Zmeny dokumentu projekt_2658_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 13:07

From 3.1 to 4.1 From 5.1 to 6.1

Z verzie 4.1

upravil peter_simko
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 5.1

upravil peter_simko
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Prílohy (0 modified, 2 added, 0 removed)
- image-2024-5-31_12-46-57.png
- image-2024-5-31_12-47-19.png
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -35,1683 +35,6 @@
  **~ **
--= {{id name="projekt_2658_Projektovy_zamer_detailny-Schvaľovaniedokumentu"/}}Schvaľovanie dokumentu   =
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Položka **
--)))|(((
--**Meno a priezvisko **
--)))|(((
--**Organizácia **
--)))|(((
--**Pracovná pozícia **
--)))|(((
--**Dátum **
--)))|(((
--**Podpis **
--
--(alebo elektronický súhlas)
--)))
--(% class="" %)|(((
--Schválil
--)))|(((
--Dr. h. c. prof. MUDr. Peter Šimko, CSc.
--)))|(((
--SZU
--)))|(((
--Rektor
--)))|(((
--31.05.2024
--)))|(((
  \\
--)))
--**~ **
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-1.HISTÓRIADOKUMENTU"/}}1. HISTÓRIA DOKUMENTU   =
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Verzia **
--)))|(((
--**Dátum **
--)))|(((
--**Zmeny **
--)))|(((
--**Meno **
--)))
--(% class="" %)|(((
--1.1
--)))|(((
--30.05.2024
--)))|(((
--Finálna verzia projektovej dokumentácie
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE   =
--
--V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
--
--\\
--
--Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky obsahuje manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.
--
--**~ **
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1       Použité skratky a pojmy   ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**SKRATKA/POJEM **
--)))|(((
--**POPIS **
--)))
--(% class="" %)|(((
--EDR
--)))|(((
--Endpoint Detection & Response
--)))
--(% class="" %)|(((
--EPP
--)))|(((
--Endpoint protection
--)))
--(% class="" %)|(((
--FW
--)))|(((
--Firewall
--)))
--(% class="" %)|(((
--HW
--)))|(((
--Hardvér
--)))
--(% class="" %)|(((
--IKT
--)))|(((
--Informačno-komunikačné technológie
--)))
--(% class="" %)|(((
--IS
--)))|(((
--Informačný systém
--)))
--(% class="" %)|(((
--ISVS
--)))|(((
--Informačný systém verejnej správy
--)))
--(% class="" %)|(((
--IT
--)))|(((
--Informačné technológie
--)))
--(% class="" %)|(((
--KB
--)))|(((
--Kybernetická bezpečnosť
--)))
--(% class="" %)|(((
--MKB
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))
--(% class="" %)|(((
--NGFW
--)))|(((
--Next Generation Firewall
--)))
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--RACI
--)))|(((
--responsible, accountable, consulted, and informed
--)))
--(% class="" %)|(((
--V OIT
--)))|(((
--Vedúci oddelenia IT
--)))
--(% class="" %)|(((
--SIEM
--)))|(((
--Security Information and Event Management
--)))
--
--
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--SOC
--)))|(((
--Security Operations Center
--)))
--(% class="" %)|(((
--SPoF
--)))|(((
--Single Point of Failure
--)))
--(% class="" %)|(((
--SW
--)))|(((
--Softvér
--)))
--(% class="" %)|(((
--SZU
--)))|(((
--Slovenská zdravotnícka univerzita v Bratislave
--)))
--(% class="" %)|(((
--TBD
--)))|(((
--To Be Defined
--)))
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2       Konvencie pre typy požiadaviek (príklady)   ==
--
--\\
--
--Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:  FRxx
--
--* U          – užívateľská požiadavka
--* R          – označenie požiadavky
--* xx          – číslo požiadavky
--
--Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:
--
--NRxx
--
--* N           – nefukčná požiadavka (NFR)
--* R          – označenie požiadavky
--* xx          – číslo požiadavky
--
--Ostatné typy požiadaviek môžu byť ďalej definované PM.
--
--**~ **
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU    =
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1       Manažérske zhrnutie   ==
--
--\\
--
--Predkladaným projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT na SZU, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu. Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia SZU a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, nevynímajúc prostredie vysokých škôl. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov, medzi ktoré môžeme zaradiť:
--
--1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;
--1. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;
--1. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;
--1. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;
--1. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných
--
--incidentov;
--
--1. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.
--
--// //
--
--Jednotlivé subjekty spomedzi verejných a štátnych vysokých škôl si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej  bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného  bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných  systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné  systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Slovenská zdravotnícka univerzita v Bratislave je napriek svojim výrazným odborným a finančným limitom sama zodpovedná za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.
--
--\\
--
--Projektová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy), opatrenie
--
--1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť). Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu, a to najmä kritickej infraštruktúry a komunikačnej  infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie vysokej školy ako orgánu verejnej moci je pri svojom výkone súčasťou kybernetického ekosystému štátu, ako aj prostredia eGovernmentu (Zákon 305/2013 o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci a o zmene a doplnení niektorých zákonov). VŠVÚ môžeme v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov zaradiť medzi prevádzkovateľa základnej služby. V zmysle kategorizačnej vyhlášky (164/2018 Z. z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby) patrí do sektoru Verejná správa - Prevádzkovateľ služieb - Orgán verejnej moci. SZU ďalej napĺňa Špecifické sektorové kritériá (Služba, ktorá je na základe vyhodnotenia rizík v rámci organizácie definovaná ako podstatná služba v jednom podsektore b) informačných systémov verejnej správy) aj Dopadové kritériá (Obmedzenie či narušenie prevádzky siete a informačného systému, ktoré môže mať: a) negatívny vplyv na fungovanie orgánu verejnej moci). Kategorizácia IS SZU je z pohľadu činností orgánu verejnej moci a požiadavky na bezpečnosť (CIA) vyhodnotená na Kategóriu II.
--
--Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:
--
--* súlad projektu so špecifickým cieľom: RSO 1.2 (opatrenie 1.2.1)
--* súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.2 3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy s kódom PSK-MIRRI-614-2024-DV-EFRR
--
--\\
--
--Definovaná hlavná aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti vedie k naplneniu merateľného ukazovateľa „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov “ v počte 600 tým, že sa implementuje do prostredia vysokej školy riešenie v oblasti sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie či ochrane proti škodlivému kódu.
--
--\\
--
--Projektom budú dosiahnuté nasledovné kvantitatívne, ako aj kvalitatívne prínosy.
--
--__Kvantitatívne prínosy v rámci navrhovaného projektu__:
--
--* zamedzenie výpadku infraštruktúry z dôvodu zníženia pravdepodobnosti dopadu závažného kybernetického útoku,
--* zabránenie riziku narušenia údajov implementáciou EDR.
--
--\\
--
--__Kvalitatívne prínosy v rámci navrhovaného projektu__:
--
--* zníženie miery rizika vzniku kybernetického incidentu,
--* zvýšenie miery súladu s platnou legislatívou,
--* zvýšenie úrovne kybernetickej a informačnej bezpečnosti, zvýšenie detekcie kybernetických bezpečnostných incidentov,
--* zvýšená spokojnosť a dôvera používateľov.
--
--\\
--
--// //
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2       Motivácia a rozsah projektu   ==
--
