov, sieťových a koncových zariadení v infraštruktúre SŠHR SR.

1503

* Služby súvisiace s testovaním a ladením výkonnosti implementovaných nástrojov.

1504

* Dodanie a aktualizácia bezpečnostnej dokumentácie, projektového manažmentu a riadenia.

1505

1506

1507

= {{id name="projekt_2560_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1508

1509

1510

Predmetom projektu je zvýšenie úrovne kybernetickej a informačnej bezpečnosti na SŠHR SR. Kybernetická bezpečnosť je z pohľadu podnikovej architektúry prierezovou oblasťou a teda realizuje sa skrz všetky vrstvy architektúry.

1511

1512

1513

Na úrovni biznis vrstvy architektúry je to predovšetkým aktualizácia bezpečnostnej dokumentácie vrátane jej zavedenia do praxe:

1514

1515

* Aktualizácia bezpečnostnej dokumentácie na základe zistení z realizovaného bezpečnostného auditu.

1516

* Aktualizácia bezpečnostnej stratégie kybernetickej bezpečnosti.

1517

* Vytvorenie a aktualizácia bezpečnostných politík kybernetickej bezpečnosti.

1518

* Vykonanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a informačných systémov.

1519

* Vykonanie analýzy rizík a analýzy dopadov vrátane riadenia rizík.

1520

* Zavedenie BCM a SDLC procesov do prevádzky úradu

1521

1522

1523

Na úrovni aplikačnej a technologickej vrstve architektúry bude zabezpečené:

1524

1525

* Zavedenie a implementácia centrálneho nástroja pre zber a analýzu bezpečnostných udalostí (SIEM) a zaznamenávanie udalostí a monitorovanie sietí (Log manažment systém)

1526

* Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.

1527

* Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov.

1528

* Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí.

// //

== {{id name="projekt_2560_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1534

1535

Kapitola je spracovaná v dokumente I-03 Prístup k projektu.

1536

1537

= {{id name="projekt_2560_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1538

1539

1540

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

1541

1542

Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

1543

1544

Vyhláška Národného bezpečnostného úradu č. 493/2022 Z. z o audite kybernetickej bezpečnosti.

1545

1546

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov.

1547

1548

Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy.

1549

1550

Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

1551

1552

Zákon č. 211/2000 Z. z. o slobodnom prístupe k informáciám a o zmene a doplnení niektorých zákonov.

1553

1554

Zákon č. 218/2013 Z.z. o núdzových zásobách ropy a ropných výrobkov a o riešení stavu ropnej núdze a o zmene a doplnení niektorých zákonov

1555

1556

Zákon č. 372/2012 Z. z. o štátnych hmotných rezervách a o doplnení zákona č. 25/2007 Z. z. o elektronickom výbere mýta za užívanie vymedzených úsekov pozemných komunikácií a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

1557

1558

Smernica č. 1/2021 Postup pri tvorbe, hospodárení a použití mobilizačných rezerv

1559

1560

Smernica č. 4/2021 Postup pri tvorbe, hospodárení a použití pohotovostných zásob

1561

1562

Smernica č. 17/2021 Skladová evidencia štátnych hmotných rezerv

1563

1564

Smernica č. 8/2022 – Financovanie bežných výdavkov ochraňovateľov spojených s ochraňovaním mobilizačných rezerv a pohotovostných zásob hradených zo štátneho rozpočtu

1565

1566

Smernica č. 15/2019 Stanovenie spôsobu merania a výpočtu množstva skladovaných hmotných rezerv, noriem strát pri skladovaní a manipulácii s materiálmi zásob hmotných rezerv

1567

1568

= {{id name="projekt_2560_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1569

1570

V rámci ekonomickej analýzy je kladený dôraz predovšetkým na definovanie prínosov navrhovaného projektu a to ako kvalitatívnych, tak aj kvantitatívnych (finančné a ekonomické).

1571

1572

**KVANTITATÍVNE PRÍNOSY:**

1573

1574

**Zabránenie riziku narušenia údajov implementáciou EDR**

1575

1576

Prínos je vypočítaný ako rozdiel medzi sumárom pravdepodobných priemerných nákladov v prípade narušenia údajov medzi prostredím bez implementovaného riešenia EDR a prostredím s implementovaným EDR. Priemerné náklady sú vypočítané ako úspora na priemerných nákladoch pri úspešnom porušení údajov. Implementácia riešenia EDR počíta so znížením rozsahu dopadu o 97%.

1577

1578

1579

**Zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku**

1580

1581

Riziko dopadu veľmi závažného incidentu podľa VM je v súčasnosti 10%. Aj keď z praxe vyplýva, že periodicita takéhoto incidentu je 1 krát za 10r. Nasadením riešenia dôjde k zníženiu pravdepodobnosti dopadu závažného incidentu o polovicu. Zároveň zmenou bezpečnostnej architektúry, zálohovania a zavedením Bussiness continuty manažmentu dôjde k zníženiu doby obnovy z 14 (10 prac.) dní na 2 dni.

**~ **

**KVALITATÍVNE PRÍNOSY:**

1586

1587

Projekt Podpora v oblasti kybernetickej a informačnej bezpečnosti Správy štátnych hmotných rezerv Slovenskej republiky prináša viaceré významné kvalitatívne prínosy v oblasti kybernetickej bezpečnosti a ochrany kritických informačných systémov:

1588

1589

1590

**Zvýšená kybernetická ochrana - **Projekt prispieva k posilneniu ochrany pred kybernetickými hrozbami a útokmi. Zvýšená schopnosť detekcie a prevencie hrozieb pomáha minimalizovať riziko kybernetických incidentov a znefunkčnenia kritických systémov. Zvýšenie kybernetickej bezpečnosti predstavuje kľúčový prvok projektu. Hlavným cieľom je zabezpečiť, že organizácia bude vystavená menej rizikám, ktoré sú spojené s rastúcimi a sofistikovanejšími kybernetickými hrozbami. Súčasné kybernetické hrozby neustále evoluujú a stávajú sa čoraz zložitejšími a nebezpečnejšími. Útoky sa objavujú na nových frontoch a využívajú nové techniky na obehnanie existujúcich obranných mechanizmov. Tieto hrozby predstavujú závažné riziká pre organizáciu, ktoré môžu mať vážne dôsledky na jej činnosť a povesť. V rámci projektu investujeme do nových technológií, nástrojov a stratégií, ktoré organizácii umožnia identifikovať a eliminovať tieto hrozby na najvyššej úrovni. Vytvoríme širší a komplexnejší prístup k kybernetickej bezpečnosti, ktorý zabezpečí, že organizácia bude dobre pripravená na kybernetické hrozby všetkých druhov. Rozšírením kybernetickej bezpečnosti na najvyššiu úroveň budeme mať možnosť brániť sa najnáročnejším útokom a minimalizovať ich škodlivé účinky. Tým zabezpečíme ochranu aktív a dôvernosti organizácie, čo je kritické pre našich klientov, zamestnancov a partnerov. Zvýšená kybernetická bezpečnosť je kľúčovým prínosom projektu a bude mať široký dosah na bezpečnosť a prosperitu organizácie.

1591

1592

**Rýchlejšia reakcia na hrozby -** Implementácia technologických riešení a automatizácia procesov umožní rýchlejšiu identifikáciu, analýzu a riešenie kybernetických hrozieb. Tým sa zabezpečí včasná reakcia a minimalizácia potenciálnych škôd. V rámci projektu budeme implementovať najmodernejšie technológie a nástroje, ktoré umožnia okamžité rozpoznanie potenciálnych hrozieb a ich priradenie do správnych kategórií. Implementáciou projektu dôjde k okamžitejšom nasadení potrebných opatrení na minimalizáciu potenciálnych škôd. To znamená, že vďaka implementácii projektu budeme schopní zareagovať na hrozby rýchlejšie a účinnejšie. Výsledkom je nielen zníženie rizika pre organizáciu, ale aj minimalizácia možných škôd, ktoré by takéto hrozby mohli spôsobiť. Zvýšená rýchlosť a efektivita reakcie na kybernetické hrozby prinesie organizácii významný prínos, a to v podobe zníženia rizika straty dôveryhodnosti, finančných strát a poškodenia povesť. Týmto spôsobom sa projekt stáva kľúčovým opatrením v oblasti kybernetickej bezpečnosti a ochrany organizácie pred hrozbami v dnešnom digitálnom svete.

1593

1594

**Hĺbková analýza hrozieb –** Projektom sa zvýši schopnosť odhaľovať sofistikované hrozby a budúce kybernetické útoky. Hĺbková analýza je kritická v identifikácii a porozumení novým a komplexným hrozbám, ktoré sa vyvíjajú v kybernetickom prostredí. Prostredníctvom projektu investujeme do školenia našich expertov a do moderných nástrojov na analýzu a identifikovanie hrozieb, čo umožní získať hlbší pohľad do štruktúry hrozieb a ich metód. Okrem toho, sledovanie správania útočníkov je ďalším významným prvkom hĺbkovej analýzy. S týmito nástrojmi sme schopní sledovať, ako sa útočníci pohybujú v našej sieti a aké kroky podnikajú na dosiahnutie svojich cieľov. Toto je kľúčové pri rozpoznaní sofistikovaných útokov, ktoré môžu byť skryté a ťažko detekovateľné tradičnými metódami. Zlepšená schopnosť hĺbkovej analýzy hrozieb prinesie organizácii výhody v podobe predchádzania novým, ešte neznámym útokom a rýchlejšiemu vytváraniu ochranných opatrení. Týmto spôsobom projekt prispieva k dlhodobejšiemu zabezpečeniu organizácie pred kybernetickými hrozbami a znižuje pravdepodobnosť závažných incidentov.

1595

1596

**Spolupráca a komunikácia -** Zlepšená spolupráca a komunikácia medzi rôznymi tímami v organizácii pomáha včasnému zdieľaniu informácií o hrozbách a koordinácii reakcií na kybernetické incidenty. Zlepšená spolupráca znamená, že tímy zamerané na bezpečnosť, IT, a všetky ďalšie príslušné oddelenia budú mať jednoduchší prístup k informáciám o kybernetických hrozbách. To umožní včasné a rýchle zdieľanie informácií o identifikovaných rizikách a aktuálnych situáciách. Týmto spôsobom môžeme predchádzať izolovaným silám a skrátiť čas, ktorý by inak bol stratený na vyhľadávanie dôležitých informácií. V prípade kybernetických incidentov, kedy každá sekunda záleží, umožňuje tento projekt okamžitú komunikáciu a koordináciu reakcií. Rôzne tímy sú schopné okamžite reagovať na situácie, spolupracovať na náprave incidentu a obnoviť normálnu prevádzku bez neprimeraného omeškania. Spolupráca a komunikácia sú kľúčom k efektívnemu kybernetickému bezpečnostnému procesu, a ich zdokonalenie v rámci tohto projektu posilňuje obranu organizácie proti hrozbám. Zabezpečuje to, že organizácia je jednotným tímom, ktorý je schopný reagovať na kybernetické hrozby s jednotným úsilím, čo vedie k zníženiu rizika a minimalizácii škôd.