--// //
--
--Slovenská zdravotnícka univerzita je štátna vysoká škola univerzitného typu pôsobiaca v rezorte Ministerstva zdravotníctva SR a má štyri fakulty:
--
--* Fakulta ošetrovateľstva a zdravotníckych odborných štúdií
--* Fakulta verejného zdravotníctva
--* Lekárska fakulta
--* Fakulta zdravotníctva so sídlom v Banskej Bystrici, na základe čoho sú aj v predkladanom projekte zadefinované 2 miesta realizácie projektu - Bratislava (VRR) a Banská Bystrica (MRR).
--
--\\
--
--Prístup k informačným zdrojom, knižničným fondom a službám pre študenta a učiteľa každého študijného programu zodpovedajúci výstupom vzdelávania, zameraniu tvorivých činností a počtu študentov je na všetkých fakultách univerzity zabezpečený prostredníctvom lokálnej počítačovej siete LAN 100/1000 MB/s a pripojenia na internet prostredníctvom optickej siete SANET II s rýchlosťou 1000 MB/s. Väčšina učební, ako aj ubytovacia časť, je pokrytá signálom Wifi siete SZUFREEPOINT, ktorá je voľne dostupná všetkým študentom a učiteľom. Pre špecializovaný pedagogický proces sú k dispozícii 2 počítačové učebne s kapacitou 25 a 20 PC s priamym prístupom na internet. Prevádzku informačných systémov SZU zabezpečuje niekoľko desiatok serverov. Ide najmä o systémy:
--
--* MAIS – modulárny akademický informačný systém, ktorého cieľom je poskytovať komplexné služby pre elektronickú podporu procesov prebiehajúcich na vysokej škole, ako aj evidenciu a spracovanie informácií súvisiacich s prípravou a realizáciou akademického roku na vysokej škole, evidenciou študijných predmetov, študijných programov, študijných plánov, rozvrhu, evidenciou študentov a ich štúdií. Súčasťou MAIS systému sú nasledovné platformy:
--* EZP – portál pre Evidenciu a odovzdávanie záverečných prác, ktorý zabezpečuje kontrolu originality záverečných prác a ich ukladanie v zmysle zákona.
--* OMO - systém zabezpečuje evidenciu a spracovanie dokladov pre potreby zaraďovania zdravotníckych pracovníkov do špecializačného štúdia, personalizáciu indexov odbornosti a záznamníkov, vedie databázu vydaných dokladov o štúdiu, evidenciu vydávania osvedčení o rovnocennosti získaných špecializácií pre lekárov.
--* IS ŠTUDENT - Systém na spracovanie informácii študijného oddelenia pre postgraduálne štúdium. Slúži na evidenciu vzdelávacích aktivít, pozývanie, organizáciu akcií, evidenciu a vydávanie dokladov pre postgraduálne štúdium. Zároveň slúži na export úhrad pre potreby ekonomického úseku. Zabezpečuje export podkladov pre chod informačných obrazoviek SZU.
--* KNIŽNIČNÝ SYSTÉM – zabezpečuje činnosti univerzitnej knižnice a evidenciu publikačnej činnosti.
--* EmStudent - Systém na evidenciu a spracovanie údajov pre karty študentov v dennej (ISIC karty) a externej (študentské karty SZU) forme štúdia.
--* E-LEARNING - Systém pre dištančné vzdelávanie, ktorý však momentálne nie je funkčný.
--* eITest – systém na elektronické testovanie študentov.
--* OFFICE365 – emailové účty študentov a zamestnancov.
--* //Medzi základné systémy patria: //
--* SOFTIP – ekonomický systém (ekonomika, personalistika, mzdy, žiadanky ap.)
--* ADMIS – registratúrny systém
--* RON – dochádzkový a stravovací systém
--* EFG – systém na riadenie prístupov do vyhradených priestorov
--* ADMIS – ambulančný informačný systém
--* PROMIS – medicínsky informačný systém
--* Prezentáciu univerzity navonok zabezpečuje webová stránka.
--
--\\
--
--Univerzitná knižnica Slovenskej zdravotníckej univerzity v Bratislave (ďalej len “UK SZU“) sa buduje od začiatkov vzdelávania zdravotníckych pracovníkov. UK SZU je špecializovaná knižnica zameraná na medicínu a príbuzné odbory. Jej používateľmi sú študenti, pedagogickí pracovníci, lekári, farmaceuti, vedecko-výskumní pracovníci a iní zdravotnícki pracovníci. Nachádza sa v budove na Limbovej 12 v Bratislave s pobočkou v Banskej Bystrici. UK má príručné sklady knižnej a periodickej literatúry. Katalógy (autorský a systematický) sa nachádzajú vo výpožičnom oddelení. Knižnica má elektronicky spracovaný knižničný fond. Pre čitateľov je v študovni prístupných 10 PC s prístupom na internet s napojením na tlačiareň. Knižnica poskytuje okrem výpožičnej služby (prezenčnej a absenčnej) bibilograficko - rešeršné služby, konzultácie ku knižničnej problematike, medzinárodnú medziknižničnú výpožičnú službu, medziknižničnú výpožičnú službu, reprografické služby z knižničných materiálov a organizuje predajné výstavy zahraničných medicínskych kníh spolupráci so zahraničnými vydavateľstvami a dodávateľmi. Periodická tlač sa uchováva v UK 15 rokov, current contens a zdravotnícke noviny 3 roky a denná tlač rok. Trvale sa uchovávajú Zbierky zákonov a Vestník MZ SR. UK má k dispozícii prístup do nasledovných databáz: Science Direct, Ebsco Medline, Scopus, Bio Med Central, Česká národní bibliografie, Free Medical Journals, PQDT Open, Pub Med, Springer Link, Web of Science, Infotrac a voľne dostupných databáz. Knižničný fond obsahuje k 31. 12. 2021 - 35 840 knižničných jednotiek a je neustále dopĺňaný o aktuálnu literatúru. Katedra ošetrovateľstva má pre profilové predmety viažuce sa k odboru vypracované vlastné učebné texty, ktoré sú dostupné v univerzitnej knižnici SZU a v COPY centre.
--
--\\
--
--SZU ako prevádzkovateľ základnej služby má povinnosti, ktoré vyplývajú zo zákona č. 69 /2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov. Medzi základné povinnosti patrí prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre vyššie uvedené oblasti v súlade s ustanovením § 20 ods. 3 predmetného zákona. Jednotlivé bezpečnostné opatrenia budú prijímané a realizované na základe vytvorenej bezpečnostnej dokumentácie zodpovedajúcej reálnemu stavu. SZU k dnešnému dňu nemá vytvorenú stratégiu kybernetickej bezpečnosti ani vytvorené bezpečnostné politiky kybernetickej bezpečnosti, na ktoré sa bude žiadateľ prostredníctvom realizácie projektu sústrediť. Z externého prostredia sa totiž neustále zvyšuje frekvencia a závažnosť útokov, z interného hľadiska sa zas neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Implikačne sa teda zvyšujú hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov. Realizáciou projektu sa dosiahne významné zlepšenie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností, kapacít a spôsobilostí pre plnenie úloh v oblasti KIB.
--
--\\
--
--SZU ako orgán riadenia musí pre prevádzkované ISVS zabezpečiť nasledovné MINIMÁLNE BEZPEČNOSTNÉ OPATRENIA (Povinnosti jednotlivých kategórií orgánu riadenia určuje Príloha č.2 k Vyhláške č. 179/2020.)  A. Organizácia kybernetickej bezpečnosti a informačnej bezpečnosti
--
--Kategória II
--
--1. Vypracovanie a implementácia interného riadiaceho aktu Politika kybernetickej bezpečnosti a informačnej bezpečnosti, ktorý je pre organizáciu správcu záväzný a obsahuje najmenej  určenie povinnosti, zodpovednosti a právomoci manažéra kybernetickej bezpečnosti a informačnej bezpečnosti a všetkých zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,
--
--              základné zásady a opatrenia kybernetickej a informačnej bezpečnosti v štruktúre oblastí definovaných touto vyhláškou.
--
--1. Určenie a personálne zabezpečenie roly manažéra kybernetickej bezpečnosti a informačnej bezpečnosti v organizácii správcu zodpovedného za koordináciu a plnenie týchto úloh:
--
--  vypracovať, udržiavať a aktualizovať Politiku kybernetickej bezpečnosti a informačnej bezpečnosti a ďalšie interné riadiace akty podľa písmena c),
--
--     riadiť a zaisťovať kybernetickú a informačnú bezpečnosť podľa všeobecne záväzných právnych predpisov a interných riadiacich aktov,
--
--  metodicky viesť správcov informačných technológií verejnej správy, gestorov informačných technológií verejnej správy, vlastníkov procesov, vlastníkov aktív, vedúcich zamestnancov a ďalších zodpovedných zamestnancov,
--
--  v súčinnosti s ostatnými organizačnými útvarmi analyzovať, definovať a monitorovať bezpečnostné hrozby a riziká organizácie,     navrhovať opatrenia na zamedzenie alebo minimalizáciu rizík a dopadov hrozieb, bezpečnostných udalostí, incidentov, mimoriadnych situácií, monitorovať plnenie a efektivitu týchto opatrení a viesť evidenciu bezpečnostných incidentov,