1597

1598

**Zvýšená reputácia a dôvera -** Dôsledné opatrenia v oblasti kybernetickej bezpečnosti pomáhajú zvýšiť dôveru v štát a reputáciu krajiny. Zabezpečením integrity, dôvernosti a dostupnosti dôležitých informácií a služieb v kybernetickom priestore sa zlepšuje vnímaná kvalita a spoľahlivosť verejnej správy.

1599

1600

**Rýchla identifikácia nových hrozieb -** Vďaka zdokonaleným nástrojom môže organizácia rýchlejšie identifikovať nové kybernetické hrozby. S novými technológiami a analýzou správania útočníkov môžeme odhaliť aj rafinovanejšie útoky, ktoré by mohli uniknúť tradičným bezpečnostným systémom.

1601

1602

**Včasné varovania -** Proaktívna kybernetická bezpečnostná stratégia umožňuje organizácii generovať včasné varovania a upozornenia na potenciálne hrozby. To dáva tímom viac času na prípravu a predchádzanie útokom.

1603

1604

**Preventívne opatrenia -** Projekt zahŕňa implementáciu preventívnych opatrení na základe včasného rozpoznania hrozieb. Tieto opatrenia môžu zahŕňať aktualizácie zraniteľných systémov, zvýšenú monitorovanie, a iné kroky na minimalizáciu rizika.

1605

1606

**Znižuje zraniteľnosť organizácie -** Proaktivita v reakcii na kybernetické hrozby robí organizáciu menej zraniteľnou voči novým hrozbám. Tým sa minimalizuje potenciálna škoda, ktorú by organizácia mohla utrpieť v dôsledku kybernetického útoku.

1607

1608

1609

**Projektom sa zabezpečí, že organizácia nebude iba pasívnym príjemcom informácií o hrozbách, ale aktívnym účastníkom v boji proti nim. Tým sa SŠHR SR stane schopnou predvídať a čeliť hrozbám s vyššou efektivitou a dôslednosťou, čím sa posilňuje celková kybernetická bezpečnosť. Celkovo projekt prispeje k vytvoreniu moderného a efektívneho systému včasnej reakcie na kybernetické hrozby v oblasti verejnej správy. Zvýšená kybernetická ochrana a reaktívna schopnosť pomôžu minimalizovať riziká, ktoré kybernetický priestor predstavuje pre dôležité informácie a služby, a to nielen v v pôsobnosti SŠHR SR, ale aj pre celý štát.**

1610

1611

1612

**Opis rozpočtu projektu a detailný popis nákladov**

1613

1614

Spôsob nacenenia rozpočtu projektu bol v súlade so zákonom č. 343/2015 Z. z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov, ktorý v § 6 ustanovuje: „Predpokladaná hodnota zákazky sa určuje ako cena bez dane z pridanej hodnoty s cieľom ustanovenia postupu verejného obstarávania podľa finančných limitov. Verejný obstarávateľ a obstarávateľ určia predpokladanú hodnotu zákazky na základe údajov a informácií o zákazkách na rovnaký alebo porovnateľný predmet zákazky. Ak nemá verejný obstarávateľ alebo obstarávateľ údaje podľa druhej vety k dispozícii, určí predpokladanú hodnotu na základe údajov získaných prieskumom trhu s požadovaným plnením, prípravnou trhovou konzultáciou, použitím systému sledovania vývoja cien podľa § 13 ods. 2 písm. d) alebo na základe údajov získaných iným vhodným spôsobom. Predpokladaná hodnota zákazky je platná v čase odoslania oznámenia o vyhlásení verejného obstarávania alebo oznámenia použitého ako výzva na súťaž na uverejnenie; ak sa uverejnenie takého oznámenia nevyžaduje, predpokladaná hodnota je platná v čase začatia postupu zadávania zákazky“ Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cien alebo ponúk. Výsledkom cenového prieskumu je zistená cena s DPH za jednotlivé položky.

1615

1616

1617

Náklady projektu sú tvorené predovšetkým nakúpením softvérových nástrojov a ich implementáciou do prostredia SŠHR SR:

|(((

**Názov položky**

)))|(((

**Počet**

)))|(((

**Skupina nákladov**

)))|(((

**Cena celkom s DPH**

1628

)))

1629

|(((

1630

I. Dodanie NGFW zariadení Firewall typ A

1631

1632

I. Dodanie NGFW zariadení Firewall typ B

1633

1634

I. Implementácia Firewall typ A

1635

1636

I. Implementácia Firewall typ B

I. Školenie

)))|(((

1 komplet

)))|(((

022 – HW

022 – HW

518 – Ostatné služby

518 – Ostatné služby

518 – Ostatné služby

)))|(((

78 870,84 EUR

)))

|(((

II. Dodanie log manažment systému (LMS)

1656

1657

II. Implementácia log manažment systému

II. Školenie LMS

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

102 510,80 EUR

)))

|(((

III. Dodanie EDR

III. Implementácia EDR

III. Školenie EDR

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

31 053,00 EUR

)))

|(((

IV. Dodanie SIEM

IV. Implementácia SIEM

IV. Školenie SIEM

)))|(((

1 komplet

)))|(((

013 – Softvér

518 – Ostatné služby

518 – Ostatné služby

)))|(((

108 258,80 EUR

)))

|(((

V. Aktualizácie metodík, vytvorenie a aktualizácia bezpečnostnej dokumentácie, vykonanie analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM

1707

1708

V. Podpora pri zavedení metodík, bezpečnostnej dokumentácie, analýzy rizík a analýzy dopadov (AR/BIA), SDLC a BCM do praxe

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

60 804,00 EUR

)))

|(((

VI. Penetračné testovanie

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

8 256,00 EUR

)))

|(((

VII. Audit kybernetickej bezpečnosti

)))|(((

1 komplet

)))|(((

518 – Ostatné služby

)))|(((

7 736,00 EUR

)))

|(((

Interné kapacity – Kľúčový používateľ

)))|(((

700 človekohodín

)))|(((

521 - Mzdové výdavky

)))|(((

22 713,60 EUR

)))

|(((

Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach

)))|(((

7%

)))|(((

907 - Paušálna sadzba

)))|(((

29 414,21 EUR

)))

|(((

**Celková suma**

)))|(((

**~ **

)))|(((

**~ **

)))|(((

**449 617,25 EUR**

)))

Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu **449 617,25 EUR** s DPH. Podporné aktivity budú realizované v rozpočte projektu do maximálnej výšky 7%. Podporné aktivity budú využité maximálne do uvedeného rozpočtu na riadenie projektu a publicitu a informovanosť.

== {{id name="projekt_2560_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1 Sumarizácia nákladov a prínosov ==

|(((

Náklady

)))|(((

Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti

1774

)))

1775

|(((

1776

**Všeobecný materiál**

)))|(((

)))

|(((

**IT - CAPEX**

)))|(((

)))

|(((

Služby (518)

)))|(((

//179 284,00 Eur//

)))

|(((

SW (013)

)))|(((

//189 982,60 Eur//

)))

|(((

HW (022)

)))|(((

//28 222,84 Eur//

)))

|(((

**IT - OPEX- prevádzka**

)))|(((

)))

|(((

Aplikácie

)))|(((

//13 350,00 Eur / rok//

)))

|(((

SW

)))|(((

//16 370,30 Eur / rok//

)))

|(((

HW

)))|(((

//5 275,60 Eur / rok//

)))

|(((

**Prínosy**

)))|(((

)))

|(((

**Finančné prínosy**

)))|(((

)))

|(((

Administratívne poplatky

)))|(((

//-//

)))

|(((

Ostatné daňové a nedaňové príjmy

)))|(((

//-//

)))

|(((

**Ekonomické prínosy**

)))|(((

)))

|(((

Občania (€)

)))|(((

//N/A//

)))

|(((

Úradníci (€)

)))|(((

//1 370 253 Eur//

)))

|(((

Úradníci (FTE)

)))|(((

//N/A//

)))

|(((

**Kvalitatívne prínosy**

)))|(((

)))

|(((

)))|(((

//-//

)))

= {{id name="projekt_2560_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

1873

1874

1875

Časový harmonogram projektu je nastavený na 12 mesiacov a finálnym termínom dokončenia do 31.12.2025. Začiatok projektu je naplánovaný od 01/2025 a má byť ukončený najneskôr do 12/2025. Následne v rámci prevádzky bude prebiehať podpora prevádzky. Podporné aktivity budú zabezpečované počas celých 12 mesiacov od začiatku trvania projektu.

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))|(((

POZNÁMKA

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

04/2024

)))|(((

12/2024

)))|(((

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))|(((

)))

|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

01/2025

)))|(((

03/2025

)))|(((

)))

|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

01/2025

)))|(((

12/2025

)))|(((

Je potrebné obstarať dodávateľa riešenia/ licencie[[~[1~]>>path:#_ftn1||name="_ftnref1" shape="rect"]]/ konzultačné služby/ HW a SW

)))

|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

04/2025

)))|(((

09/2025

)))|(((

)))

|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

10/2025

)))|(((

12/2025

)))|(((

)))

|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))|(((

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

)))|(((

Potrebné obstarať SLA zmluvu

)))

**Projekt bude realizovaný metódou Waterfall v súlade s **Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy. Waterfall prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu počas vývoja alebo realizácie projektu. Táto metóda je vhodná v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou.

// //

// [[image:attach:Obrázok2.png||height="400"]]//

// //

= {{id name="projekt_2560_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1994

1995

1996

**Riadiaci výbor** projektu tvorí predseda riadiaceho výboru projektu a vlastníci procesov alebo nimi poverení zástupcovia.

1997

1998

1999

Riadiaci výbor sa riadi “Štatútom riadiaceho výboru”, ktorý je popísaný v dokumente Štatút RV projektu ako najvyšší riadiaci orgán na účely realizácie projektu na základe schválenej projektovej dokumentácie.

2000

2001

Štatút Riadiaceho výboru upravuje najmä jeho pôsobnosť, úlohy, zloženie, zasadnutie a hlasovanie. Členom riadiaceho výboru projektu môže byť aj zástupca dodávateľa. Väčšina členov riadiaceho výboru projektu s hlasovacím právom sú osoby navrhnuté objednávateľom a zastupujú záujmy objednávateľa. Riadiaci výbor projektu dozerá na hospodárnosť, efektívnosť a účelové využívanie finančných prostriedkov a môže prispôsobiť štandardy projektového riadenia na realizovaný projekt.