--
--              koordinovať vypracovanie plánov kontinuity a obnovy činností organizácie správcu,
--
--  predkladať odborné stanoviská, analýzy k procesom, projektom, zmenám a ostatným aktivitám organizácie majúcich vplyv na kybernetickú bezpečnosť a informačnú bezpečnosť organizácie správcu,
--
--  zabezpečiť pravidelné – najmenej raz za dva roky – preskúmanie stavu informačnej bezpečnosti a spolupracovať pri realizácii auditov vykonávaných internými a externými subjektmi,
--
--  zabezpečovať školenia zamestnancov v oblasti kybernetickej bezpečnosti a informačnej bezpečnosti,    spolupracovať s inými orgánmi verejnej moci.
--
--1. Vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej bezpečnosti a informačnej bezpečnosti v rozsahu a detaile zodpovedajúcom veľkosti a štruktúre organizácie správcu, významu informačných technológií verejnej správy v jeho správe a štruktúre existujúcich interných riadiacich aktov s detailným opisom jednotlivých opatrení a postupov.
--1. Zabezpečenie výkonu pravidelných auditov kybernetickej bezpečnosti a informačnej bezpečnosti podľa osobitného predpisu.
--1. Monitorovanie a vyhodnocovanie dodržiavania Politiky kybernetickej bezpečnosti a informačnej bezpečnosti a efektivity jednotlivých opatrení a postupov.
--1. Aktualizácia Politiky kybernetickej bezpečnosti a informačnej bezpečnosti najmenej raz za rok.
--
--\\
--
--Ako už bolo uvedené, SZU nemá vypracované dokumenty bezpečnostnej politiky ani stratégiu kybernetickej bezpečnosti, ktoré by predstavovali ucelenú a systematicky aktualizovanú koncepciu. Rovnako tak chýba vykonaná inventarizácia aktív, klasifikácia informácií s kategorizáciou sietí a informačných systémov a následne realizovanou analýzou rizík a analýzou dopadov vrátane ich riadenia. Okrem organizačného a procesného zabezpečenia KIB absentuje taktiež odborná kapacita na pozícii manažéra kybernetickej bezpečnosti. SZU nemá implementované základné požiadavky v oblasti KIB predovšetkým z dôvodu nedostatočného finančného krytia a nedisponibility personálnych kapacít pre oblasť riadenia KIB a prevádzky bezpečnostných systémov.
--
--\\
--
--Na základe poznania markantnej miery nesúladu s legislatívnymi požiadavkami sa žiadateľ rozhodol prostredníctvom predkladaného projektu požiadať o nenávratný finančný príspevok na realizáciu početných opatrení smerujúcich k systematickému nastaveniu kybernetickej a informačnej bezpečnosti SZU. V kontexte zákonov č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov  a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov sa budú realizovať komplexné opatrenia v nasledujúcich oblastiach:
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-1.Organizáciakybernetickejainformačnejbezpečnosti"/}}1. Organizácia kybernetickej a informačnej bezpečnosti  ===
--
--Vypracovanie  bezpečnostnej dokumentácie slúžiacej na identifikáciu, riadenie a mitigáciu bezpečnostných rizík, ktorá poskytne jasné smernice a postupy pre ochranu citlivých informácií a majetku organizácie. Súčasťou bezpečnostnej dokumentácie budú vypracované prípadne aktualizované nasledovné sady dokumentácie:
--
--* //Bezpečnostná stratégia kybernetickej bezpečnosti; //
--* //Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti; //o               //Štatút bezpečnostného výboru, rokovací poriadok;  //
--
--\\
--
--Okrem nárokov na vypracovanie bezpečnostnej dokumentácie bude predovšetkým povinnosťou žiadateľa do svojich radov prijať ako internú odbornú kapacitu dosiaľ absentujúceho manažéra kybernetickej bezpečnosti.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-2.Riadenierizík"/}}2. Riadenie rizík   ===
--
--Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív  podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu. Implementácia systému pre inventarizáciu aktív. Riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného  preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení. Vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.
--
--\\
--
--SZU má v rámci bezpečnostnej politiky identifikované informačné aktíva a všetky podporné aktíva, ako aj ich evidenciu, ktoré podporujú niektorú z identifikovaných základných služieb. Inventárny zoznam aktív je však vytvorený len z pohľadu evidencie majetku, nie je zavedený proces tvorby a riadenia životného cyklu informačných aktív a riadenia rizík. Rovnako boli identifikovaní relevantní dodávatelia, ktorí podporujú prevádzku základných služieb. V súčasnom stave však absentuje klasifikácia aktív z hľadiska dôvernosti, integrity a dostupnosti. Z pohľadu udržateľnosti stavu je výrazným nedostatkom absencia procesu na aktualizáciu evidencie aktív, ako aj neúplná identifikácia vlastníkov jednotlivých aktív. Evidencia o konfiguračných nastaveniach identifikovaných aktív a služieb je vedená iba čiastočne.
--
--\\
--
--Pre danú oblasť zo samohodnotenia tiež vyplýva, že poskytovateľ základnej služby neidentifikuje a nevyhodnocuje riziká kybernetickej bezpečnosti (nie je vytvorená riziková analýza), nenavrhuje a neimplementuje bezpečnostné opatrenia kybernetickej bezpečnosti, ktorými by znižoval a neakceptovateľne veľké zvyškové riziká. Budú vypracované alebo aktualizované nasledovné sady dokumentácie:
--
--o      //Smernica Riadenie bezpečnostných rizík  //o          //Metodika Riadenie bezpečnostných rizík  //o          //Metodika Riadenie bezpečnostných rizík tretích strán //o              //Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov  //o            //Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov  //o            //Smernica - Riadenie súladu a audit //
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-3.Riadenieprístupov"/}}          3.  Riadenie prístupov   ===
--
--Vypracovanie a implementácia zásad riadenia prístupov osôb k sieti a informačnému systému; Zavedenie, implementácia alebo aktualizácia centrálneho nástroja na správu a overovanie identity, nástroja na riadenie prístupových  oprávnení vrátane privilegovaných prístupových práv a kontroly prístupových účtov a prístupových oprávnení; Vypracovanie a implementácia postupov a procesov upravujúcich riadenie prístupov organizácie. V oblasti riadenia prístupov je na základe sebahodnotenia nedostatočný stav. Nie sú definované rozsahy logických aj fyzických prístupových oprávnení  vlastných zamestnancov a zamestnancov dodávateľom ku všetkým aktívam hodnoteného subjektu. Tiež platí, že nie je vykonávaná pravidelná kontrola  nad nastavenými rozsahmi prístupových oprávnení na aktivitách.
--
--Budú vypracované alebo aktualizované nasledovné sady dokumentácie v podobe interných riadiacich aktov:
--
--* //Smernica Riadenie prístupových práv//
--* //Zapracovanie a implementácia postupov a procesov prostredníctvom RACI matice v nadväznosti na implementované technické riešenie//
--* //Pravidlá pre oddelenie právomocí//
--
--**~ **
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-4.Riadeniekybernetickejainformačnejbezpečnostivovzťahochstretímistranami"/}}          4.  Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami  ===
--
--Vypracovanie analýzy  rizík  tretích  strán  a celého  dodávateľského  reťazca, vrátane analýzy politických rizík; analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou; vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so zákonom KB; vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho zásady   kybernetickej   a  informačnej   bezpečnosti   vo   vzťahoch   s tretími stranami.   Zo samohodnotenia vyplýva, že nie je zavedená politika pre riadenie dodávateľských služieb. Budú vypracované alebo aktualizované nasledovné sady dokumentácie:
--
--        o      //Smernica riadenie tretích strán //o           //Smernica požiadavky pre tretie strany //o                //Vzor//
--
--//zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení//
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-5.Bezpečnosťpriprevádzkeinformačnýchsystémovasietí"/}}5.    Bezpečnosť pri prevádzke informačných systémov a sietí  ===