2002

2003

Riadiaci výbor má minimálne 5 členov, vrátane predsedu Riadiaceho výboru (ďalej len „predseda“) :

2004

2005

2006

Riadiaci výbor projektu môžu tvoriť:

2007

2008

1. **predseda** Riadiaceho výboru projektu,

2009

1. **podpredseda **Riadiaceho výboru projektu,

2010

1. **vlastník alebo vlastníci procesov SŠHR** (biznis vlastník infraštruktúra) alebo nimi poverený zástupca alebo zástupcovia,

2011

1. **zástupcu kľúčových používateľov **(end user),

2012

1. zástupca za Dodávateľa v zmysle Zmluvy o Dielo s Dodávateľom.

2013

1. projektový manažér prijímateľa PPM.

2014

2015

2016

Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade neprítomnosti predsedu na zasadnutí Riadiaceho výboru, predseda musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa.

2017

2018

2019

Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac avšak najmenej jedenkrát za tri (3) po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov.

2020

2021

2022

Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru.

2023

2024

2025

Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje Asistent projektového manažéra na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru.

2026

2027

Asistent projektového manažéra zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá.

2028

2029

2030

Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.

|(((

**ID**

)))|(((

**MENO A PRIEZVISKO**

)))|(((

**POZÍCIA**

)))|(((

**ORGANIZAČNÝ ÚTVAR**

2041

)))|(((

2042

**ROLA V PROJEKTE S UVEDENÍM HLASOVACIEHO PRÁVA**

)))

|(((

1.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Predseda RV (HP)

)))

|(((

2.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Podpredseda RV (HP)

)))

|(((

3.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca vlastníkov procesov (HP)

)))

|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca vlastníkov procesov II. (HP)

)))

|(((

5.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupcu kľúčových používateľov

)))

|(((

6.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Zástupca Dodávateľa

)))

|(((

7.

)))|(((

Mgr. Tibor Balberčák

)))|(((

Projektový manažér

)))|(((

Odbor informačných technológií

2118

)))|(((

2119

Projektový manažér prijímateľa

)))

Riadenie projektu zo strany Objednávateľa bude zabezpečené prostredníctvom Projektového manažéra a Finančného manažéra a bude trvať počas celej doby realizácie projektu. Bude pokrývať oblasť projektového riadenia (projektový manažment, celková koordinácia projektu, celkový dohľad nad vývojom dodávaného Diela, vrátane kvality), finančného riadenia a monitorovania realizácie projektu v zmysle riadenia podľa vyhlášky MIRRI č. 401/2023 Z. z. v platnom znení.

2124

2125

Projektový tím bude pozostávať z pozícií:

2126

2127

* Projektové role:

2128

* Projektový manažér,

2129

* Kľúčový používateľ,

2130

* Manažér kybernetickej a informačnej bezpečnosti

2131

2132

2133

* Ďalšie projektové role:

* Finančný manažér

* Asistent PM

V súlade s výzvou SŠHR SR zabezpečí, aby počas implementácie projektu a po jeho skončení (počas obdobia udržateľnosti) bol k dispozícii interný personál na obsluhu, prevádzku a rozvoj riešenia. Zároveň bude minimálne počas obdobia udržateľnosti zabezpečené financovanie tohto personálu zo zdrojov SŠHR SR.

2138

2139

2140

Projektový manažér Objednávateľa bude zabezpečovať koordináciu projektových činností a manažment v súlade s metodikou PRINCE2 (hlavné dokumenty, priebežné manažérske výstupy, a pod.).

2141

2142

Projektový manažér Objednávateľa bude riadiť, administratívne a organizačne zabezpečovať implementáciu projektu, komunikovať s dodávateľmi, sledovať plnenie harmonogramu projektu a zabezpečovať dokumenty požadované MIRRI. Zároveň bude v spolupráci s projektovým manažérom dodávateľa koordinovať realizáciu hlavných aktivít, činností a úloh projektu.

2143

2144

2145

Zodpovednosťou projektového manažéra je v spolupráci s finančným manažérom (objednávateľa) finančné riadenie projektu kontrolu rozpočtu projektu a jeho súlad s účtovnými dokladmi. Kontrolu podpornej účtovnej dokumentácie a poradenstvo pri definovaní oprávnených výdavkov bude zabezpečovať finančný manažér Objednávateľa.

2146

2147

2148

Súčasťou projektového riadenia bude tiež operatívna projektová podpora zabezpečujúca administratívnu podporu pre písomnú komunikáciu, administratívne vedenie projektovej dokumentácie a prípravu podkladov pre členov projektového tímu, organizáciu stretnutí a pod.. V rámci aktivity budú taktiež zabezpečovaný manažment a hodnotenie kvality zo strany Objednávateľa.

|(((

**ID**

)))|(((

**MENO A PRIEZVISKO**

)))|(((

**POZÍCIA**

)))|(((

**ORGANIZAČNÝ ÚTVAR**

)))|(((

**PROJEKTOVÁ ROLA**

)))

|(((

1.

)))|(((

Mgr. Tibor Balberčák

)))|(((

Projektový manažér

)))|(((

Odbor informačných technológií

)))|(((

Projektový manažér

)))

|(((

2.

)))|(((

Ing. Stanislav Lacko

)))|(((

Špecialista v oblasti počítačových sietí

2179

)))|(((

2180

Odbor informačných technológií

)))|(((

Kľúčový používateľ

)))

|(((

3.

)))|(((

Mgr. Martin Oczvirk

)))|(((

Manažér kybernetickej a informačnej bezpečnosti

2190

)))|(((

2191

Odbor informačných technológií

2192

)))|(((

2193

Manažér kybernetickej a informačnej bezpečnosti

)))

|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Finančný manažér

)))

|(((

5.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

Asistent PM

)))

== {{id name="projekt_2560_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

|(((

**Projektová rola:**

)))|(((

**PROJEKTOVÝ MANAŽÉR**

2228

)))

2229

|(((

2230

Detailný popis rozsahu zodpovedností, povinností a kompetencií:

2231

)))|(((

2232

- zodpovedá za každodenné riadenie projektu v mene RV, za monitorovanie projektu, za plánovanie aktivít, za informovanie o projekte, atď.,

2233

2234

- zodpovedá za určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory RV pre riadenie, plánovanie a kontrolu projektu a efektívne využívanie projektových zdrojov (ľudských a finančných),

2235

2236

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR), metodických požiadaviek súvisiacich s implementáciou projektu a formálnu administráciu projektu súvisiacu s riadením, organizovaním, finančným zúčtovaním, sledovaním čiastkových a celkových výsledkov (monitorovaním) a hodnotením výsledkov,

2237

2238

- integrovane riadi prípravu a uskutočnenie projektu, nasadenie disponibilných prostriedkov, zabezpečuje koordináciu dodávateľov a zhotoviteľov jednotlivých výstupov projektu, zabezpečuje koordináciu partnerov, časový priebeh a kvalitu výstupov projektu, zmeny projektu a rieši konflikty s okolím projektu,

2239

2240

- prijíma rozhodnutia a riadi projekt tak, aby sa splnili stanovené ciele projektu, a aby projekt dodával dohodnuté produkty v dohodnutej kvalite, v čase, a v rámci rozpočtu,

2241

2242

- zodpovedá RV za plnenie cieľov projektu a celkový postup prác v projekte,

2243

2244

- informuje RV o stave a priebehu projektu, predkladá návrhy na zlepšenie,

2245

2246

- riadi strategické a projektové riziká, vrátane vývojových a rezervných plánov,

2247

2248

- zodpovedá za identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii,

2249

2250

- aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

2251

2252

- zabezpečuje kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

2253

2254

- zabezpečuje vecnú administráciu zúčtovania dodávateľských faktúr,

2255

2256

- predkladá požiadavky dodávateľa na rokovanie RV,

2257

2258

- zodpovedá za koordináciu a zabezpečenie podkladov pre oddelenie komunikačné pre potreby medializácie projektu,

2259

2260

- zodpovedá za informovanie zamestnancov a verejnosti o začatí a ukončení projektu v závislosti od jeho charakteru,

2261

2262

- zodpovedá za zabezpečenie vypracovania, priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie a produktov,

2263

2264

- pripravuje a predkladá stanovené dokumenty na schválenie RV,

2265

2266

- navrhuje zaradiť projekt alebo jeho časť do režimu utajenia,

2267

2268

- zabezpečuje permanentný dohľad a zvýšenú mieru kontroly a ochrany tokov informácií pri realizácii utajovaného projektu alebo utajovanej časti projektu,

2269

2270

- zodpovedá za vypracovanie požiadaviek na zmenu, návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV,

2271

2272

- zabezpečuje podanie žiadosti o rozpočtové opatrenie MF SR cez Rozpočtový informačný systém na projekt IT podľa potreby,

2273

2274

- zodpovedá za riadenie zmeny a prípadné požadované riadenie konfigurácií,

2275

2276

- navrhuje členov projektového tímu po dohode s líniovým vedúcim a tímovým manažérom a tiež navrhuje rozsah ich zodpovedností a činností,

2277

2278

- organizuje, riadi, motivuje projektový tím a deleguje úlohy členom projektového tímu,

2279

2280

- hodnotí členov projektového tímu,

2281

2282

- udeľuje pokyny na výkon činností projektovej kancelárie,

2283

2284

- podľa potreby deleguje svoje povinnosti a práva na tímových manažérov a koordinuje ich činnosť,

2285

2286

- plní úlohy tímového manažéra (vedúceho projektového tímu), ak takáto rola v projekte nie je obsadená –viď činnosť projektovej role „Tímový manažér“,

2287

2288

- monitoruje výkonnosť projektu, to znamená, že sleduje pokrok vo vybraných ukazovateľoch (KPI) projektu a predkladá ho na schválenie RV,

2289

2290

- zabezpečuje evidenciu v informačných systémoch pre štandardizované procesy programové a projektového riadenia, napr. IT monitorovací systém pre európske štrukturálne a investičné fondy,

2291

2292

- zodpovedá za publikovanie RV schválených projektových výstupov v MetaIS chronologicky, z každej fázy životného cyklu projektu,

2293

2294

- zodpovedá za publikovanie zápisov RV v MetaIS,

2295

2296

- počas celej doby realizácie projektu štandardne zabezpečuje nasledovné prierezové činnosti:

2297

2298

~1. kontinuálne zdôvodňovanie projektu, ktoré zahŕňa posúdenie, či je projekt požadovaný a dosiahnuteľný, potrebné na rozhodovanie o pokračovaní vynakladania prostriedkov počas všetkých fáz projektu, vypracované aspoň po ukončení každej fázy projektu,

2299

2300

2. plánovanie a operatívne riadenie dodávania projektových produktov,

2301

2302

3. riadenie rizík a závislostí, ktoré zahŕňa identifikáciu, hodnotenie a riadenie rizík, závislostí a hrozieb na úspešnú realizáciu projektu,

2303

2304

- zabezpečuje dodržiavanie legislatívno-metodických zásad pre riadenie projektov,

2305

2306

- zodpovedá za formálnu administráciu projektu, riadenie centrálneho úložiska projektovej dokumentácie SŠHR SR, správu a archiváciu projektovej dokumentácie,

2307

2308

- sleduje dodržiavanie interných riadiacich aktov.