--
--Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných  systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a  vyhodnocovanie prevádzkových záznamov; Implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a  schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení; Obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia  spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom  objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo  havárie.
--
--Budú vypracované alebo aktualizované nasledovné sady dokumentácie:    o  //Smernica správa a prevádzka informačných systémov a služieb //
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-6.Hodnoteniezraniteľnostíabezpečnostnéaktualizácie"/}} 6.    Hodnotenie zraniteľností a bezpečnostné aktualizácie  ===
--
--Nie je vytvorená smernica pre riešenie kybernetických bezpečnostných incidentov. Procesy sa realizujú, nerobia sa však záznamy. Nie sú vytvorené štandardy a formálne postupy riešenia kybernetických bezpečnostných incidentov. Incidenty sa riešia individuálne podľa možností a kapacity IT oddelenia. Zavedenie, implementácia alebo aktualizácia nástroja určeného na detegovanie existujúcich zraniteľností programových prostriedkov a  ich častí a detegovanie existujúcich zraniteľností technických prostriedkov a ich častí, prípadne obstaranie tejto funkcionality ako externej služby; Vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat. Z pohľadu schopnosti identifikovať známe zraniteľnosti aktív a vyhodnocovania potencionálneho prieniku zneužitím týchto zraniteľností absentuje  systematické získavanie informácií o zraniteľnostiach od dodávateľov aktív a KB autorít.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-7.Sieťováakomunikačnábezpečnosť"/}} 7.   Sieťová a komunikačná bezpečnosť   ===
--
--Implementácia nástrojov na ochranu integrity sietí, ktoré zabezpečujú riadenie bezpečného prístupu medzi vonkajšími a vnútornými  sieťami, implementácia segmentácie sietí, implementácia alebo obnova firewall-u, revízia firewall pravidiel. Vytvorenie alebo aktualizácia dokumentácie počítačovej siete, ktorá obsahuje evidenciu všetkých miest prepojenia sietí vrátane  prepojení s externými sieťami, topológiu siete a využitie IP rozsahov. Vypracovanie a implementácia   interného  riadiaceho  aktu   upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-8.Akvizícia,vývojaúdržbainformačnýchtechnológiíverejnejsprávy"/}} 8.    Akvizícia, vývoj a údržba informačných technológií verejnej správy  ===
--
--Vypracovanie metodiky softvérového vývoja v podobe interného riadiaceho aktu,  definujúce  bezpečnostné  požiadavky  na  všetky  fázy  životného  cyklu vývoja SW (SSDLC). Budú vypracované alebo aktualizované nasledovné sady dokumentácie: vypracovanie IRA: Metodika Požiadavky pre bezpečný vývoj SSDLC Zaznamenávanie udalostí a monitorovanie Implementácia centrálneho Log manažment systému pre zber a ukladanie logov z jednotlivých informačných systémov; Implementácia centrálneho nástroja na zaznamenávanie činností sietí a informačných systémov a používateľov a identifikovanie  bezpečnostných incidentov (SIEM); Vypracovanie dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné  monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity,  zodpovednej osoby a ďalších povinností; Špecifikácia všetkých udalostí, ktoré musia byť zaznamenávané a konfigurácia prvkov informačných technológií verejnej správy, vrátane  dokumentácie rozsahu dát zaznamenávaných log súborov; implementácia automatizovaných systémov vykonávajúcich dohľad pred  neoprávnenými zásahmi, neautorizovaným prístupom, najmä pred zmenami a zničením, vrátane monitorovania kapacity systémov a  návrh adekvátnych opatrení na ukladanie záznamov a systému logovania. vypracovanie interného    riadiaceho    aktu,    ktorý    obsahuje    a upravuje povinnosti definované platnou legislatívou;
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-9.Riešeniekybernetickýchbezpečnostnýchincidentov"/}} 9.    Riešenie kybernetických bezpečnostných incidentov  ===
--
--Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností  zamestnancov a ďalších povinností; Obstaranie služby monitorovania a analyzovania udalostí v sieťach a informačných systémoch vrátane detekcie, zberu relevantných  informácií, vyhodnocovania a riešenia zistených kybernetických bezpečnostných incidentoch a vykonávania napr. forenzných analýz v  snahe minimalizovať výskyt a dopad kybernetických bezpečnostných incidentov; Implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných  udalostí; - vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických  bezpečnostných incidentov; Vypracovanie interného   riadiaceho   aktu  obsahujúceho  a upravujúceho povinnosti týkajúce sa riešenia kybernetických  bezpečnostných incidentov; Vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov. V rámci hodnotenia oblasti bezpečnostného monitoringu samohodnotenie konštatuje absenciu implementovaného nástroja na výkon bezpečnostného  monitoringu nad aktívami, ktoré sa podieľajú na základnej službe. Taktiež pre túto oblasť absentuje proces, ktorým bude obec vedieť reagovať na  kybernetický bezpečnostný incident.
--
--Budú vypracované alebo aktualizované nasledovné sady dokumentácie:
--
--o      //Smernica - Riešenie bezpečnostných incidentov //o               //Metodika - Riešenie bezpečnostných incidentov //
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-10.Kontinuitaprevádzky"/}}10.   Kontinuita prevádzky  ===
--
--Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného. incidentu na základnú  službu; vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie  a zapracovanie nedostatkov z  výsledkov testovania; vypracovanie interného   riadiaceho   aktu   obsahujúceho   a upravujúceho kontinuitu prevádzky následkom kybernetického  bezpečnostného incidentu alebo inej krízovej situácie; vypracovanie   postupov   zálohovania   na   obnovu   siete   a informačného systému   po   jeho   narušení   alebo   zlyhaní   v  dôsledku   kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
--
--Budú vypracované nasledovné sady dokumentov:
--
--        o      //Stratégia a krízové plány na zabezpečenie dostupnosti siete a IS vrátane havarijných plánov //
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-11.Auditakontrolnéčinnosti"/}}11.   Audit a kontrolné činnosti  ===
--
--Audit KB podľa § 29 zákona č. 69/2018 Z. z. - posúdenie stavu prijatia a dodržiavania všeobecných bezpečnostných opatrení vo forme úloh, procesov, rolí a technológií v organizačnej, personálnej a technickej rovine.
--
--\\
--
--Vychádzajúc zo samohodnotenia a veľmi nízkej úrovne kybernetickej bezpečnosti u poskytovateľa základnej služby SZU, budú spomedzi výberu jednotlivých podaktivít výzvy v budúcom stave implementované: Centralizovaná platforma NGFW firewall vrátane inštalácie zariadení a príslušného softvérového riešenia a školení. Platforma postavená na HW akcelerovanej architektúre (t.j. zariadenia vybavené špecializovanými obvodmi FPGA/ASIC pre spracovanie komunikácie a vybraných výpočtovo náročných funkcií. Podpora služby výrobcu umožňujúca detekovať malware, ktorý bol objavený v dobe od poslednej  aktualizácie AV signatúrovej databázy pomocou globálnej a rýchle sa aktualizujúcej databázy hash-ov. Podpora funkcie odstránenia aktívneho  obsahu z dokumentov kancelárskych aplikácií – AV engine na firewalle v reálnom čase odstráni aktívny obsah z dokumentu pričom tento zostáva v pôvodnom formáte, ale sú z neho odstránené všetky aktívne prvky a ďalšie funkcie. Zaškolenie oprávnených osôb obstarávateľa preberajúcich  implementovanú technológiu pod svoju správu, administrátorov. Nejedná sa o školenie pre zamestnancov za účelom zvýšenia ich povedomia v  oblasti kybernetickej bezpečnosti. Cieľom zaškolenia je odovzdanie takých poznatkov, ktoré sú nevyhnutné na každodennú prácu s dodaným firewallom.
--
--Softvérové vybavenie typu Endpoint Protection a Endpoint Detection & Response vrátane inštalácie a príslušných školení. Softvérové vybavenie  slúžiace na prevenciu kybernetických útokov, detekciu a reakciu na už existujúce hrozby pre pracovné stanice poskytovateľa základnej služby.  Prioritou implementácie modulu EDR je detekcia, monitorovanie a rýchla reakcia na kybernetické hrozby. Implemntáciou modulu EDR sa  zabezpečí schopnosť identifikovať a zabrániť rôznym typom hrozieb, vrátane malvéru, ransomvéru a iných škodlivých aktivít, pričom toto riešenie  podporuje tkz. „samoučiaci režim“, ochranu pred neznámymi hrozbami a anti-ransomware ochranu. Riešenie umožní monitorovať všetky koncové  zariadenia v reálnom čase, ponúknuť centralizovanú správu, vytvárať správy pre bezpečnostných administrátorov a definovať politiky pre  jednotlivé skupiny administrátorov. EDR riešenie umožní rýchlu reakciu na incidenty, vrátane izolácie postihnutých zariadení, odstránenia hrozieb  a obnovy systémov, a podporí threat hunting s funkciou vizualizácie a minimálnou 30-dňovou retenciou dát. Možnosť integrácie s Microsoft Active Directory s cieľom importovať strom Active Directory. Dodávaná ako cloudová platforma. Poskytuje vyhradený komponent na centralizáciu  komunikácie medzi koncovými bodmi a cloudom. Poskytuje komponent, ktorý funguje ako vyrovnávacia pamäť pre aktualizácie a opravy  podpisov. Poskytuje komponent, ktorý môže odosielať všetky bezpečnostné výstrahy do interného syslogu alebo SIEM. Softvérové vybavenie pre hash certifikáciu aplikácii a kontrolu aplikačného vybavenia, aplikovanie bezpečnostných politík blokovania sieťovej  komunikácie, white & black listing hardvérových zariadení, monitoring a inštalácia záplatových balíčkov a aktualizácií, monitoring ransomvérových  útokov. Dokumentácia pre plány, spôsoby, riešenia a implementáciu pravidiel zvýšenia úrovne kybernetickej bezpečnosti (kapitola Výstupy) Penetračné testovanie delené na test externého perimetra (Reconnisaince, Service discovery, Overenie bezpečnosti VPN, Externý sken IPs  vystavených do internetu; Manuálna analýza Service version discovery, Vulnerability discovery; Manuálne overenie zraniteľností – Exploitácia),  interný infraštruktúrny test (Reconnisaince, Service discovery, Overenie bezpečnosti VPN, Externý sken IPs vystavených do internetu; Manuálna  analýza Service version discovery, Vulnerability discovery, Manuálne overenie zraniteľností, Exploitácia), Reporting - Executive summary; Krátky zoznam zraniteľností s ich hodnotením podľa impact-severity; Popis jednotlivých identifikovaných zraniteľností, Umiestnenie zraniteľností,  Odporúčania na odstránenie, Popis vykonaného testovania spolu s dátumami). Testované budú aj webové služby informačných systémov  s dodaním reportu (Mechanizmy autentifikácie, Kontroly autorizácie, Validácia údajov a filtrovanie vstupov, Session management, Spracovanie  chýb, Riadenie konfigurácie, Šifrovanie a ochrana údajov, Bezpečnosť API (ak je to relevantné), Dodržiavanie zvolených bezpečnostných metód OWASP API TOP 10 2019).
--
--
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3       Zainteresované strany/Stakeholderi   ==
--
--// //
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**ID **
--)))|(((
--**AKTÉR / STAKEHOLDER **
--)))|(((
--**SUBJEKT **
--
--(názov / skratka)
--)))|(((
--**ROLA **
--
--(vlastník procesu/ vlastník dát/zákazník/ užívateľ ….
--
--člen tímu atď.)
--)))|(((
--**Informačný systém **
--
--(MetaIS kód a názov ISVS)
--)))
--(% class="" %)|(((
--~1.
--)))|(((
--Ministerstvo            investícií,                 regionálneho rozvoja a informatizácie SR
--)))|(((
--MIRRI
--)))|(((
--Riadiaci orgán OP Slovensko/
--
--Poskytovateľ NFP
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Slovenská zdravotnícka univerzita v Bratislave
--)))|(((
--SZU
--)))|(((
--Prevádzkovateľ základnej služby
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Zamestnanci
--)))|(((
--SZU
--)))|(((
--MKB, OIT
--)))|(((
--N/A
--)))
--
--
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4       Ciele projektu   ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**ID **
--)))|(((
--**~ **
--
--**~ **
--
--**Názov cieľa **
--)))|(((
--**Názov strategického cieľa **
--)))|(((
--**Spôsob realizácie strategického cieľa  **
--)))
--(% class="" %)|(((
--01
--)))|(((
--RSO 1.2, kat.  VRR
--)))|(((
--Realizácia opatrení na zvýšenie úrov ne informačnej a  kybernetickej bezpe čnosti
--)))|(((
--Komplexné zvýšenie úrovne kybernetickej be zpečnosti implementáciou aplikačného a technologického vybavenia
--)))
--
--**~ **
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5       Merateľné ukazovatele (KPI)   ==
--
--
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**ID **
--)))|(((
--**~ **
--
--**~ **
--
--**ID/Názov**
--
--**cieľa **
--)))|(((
--**Názov ukazovateľa **
--
--(KPI)** **
--)))|(((
--**Popis ukazovateľa **
--)))|(((
--**Merná ** **jed notka **
--)))|(((
--**AS IS merateľné hodnoty ** (aktuálne)** **
--)))|(((
--**TO BE  Merateľné hodnoty **
--
--(cieľové hodnoty)** **
--)))|(((
--**Spôsob ich **
--
--**merania**
--
--**~ **
--)))|(((
--**Pozn. **
--)))
--(% class="" %)|(((
--01
--)))|(((
--Realizácia opatrení na zvýšenie úrovne informačnej a kybernetick
--
--ej
--
--bezpečnost
--
--i
--)))|(((
--PO095 /
--
--PSKPSOI12 -  Verejné
--
--inštitúcie
--
--podporované v
--
--rozvoji kybernetických
--
--služieb, produktov a procesov
--)))|(((
--Výstupový ukazovateľ Počet  verejných
--
--inštitúcií, ktoré
--
--sú podporované za účelom  rozvoja a  modernizácie kybernetických
--
--služieb, produktov,  procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy
--)))|(((
--verejné inštitúcie
--)))|(((
--0
--)))|(((
--1
--)))|(((
--Identifikácia počtu realizácie opatrení  KIB pre
--
--inštitúciu – splnenie súladu KIB  so zákonom o kybernetickej  bezpečnosti a zákonom o ISVS
--
--\\
--)))|(((
--Čas plnenia merateľného ukazovateľa projektu:  Fyzické ukončenie realizácie hlavných aktivít projektu
--)))
--(% class="" %)|(((
--02
--)))|(((
--Realizácia opatrení na zvýšenie úrovne informačnej a kybernetick
--
--ej
--
--bezpečnost
--
--i
--)))|(((
--PR017 /
--
--PSKPRCR11 -
--
--Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
--)))|(((
--Výsledkový ukazovateľ Ukazovateľ
--
--PR017 uvádza počet všetkých zamestnancov  SZU, ktorí budú primárnou skupinou používateľov nových/vylepše ných produktov a procesov realizovaných prostredníctvo m projektu
--)))|(((
--používateli a / rok
--)))|(((
--0
--)))|(((
--600
--)))|(((
--Sumarizácia počtu používateľov  nových a vylepšených digitálnych  služieb – bude určené počtom
--
--prístupov, Databázou používateľov v oblasti KIB. V prípade SZU ide o počet zamestnancov,
--
--ktorí využívajú  IS školy alebo
--
--akékoľvek
--
--elektronické
--
--zariadenia                 v správe SZU.
--)))|(((
--Čas plnenia merateľného ukazovateľa  projektu: v rámci udržateľnosti projektu
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6       Špecifikácia potrieb koncového používateľa   ==
--
--Projekt je zameraný na zvýšenie úrovne kybernetickej a informačnej bezpečnosti v rámci SZU. Prostredníctvom projektu nebudú budované ani upravované koncové služby, kde by vznikla potreba zisťovania potrieb koncového používateľa.
--
--.
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7       Riziká a závislosti   ==
--
--Riziká a závislostí sú podrobne spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTÍ. Zoznam rizík a závislostí reflektuje na identifikované riziká v čase prípravno-iniciačnej fázy projektu a počas realizácie projektu bude predmetom neustálej aktualizácie.
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8       Stanovenie alternatív v biznisovej vrstve architektúry   ==
--
--V rámci biznisovej vrstvy architektúry sme porovnávali 3 variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené tri rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 3, taká, kt. pokrýva procesy a požiadavky všetkých stakeholderov/aktérov a celú životnú situáciu rieši komplexne.
--
--
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Alternatíva1-Ponechaniesúčasnéhostavu"/}}Alternatíva 1 - Ponechanie súčasného stavu    ===