)))

|(((

**Projektová rola:**

)))|(((

**KĹÚČOVÝ POUŽÍVATEĽ**

)))

|(((

Stručný popis:

)))|(((

- reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov,

2321

2322

- poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT,

2323

2324

- aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

2325

2326

- plní pokyny PM a dohody zo stretnutí projektového tímu.

)))

|(((

Detailný popis rozsahu zodpovedností, povinností a kompetencií

2332

)))|(((

2333

· návrh a špecifikáciu funkčných, nefunkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť,

2334

2335

· jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy,

2336

2337

· návrh a definovanie rizík, rozhraní a závislostí,

2338

2339

· vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania) a za finálne odsúhlasenie používateľského rozhrania,

2340

2341

· návrh a definovanie akceptačných kritérií,

2342

2343

· akceptačné testovanie (UAT) a návrh na akceptáciu projektových produktov alebo projektových výstupov a finálny návrh na spustenie do produkčnej prevádzky,

2344

2345

· 7. predkladanie požiadaviek na zmenu funkcionalít produktov,

)))

|(((

**Projektová rola:**

)))|(((

**PROJEKTOVÁ KANCELÁRIA („PMO“)**

2353

)))

2354

|(((

2355

Projektovou kanceláriou je príslušný organizačný útvar FR SR v zmysle organizačného poriadku FR SR, ktorý zabezpečuje podporu riadenia projektu, najmä:

2356

)))|(((

2357

- administratívnu a technickú podporu v jednotlivých fázach životného cyklu projektu,

2358

2359

- vypracovanie a odovzdanie menovacích dekrétov a odvolacích dekrétov

2360

2361

pre predsedu RV, členov RV, PM a podpísaných predsedom RV pre členov projektového tímu a PMO,

2362

2363

- zabezpečenie oboznámenia predsedu RV, členov RV, a členov projektového tímu s projektom, ich

2364

2365

úlohami a rozsahom ich zodpovedností, atď. podľa pokynu PM,

2366

2367

- organizačné zabezpečenie zasadnutí RV, spracovanie zápisov zo zasadnutí RV a zabezpečenie ich

2368

2369

zverejnenia prostredníctvom MetaIS, ak je to potrebné,

2370

2371

- organizačné zabezpečenie stretnutí realizovaných v rámci projektu, spracovanie zápisov z týchto

stretnutí,

- vykonávanie úloh na základe pokynov PM,

2376

2377

- vypracovanie a aktualizácia zoznamov úloh, rizík, otvorených otázok a iných manažérskych správ,

2378

2379

reportov, zoznamov a požiadaviek,

2380

2381

- organizačné zabezpečenie pripomienkového konania projektovej dokumentácie,

2382

2383

- správu projektov, monitorovanie stavu projektu, udržiavanie aktuálnosti a hodnovernosti údajov

2384

2385

o projektoch a podľa potreby optimalizáciu projektov,

2386

2387

- prípravu informácií o stave realizácie projektu podľa potreby,

2388

2389

- zhromaždenie, analyzovanie a vyhodnotenie poznatkov z implementácie projektov a definovanie

2390

2391

ponaučenia za účelom predchádzania a opakovania chýb z minulosti,

2392

2393

- zabezpečenie zverejnenia projektových výstupov jednotlivých fáz životného cyklu projektu na centrálnom

2394

2395

úložisku projektovej dokumentácie SŠHR SR a v MetaIS, ak je to potrebné,

2396

2397

- poskytuje súčinnosť PM pri predkladaní projektových produktov na posúdenie ekonomickej výhodnosti

2398

2399

a súladu s programovým riadením MIRRI SR, ak je to potrebné,

2400

2401

- organizáciu procesov súvisiacich s výkazmi práce členov projektových tímov jednotlivých projektov,

2402

2403

- vytvorenie a spravovanie centrálneho úložiska projektovej dokumentácie SŠHR SR,

2404

2405

- vytvorenie komunikačnej platformy v rámci projektu a medzi projektami navzájom,

2406

2407

- zabezpečenie interakcie medzi zainteresovanými stranami, ich spokojnosť a realizáciu požiadaviek

2408

2409

spojených s implementáciou projektu,

2410

2411

- spoluprácu s metodickou podporou projektového riadenia,

2412

2413

- zabezpečenie uloženia originálov projektovej dokumentácie.

)))

|(((

**Projektová rola:**

)))|(((

**MANAŽÉR KYBERNETICKEJ A INFORMAČNEJ BEZPEČNOSTI („KIB“)**

)))

|(((

Stručný popis:

)))|(((

- má neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných,

2426

2427

- má sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle § 20 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov a v zmysle ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov,

2428

2429

- zodpovedá za posúdenie možných alternatív realizácie projektu za oblasť IB a KB,

2430

2431

- zodpovedá za posúdenie požiadaviek agendy IB a KB na rozhrania a spoločné komponenty, na integrácie a procesy konverzie a migrácie, identifikácia nesúladu a návrh riešenia,

2432

2433

- poskytuje konzultácie a súčinnosť pre problematiku IB a KB,

2434

2435

- poskytuje konzultácie pri tvorbe šablón a vzorov dokumentácie pre oblasť IB a KB,

2436

2437

- poskytuje konzultácie a vykonáva kontrolnú činnosť zameranú na obsah a komplexnosť dokumentácie z hľadiska IB a KB,

2438

2439

- dohliada na zosúladenie projektu s princípmi definovanými v interných riadiacich aktoch SŠHR SR a dokumentoch týkajúcich sa bezpečnosti SŠHR SR,

2440

2441

- zabezpečuje získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti IB a KB,

2442

2443

- aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice,

2444

2445

- plní pokyny PM a dohody zo stretnutí projektového tímu.

2446

)))

2447

|(((

2448

Detailný popis rozsahu zodpovedností, povinností a kompetencií

2449

)))|(((

2450

- zodpovedá́ za špecifikovanie:

2451

2452

• štandardov, princípov a stratégií v oblasti informačnej bezpečnosti („IB“) a kybernetickej bezpečnosti („KB“) a ich dodržiavanie,

2453

2454

• funkčných, nefunkčných a technických požiadaviek na IB a KB a za ich analýzu,

2455

2456

• požiadaviek na IB a KB, kontroluje ich implementáciu v realizovanom projekte,

2457

2458

• požiadaviek na bezpečnosť̌ vývojového, testovacieho a produkčného prostredia,

2459

2460

• požiadaviek na bezpečnosť̌ v rámci bezpečnostnej vrstvy,

2461

2462

• požiadaviek na školenia pre oblasť̌ IB a KB,

2463

2464

• požiadaviek na bezpečnostnú́ architektúru riešenia a technickú́ infraštruktúru pre oblasť̌ IB a KB,

2465

2466

• požiadaviek na dostupnosť̌, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na IB a KB,

2467

2468

• požiadaviek na IB a KB, bezpečnostný́ projekt a riadenie prístupu,

2469

2470

• požiadaviek na opis vývojového, testovacieho a produkčného prostredia za oblasť̌ IB a KB,

2471

2472

• požiadaviek na testovanie z hľadiska IB a KB, realizáciu kontroly zapracovania a retestu,

2473

2474

• požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť̌ IB a KB, ako aj v zmysle "best practies",

2475

2476

• požiadaviek na dodanie potrebnej dokumentácie súvisiacej s IBaKB kontroluje ich implementáciu v realizovanom projekte,

2477

2478

• požiadaviek a konzultácie pri návrhu riešenia za agendu IB a KB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný́ návrh riešenia (DNR)“,

2479

2480

• požiadaviek nabezpečnosť ITaKB v rámci procesu "akceptácie, odovzdania a správy zdrojových kódov“,

2481

2482

• akceptačných kritérií́ za oblasť̌ IB a KB,

2483

2484

• pravidiel pre publicitu a informovanosť̌ s ohľadom na IB a KB,

2485

2486

• podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť̌ IB a KB,

2487

2488

• požiadaviek na bezpečnostný́ projekt pre oblasť̌ IB a KB,

2489

2490

2491

- zodpovedá́ za realizáciu kontroly:

2492

2493

• zameranej na naplnenie požiadaviek definovaných v bezpečnostnom projekte za oblasť̌ IB a KB,

2494

2495

• zameranú́ na správnosť̌ nastavení́ a konfigurácii bezpečnosti jednotlivých prostredí́,

2496

2497

• zameranú́ na realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť̌ a kompletný́ popis rozhraní́, správnu identifikácia závislostí,

2498

2499

• naplnenia definovaných požiadaviek pre oblasť̌ IB a KB,

2500

2501

• zameranú́ na implementovaný́ proces v priamom súvise s IB a KB,

2502

2503

• súladu s platnou legislatívou v oblasti IB a KB (obsahuje aj kontrolu legislatívnych požiadaviek),

2504

2505

• zameranú́ na zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní́ a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

)))

|(((

**Projektová rola:**

)))|(((

**ČLEN PROJEKTOVÉHO TÍMU**

)))

|(((

Stručný popis:

)))|(((

- vykonáva odbornú prácu v projekte a poskytuje odborné stanoviská a konzultácie za príslušnú oblasť,

2520

2521

- aktívne sa zúčastňuje odborných stretnutí tímu, ako aj konzultácií,

2522

2523

- zabezpečuje vypracovanie, priebežnú aktualizáciu a verzionovanie manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Prílohou č.1 tejto smernice v súčinnosti a podľa pokynov tímového manažéra a PM,

2524

2525

- plní úlohy uložené tímovým manažérom a PM v požadovanej kvalite a v stanovených termínoch,

2526

2527

- plní dohody zo stretnutí projektového tímu,

2528

2529

- odpočtuje plnenie úloh tímovému manažérovi a PM,

2530

2531

- predkladá námety, podnety, požiadavky a upozorňuje na problémy a riziká súvisiace s projektom tímovému manažérovi a PM,

2532

2533

- spolupracuje s projektovým tímom na strane dodávateľa,

2534

2535

- zodpovedá za splnenie všetkých legislatívnych požiadaviek (právne predpisy SR a EK) a metodických a administratívnych požiadaviek súvisiacich s implementáciou projektu.

)))

= {{id name="projekt_2560_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

2540

2541

= {{id name="projekt_2560_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =

2542

2543

2544

**Príloha 1: **Zoznam rizík a závislostí

Koniec dokumentu

[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

Wiki zdrojový kód pre projekt_2560_Projektovy_zamer_detailny

Aplikácie

Navigácia

Tips

Need help?