--
--Prvou alternatívou je ponechanie existujúceho stavu ochrany informačných systémov. Zachovanie pôvodného stavu nezabezpečí povinnosť ochrany informácií a informačných aktív a je v plnom rozpore s povinnosťami vyplývajúcimi zo zákona č. 69/2018 Z.z.
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Alternatíva2–Čiastočnézvýšenieúrovnekybernetickejainformačnejbezpečnosti"/}}Alternatíva 2 – Čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti    ===
--
--Druhá alternatíva  spočíva v tom, že by nedošlo k zásadným zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a čiastkové oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.
--
--
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Alternatíva3–Aktualizáciabezpečnostnejdokumentácieasystémovézvýšenieúrovnekybernetickejainformačnejbezpečnosti"/}}Alternatíva 3 – Aktualizácia bezpečnostnej dokumentácie a systémové zvýšenie úrovne kybernetickej a informačnej bezpečnosti    ===
--
--Tretia alternatíva predstavuje simultánne nasadenie viacerých softvérových a hardvérových nástrojov na systematické nastavenie kybernetickej a informačnej bezpečnosti SZU v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší z pohľadu biznis, aplikačnej aj technologickej vrstvy. Alternatíva zároveň uvažuje s vytvorením bezpečnostnej dokumentácie na identifikáciu, riadenie a mitigáciu bezpečnostných rizík v súlade s legislatívnymi požiadavkami vyhlášky č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.
--
--
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9       Multikriteriálna analýza   ==
--
--\\
--
--Výber alternatív prebieha na úrovni biznis vrstvy prostredníctvom MCA zostavenej na základe kapitoly Motivácia, ktorá obsahuje ciele stakeholderov/aktérov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov.
--
--Niektoré (nie všetky) kritériá môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej).
--
--
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**~ **
--)))|(((
--**KRITÉRIUM **
--)))|(((
--**ZDÔVODNENIE KRIÉRIA **
--)))|(((
--**STAKEHO**
--
--**LDER **
--
--**SZU **
--)))|(((
--**STAKEHO LDER **
--
--**MKB/OIT **
--)))
--(% class="" %)|(% rowspan="4" %)(((
--BIZNIS
--
--VRSTVA
--
--// //
--)))|(((
--Kritérium A (KO)
--
--Nasadenie firewall do celého prostredia infraštruktúry
--)))|(((
--Nasadenie nového firewallu tak, aby chránil celé          prostredie, nielen jeho vybranú časť.
--)))|(((
--X
--)))|(((
--X
--)))
--(% class="" %)|(((
--Kritérium B (KO)
--
--Zníženie administratívnej náročnosti a zvýšenie efektívnosti detekcie bezpečnostných incidentov
--)))|(((
--Automatizácia výkonu kybernetickej ochrany a hĺbková detekcia.
--)))|(((
--X
--)))|(((
--X
--)))
--(% class="" %)|(((
--Kritérium C
--
--Zabezpečenie      zvýšenia úrovne KB nad HW +
--
--SW časťou infraštruktúry
--)))|(((
-- Zvýšenie úrovne KB je potrebné realizovať holisticky bez   preferencie jednotlivých prostredí.
--)))|(((
--X
--)))|(((
--X
--)))
--(% class="" %)|(((
--Kritérium D
--
--Kontinuálna prevádzka
--
--ISVS s vysokou dostupnosťou
--)))|(((
--Implementácia projektu bez narušenia prevádzky ISVS.
--)))|(((
--X
--)))|(((
--X
--)))
--
--\\
--
--Vyhodnotenie MCA
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Zoznam **
--
--**kritérií **
--)))|(((
--**Alternatíva **
--
--**1 **
--)))|(((
--**Spôsob dosiahnutia **
--)))|(((
--**Alternatíva 2 **
--)))|(((
--**Spôsob dosiahnutia **
--)))|(((
--**Alternatíva 3 **
--)))|(((
--**Spôsob dosiahnutia **
--)))
--(% class="" %)|(((
--Kritérium A
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--áno
--)))|(((
--V rámci alternatívy 2 sa síce implementujú všetky navrhované nástroje, avšak nie sú efektívne rozložené v čase
--)))|(((
--\\
--
--\\
--
--áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie
--
--Firewallu na všetky aktíva.
--)))
--
--\\
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Kritérium B
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej
--
--časti aktív
--)))
--(% class="" %)|(((
--Kritérium C
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW + HW časti aktív
--)))
--(% class="" %)|(((
--Kritérium D
--)))|(((
--nie
--)))|(((
--N/A
--)))|(((
--nie
--)))|(((
--S ohľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno vylúčiť výpadok
--
--ISVS
--)))|(((
--áno
--)))|(((
--Implementácia projektu bez narušenia prevádzky ISVS.
--)))
--
--\\
--
--\\
--
--
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry   ==
--
--Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 3. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
--
--
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry   ==
--
--Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje  minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej  ochrany prostredia s ohľadom na hodnotu chránených aktív// //
--
--
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)   =
--
--\\
--
--Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia  kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií:
--
--\\
--
--**Oblasť organizácia kybernetickej bezpečnosti:  **
--
--* Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT,
--
--Bezpečnostný výbor,  Poverení riadiaci zamestnanci) o       Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup  pre danú kategóriu), (Klasifikačný stupeň Interné)  o     Štatút bezpečnostného výboru, rokovací poriadok
--
--\\
--
--**Oblasť aktíva:**
--
--* Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
--* Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné)
--
--\\
--
--**Oblasť incidenty:**
--
--* Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné)
--* Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, Bezpečnostný výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie  KBI)
--
--**~ **
--
--**Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí**  o  Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné)
--
--* Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.
--* Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, Bezpečnostný výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR)
--* Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora,
--
--Klasifikačný stupeň  Interné) o Smernica pre riadenie zmien (Klasifikačný stupeň Interné)
--
--\\
--
--**Oblasť tretie strany:  **
--
--* Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné)
--* Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných  opatrení, Klasifikačný stupeň Interné),
--* Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie  cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.
--
--\\
--
--**Oblasť riadenie rizík:**
--
--* Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, Bezpečnostný výbor, Poverení riadiaci zamestnanci)
--* Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, Bezpečnostný výbor, Poverení riadiaci zamestnanci)
--* Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).
--
--\\
--
--**~ **
--
--**Špecifické oblasti (riadenie súladu a audit):**
--
--* Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, Bezpečnostný výbor,
--
--Poverení riadiaci  zamestnanci)  o Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných  opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod.,Klasifikačný  stupeň Chránené, okruh oprávnených osôb – MKB, V OIT, zamestnanci OIT, Bezpečnostný výbor, Poverení riadiaci zamestnanci).
--
--\\
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY   =
--
--\\
--
--Technologickú a bezpečnostnú architektúru v oboch miestach realizácie projektu vystihuje nasledujúci dizajn sieťového riešenia pre zvýšenie kybernetickej a informačnej bezpečnosti žiadateľa. Obe lokality budú disponovať firewallmi vo vysoko dostupnom zapojení.
--
--\\
--
--[[image:attach:image-2024-5-31_12-46-57.png||height="250"]]
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1       Prehľad e-Government komponentov   ==
--
--
--
--**5.1.1       Prehľad koncových služieb – budúci stav: **
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.
--
--\\
--
--**5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: **
--
--Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou  licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
--
--\\
--
--**5.1.3        Prehľad budovaných aplikačných služieb – budúci stav: **
--
--Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby, ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku  systémov poskytovateľa základnej služby.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4        Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]] a ISVS iných OVM alebo IS tretích strán   ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných orgánov verejnej moci a tretích strán.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5       Aplikačné služby na integráciu   ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na  spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).
--
--**5.1.6        Poskytovanie údajov z ISVS do IS CSRÚ **
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7        Konzumovanie údajov z IS CSRÚ    ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.
--
--
--
--**5.1.8        Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: **
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneh o cloudu.
--
--\\
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA   =
--
--Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách vyššie, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.  Projekt sa v čase jeho prípravy riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:
--
--(% class="wrapped" %)
--(% class="" %)|(((
--−
--)))|(((
--Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
--)))
--(% class="" %)|(((
--−
--)))|(((
--Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob  kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov;
--)))
--(% class="" %)|(((
--−
--)))|(((
--Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
--)))
--(% class="" %)|(((
--−
--)))|(((
--Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;
--)))
--(% class="" %)|(((
--−
--)))|(((
--Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.
--)))
--(% class="" %)|(((
--−
--)))|(((
--\\
--)))
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY   =
--
--Celkový rozpočet projektu je vyčíslený na sumu 449 630,95 EUR, z čoho podporné aktivity projektu (riadenie projektu, informovanosť a publicita) boli stanovené v maximálnej výške 7 % z celkových priamych výdavkov. S ohľadom na deklarovanú výšku rozpočtu projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.
--
--\\
--
--Nakoľko v zmysle pravidiel Výzvy s kódom PSK-MIRRI-614-2024-DV-EFRR, keďže náš projekt zahŕňa viac ako jednu kategóriu regiónu (VRR – Bratislava a MRR – Banská Bystrica) podľa článku 108 ods. 2 nariadenia o spoločných ustanoveniach v rámci členského štátu, boli celkové oprávnené výdavky spojené s projektom rozdelené na príslušné kategórie regiónu na pomernom základe, a to podľa objektívnych kritérií. Ako objektívne kritérium výzvy bol určený podiel zamestnancov verejnej správy v bratislavskom regióne (NUTS II) k zamestnancom verejnej správy v SR (referenčným obdobím je rok 2021). Celkové oprávnené výdavky projektu tak sú podľa kategórie regiónu rozčlenené nasledovným pomerom:
--
--* za viac rozvinutý región (aktivita realizovaná v Bratislave): 22,86 %,
--* za menej rozvinutý región (aktivita realizovaná v Banskej Bystrici): 77,14 %.
--
--Tabuľka nižšie prezentuje skladbu jednotlivých rozpočtových položiek v predpokladaných cenách s DPH bez ohľadu na kategóriu regiónu podľa miesta realizácie projektu, na základe uskutočnenia cenového prieskumu a dodržania maximálnych limitov z Výzvy na obsadenie manažéra kybernetickej bezpečnosti.
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Názov rozpočtovej položky **
--)))|(((
--**Množstvo v ks **
--)))|(((
--**~           Skupina výdavku           **
--)))|(((
--**Celková cena s DPH v EUR **
--)))
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Firewall zariadenie na zabezpečenie siete
--)))|(((
--4
--)))|(((
--022 - Samostatné hnuteľné veci a súbory hnuteľných vecí
--)))|(((
--13 910,40
--)))
--(% class="" %)|(((
--Server pre zabezpečenie funkčnosti IT infraštruktúry
--)))|(((
--2
--)))|(((
--022 - Samostatné hnuteľné veci a súbory hnuteľných vecí
--)))|(((
--9 051,20
--)))
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Názov rozpočtovej položky **
--)))|(((
--**Množstvo v ks **
--)))|(((
--**~           Skupina výdavku           **
--)))|(((
--**Celková cena s DPH v EUR **
--)))
--(% class="" %)|(((
--SSD disk pre server
--)))|(((
--4
--)))|(((
--022 - Samostatné hnuteľné veci a súbory hnuteľných vecí
--)))|(((
--2 872,00
--)))
--(% class="" %)|(((
--Softwarové riešenie pre monitoring
--)))|(((
--1
--)))|(((
--013 - Softvér
--)))|(((
--126 400,00
--)))
--(% class="" %)|(((
--EPP + EDR
--)))|(((
--600
--)))|(((
--013 - Softvér
--)))|(((
--52 632,00
--)))
--(% class="" %)|(((
--Vytvorenie bezpečnostnej dokumentácie
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--106 000,00
--)))
--(% class="" %)|(((
--Audit KB podľa § 29 zákona č. 69/2018 Z. z.
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--12 824,00
--)))
--(% class="" %)|(((
--Penetračné testovanie
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--20 520,00
--)))
--(% class="" %)|(((
--Implementácia a licencie pre firewall
--)))|(((
--4
--)))|(((
--014 - Oceniteľné práva
--)))|(((
--26 863,84
--)))
--(% class="" %)|(((
--
--
--Inštalácia EPP + EDR technológie
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--10 140,00
--)))
--(% class="" %)|(((
--Zaškolenie na firewall technológiu
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--4 000,00
--)))
--(% class="" %)|(((
--Zaškolenie na EPP + EDR technológiu
--)))|(((
--1
--)))|(((
--518 - Ostatné služby
--)))|(((
--3 620,00
--)))
--(% class="" %)|(((
--Manažér kybernetickej bezpečnosti
--)))|(((
--1
--)))|(((
--
--
--521 - Mzdové výdavky
--
--\\
--)))|(((
--31 382,40
--)))
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1       Sumarizácia nákladov a prínosov   ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Náklady **
--)))|(((
--**Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti **
--)))
--(% class="" %)|(((
--**Všeobecný materiál **
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**IT - CAPEX **
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Aplikácie/Služby
--)))|(((
--//183 787,84 //
--)))
--(% class="" %)|(((
--SW
--)))|(((
--//179 032,00 //
--)))
--(% class="" %)|(((
--HW
--)))|(((
--//  25 833,60 //
--)))
--(% class="" %)|(((
--**IT - OPEX- prevádzka **
--)))|(((
--**~ **
--)))
--(% class="" %)|(((
--Aplikácie
--)))|(((
--// //
--)))
--(% class="" %)|(((
--SW
--)))|(((
--//  31 382,40 //
--)))
--(% class="" %)|(((
--HW
--)))|(((
--// //
--)))
--(% class="" %)|(((
--**Prínosy **
--)))|(((
--**~ **
--)))
--(% class="" %)|(((
--**Finančné prínosy **
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Administratívne poplatky
--)))|(((
--// //
--)))
--(% class="" %)|(((
--Ostatné daňové a nedaňové príjmy
--)))|(((
--// //
--)))
--(% class="" %)|(((
--**Ekonomické prínosy **
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Občania (€)
--)))|(((
--// //
--)))
--(% class="" %)|(((
--Úradníci (€)
--)))|(((
--// //
--)))
--(% class="" %)|(((
--Úradníci (FTE)
--)))|(((
--// //
--)))
--(% class="" %)|(((
--**Kvalitatívne prínosy**
--)))|(((
--// //
--)))
--(% class="" %)|(((
--\\
--)))|(((
--// //
--)))
--
--// //
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA   =
--
--\\
--
--Časový harmonogram projektu je nastavený na 12 mesiacov s termínom ukončenia realizácie aktivít do 31.10.2025. Začiatok projektu je naplánovaný od 11/2024. Následne bude v rámci prevádzky IS prebiehať jeho samotná podpora. Podporné aktivity v podobe riadenia projektu a informačných a publicitných záležitostí budú zabezpečované počas celého obdobia realizácie projektu. Spustenie procesu verejného obstarávania je plánované na 09/2024. Žiadateľ už počas prípravnej fázy projektu za účelom stanovenia predpokladanej hodnoty zákazky dôsledným spôsobom špecifikoval technické parametre jednotlivých obstaraní.
--
--\\
--
--Projekt bude v súlade s Vyhláškou Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401 /2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy realizovaný metódou Waterfall - vodopádový prístup, ktorý počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu  pri vývoji alebo realizácii projektu. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie, keďže projekt má jednoznačný cieľ a jasne definovaný postup a rozdelenie prác. Realizácia projektu, vrátane implementácie a preberanie výstupov, bude dodávaná prostredníctvom jedného inkrementu v súlade s vyššie definovanou vyhláškou.
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**ID **
--)))|(((
--**FÁZA/AKTIVITA **
--)))|(((
--**ZAČIATOK **
--
--(odhad termínu)
--)))|(((
--**KONIEC **
--
--(odhad termínu)
--)))|(((
--**POZNÁMKA **
--)))
--(% class="" %)|(((
--~1.
--)))|(((
--Prípravná fáza a Iniciačná fáza
--)))|(((
--05/2024
--)))|(((
--12/2024
--)))|(((
--11/2024 – spustenie procesu VO
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Realizačná fáza
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2a
--)))|(((
--Analýza a Dizajn
--)))|(((
--01/2024
--)))|(((
--03/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2b
--)))|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--01/2024
--)))|(((
--12/2025
--)))|(((
--Potrebné obstarať dodávateľa IS riešenia/ licencie/konzultačné služby
--)))
--(% class="" %)|(((
--2c
--)))|(((
--Implementácia a testovanie
--)))|(((
--04/2025
--)))|(((
--09/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2d
--)))|(((
--Nasadenie a PIP
--)))|(((
--10/2025
--)))|(((
--12/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Dokončovacia fáza
--)))|(((
--04/2025
--)))|(((
--05/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Podpora prevádzky (SLA)
--)))|(((
--01/2026
--)))|(((
--06/2026
--)))|(((
--Potrebné obstarať SLA zmluvu
--)))
--
--
--
--// //
--
--
--
-- [[image:attach:image-2024-5-31_12-47-19.png||thumbnail="true" height="250"]]
--
--
--
--
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM   =
--
--\\
--
--Za účelom realizácie projektu sa zostavuje **Riadiaci výbor (RV),** a to v minimálnom zložení:
--
--* Predseda RV
--* Biznis vlastník
--* Zástupca prevádzky
--* Zástupca dodávateľa (dopĺňa sa až po ukončení VO)
--* Projektový manažér objednávateľa
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-ZostavujesaProjektovýtímobjednávateľa"/}}Zostavuje sa Projektový tím objednávateľa   ==
--
--* projektový manažér
--* kľúčový používateľ,
--* manažér kybernetickej a informačnej bezpečnosti
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**ID **
--)))|(((
--**Meno a **
--
--**Priezvisko **
--)))|(((
--**Pozícia **
--)))|(((
--**Oddelenie **
--)))|(((
--**Rola v projekte **
--)))
--(% class="" %)|(((
--~1.
--)))|(((
--Ing. Igor Naňo
--)))|(((
--Kvestor
--)))|(((
--Kvestor univerzity
--)))|(((
--Predseda RV
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Ing. Milan Jankovič
--)))|(((
--Vedúci OIT
--)))|(((
--Oddelenie informačných technológií
--)))|(((
--Biznis vlastník
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Radoslav Suchár
--)))|(((
--Administrátor
--)))|(((
--Oddelenie informačných technológií
--)))|(((
--Zástupca prevádzky
--)))
--(% class="" %)|(((
--4.
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--Zástupca dodávateľa
--)))
--(% class="" %)|(((
--5.
--)))|(((
--TBD
--)))|(((
--projektový manažér
--)))|(((
--TBD
--)))|(((
--Projektový manažér prijímateľa
--)))
--
--
--
--Riadiaci výbor je riadený predsedom, ktorým je zástupca Objednávateľa. V prípade jeho neprítomnosti na zasadnutí Riadiaceho výboru, musí na toto konkrétne zasadnutie písomne delegovať svoju funkciu v rozsahu svojich práv a povinností formou splnomocnenia na zástupcu, ktorým môže byť aj iný člen Riadiaceho výboru s hlasovacím právom. Na rokovanie Riadiaceho výboru môžu byť v prípade potreby prizvaní aj iní účastníci tak zo strany Objednávateľa alebo za stranu Dodávateľa. Riadiaci výbor zasadá pravidelne, spravidla raz za mesiac, avšak najmenej jedenkrát za tri po sebe nasledujúce kalendárne mesiace. Zasadnutie Riadiaceho výboru zvoláva predseda. Závery zo zasadnutia Riadiaceho výboru a jednotlivé body zo zasadnutia Riadiaceho výboru sa prijímajú súhlasným hlasovaním nadpolovičnej väčšiny prítomných členov Riadiaceho výboru s hlasovacím právom. Hlas predsedu má v prípade rovnosti hlasov hodnotu dvoch hlasov. Hlavné dokumenty spojené s činnosťou Riadiaceho výboru sú program zasadnutia, pracovný materiál a záznam zo zasadnutia Riadiaceho výboru, ktorého prílohou musí byť aj prezenčná listina, prípadne aj písomné splnomocnenia členov Riadiaceho výboru. Program zasadnutia a pracovné materiály Riadiaceho výboru distribuuje projektový manažér na základe podkladov a inštrukcií predsedu alebo toho člena Riadiaceho výboru, ktorý požiadal o zasadnutie Riadiaceho výboru. Projektový manažér zabezpečí ich distribúciu členom Riadiaceho výboru najneskôr 3 pracovné dni pred zasadnutím Riadiaceho výboru. Za vecnú správnosť distribuovaného materiálu zodpovedá člen Riadiaceho výboru, ktorý ho predkladá. Riadiaci výbor zaniká ukončením plnohodnotnej implementácie projektu a jeho uvedením do produktívnej prevádzky. Zoznam členov Riadiaceho výboru je súčasťou dokumentu Komunikačná matica uloženom na zdieľanom projektovom úložisku.
--
--\\
--
--\\
--
--== {{id name="projekt_2658_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1        PRACOVNÉ NÁPLNE    ==
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Projektovýmanažér"/}}Projektový manažér   ===
--
--(% class="wrapped" %)
--(% class="" %)|(((
--−
--)))|(((
--Zodpovedá za riadenie projektu počas celého životného cyklu projektu.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO)  a predkladá vstupy na rokovanie Riadiaceho výboru.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu  s dodávateľom alebo stanovených zástupcom dodávateľa.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu,  sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
--)))
--(% class="" %)|(((
--−
--
--\\
--)))|(((
--Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým  súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní  a je  hlavnou kontaktnou osobou pre zákazníka.
--)))
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Kľúčovýpoužívateľ"/}}Kľúčový používateľ   ===
--
--        −      Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.
--
--− Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT. − Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.
--
--        −      Plní pokyny PM a dohody zo stretnutí projektového tímu.
--
--\\
--
--=== {{id name="projekt_2658_Projektovy_zamer_detailny-Manažérkybernetickejbezpečnosti"/}}Manažér kybernetickej bezpečnosti  ===
--
--(% class="wrapped" %)
--(% class="" %)|(((
--−
--)))|(((
--Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných  bezpečnostných opatrení (technológií, procesov atď.).
--)))
--(% class="" %)|(((
--−
--)))|(((
--Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii  bezpečnostných systémov a opatrení.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
--)))
--(% class="" %)|(((
--−
--)))|(((
--Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.
--)))
--
--1. **ODKAZY**
--
--Žiadne odkazy.
--
--= {{id name="projekt_2658_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY   =
--
--* //Zoznam rizík a závislostí (Excel)//
--* Katalóg požiadaviek (Excel)
--
--\\
--
--[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013  e-Governmente
++I-02_PROJEKTOVY_ZAMER_Projekt_SZU_300524_v1.1.pdf

image-2024-5-31_12-46-57.png

Autor

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.peter_simko

Veľkosť

...	...	@@ -1,0 +1,1 @@
	1	+89.2 KB

Obsah

image-2024-5-31_12-47-19.png

Autor

...	...	@@ -1,0 +1,1 @@
	1	+XWiki.peter_simko

Veľkosť

...	...	@@ -1,0 +1,1 @@
	1	+121.0 KB

Obsah

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155322637
++155322627

Zmeny dokumentu projekt_2658_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?