PRÍSTUP K PROJEKTU

Vzor pre manažérsky výstup I-03 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1. História dokumentu

2. Účel dokumentu

V súlade s Vyhláškou 401/2023 Z. z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia. Dokument Prístup k projektu obsahuje opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy.

2.1      Použité skratky a pojmy

2.2      Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:  FRxx 

• U          – užívateľská požiadavka 
• R          – označenie požiadavky 
• xx          – číslo požiadavky 

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx 

• N           – nefukčná požiadavka (NFR) 
• R          – označenie požiadavky 
• xx          – číslo požiadavky 

Ostatné typy požiadaviek môžu byť ďalej definované PM.

3. Popis navrhovaného riešenia

Popis navrhovaného riešenia je uvedený v Projektovom zámere, kap. Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

4. Architektúra riešenia projektu

4.1 Biznis vrstva

Predmetom projektu je riadenie informačnej a kybernetickej bezpečnosti a realizácia opatrení KaIB definovaných najmä v zákonoch č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o KB") a č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len „Zákon o ITVS“) pre hlavný cieľ, čím je zvýšenie úrovne informačnej a kybernetickej bezpečnosti v PN VZ.

Predmetom projektu sú primárne tie oblasti, v ktorých žiadateľ identifikoval najnižšiu technickú vybavenosť, najvyššiu mieru rizika, a najvyššie dopady, prípadne kde má najvyššiu mieru nesúladu s výsledkom auditu kybernetickej bezpečnosti. Pri výbere a nastavení oprávnených podaktivít žiadateľ vychádzal najmä z požiadaviek určených Zákonom o KB, Zákonom o ITVS v znení zákona č. 301/2023 Z. z. a príslušných vykonávacích právnych predpisov.

Jednotlivé biznis funkcie bezpečnostnej architektúry sú znázornené na nasledovnom obrázku.

Obrázok č. 1: Biznis funkcie Informačnej a kybernetickej bezpečnosti

4.1.1 Prehľad koncových služieb – budúci stav:

Predmetom projektu nie je budovanie koncových služieb.

4.1.2 Jazyková podpora a lokalizácia

Neaplikuje sa.

4.2 Aplikačná vrstva

V kap. 4.1 (obrázok č. 1) sú definované biznis funkcie KaIB s príslušnými činnosťami. Tieto činnosti realizuje PN VZ na základe konzultácií a výsledkov auditu kybernetickej bezpečnosti. Tieto činnosti predstavujú tvorbu bezpečnostnej dokumentácie, aktivity manažéra kybernetickej bezpečnosti a implementáciu softvérových a hardvérových nástrojov na zvýšenie súladu s odporúčanými opatreniami. Aplikačnú architektúru projektu tvoria riešenia pre oblasť informačnej a kybernetickej bezpečnosti, ktoré znázorňuje obrázok č. 2. Bližší popis jednotlivých aplikačných vrstiev uvádzame v podkapitolách nižšie.

Obrázok č. 2: Aplikačná vrstva projektu

A) Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách

Kompletná a aktuálna bezpečnostná dokumentácia je nevyhnutným základom pre efektívne riadenie informačnej a kybernetickej bezpečnosti každej organizácie. Tvorí základnú štruktúru pre ďalší rozvoj v tejto oblasti a implementáciu dodatočných bezpečnostných opatrení a technických bezpečnostných riešení. Práve bezpečnostná dokumentácia je nevyhnutným predpokladom pre prijímanie adekvátnych, efektívnych, vyvážených a optimálnych bezpečnostných opatrení.

Navrhované riešenie

Realizácia projektu umožní spracovanie kompletnej povinnej bezpečnostnej dokumentácie v rozsahu vyhovujúcemu platnej legislatíve a teda bude zahŕňať:

• Organizáciu kybernetickej bezpečnosti a informačnej bezpečnosti
• Riadenie rizík kybernetickej bezpečnosti a informačnej bezpečnosti
• Personálnu bezpečnosť
• Riadenie prístupov
• Riadenie kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami
• Bezpečnosť pri prevádzke informačných systémov a sietí
• Hodnotenie zraniteľností a bezpečnostných aktualizácií
• Ochranu proti škodlivému kódu
• Sieťovú a komunikačnú bezpečnosť
• Akvizíciu, vývoja a údržby informačných sietí a informačných systémov
• Zaznamenávanie udalostí a monitorovania
• Fyzickú bezpečnosť a bezpečnosť prostredia
• Riešenie kybernetických bezpečnostných incidentov
• Kryptografické opatrenia,
• Kontinuitu prevádzky
• Audit, riadenia súladu a kontrolných činností

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola  Motivácia a rozsah projektu.

B) Zavedenie systému riadenia prístupov zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – Active Directory

Pre zabezpečenie jednej z hlavných častí riadenia kybernetickej bezpečnosti v IT prostredí je nevyhnutné riadiť identity užívateľov a riadiť ich prístup k jednotlivým častiam IS, súborom a prístupom k aplikáciám. Túto funkcionalitu zabezpečujú centrálne nasadené systémy riadenia identít a prístupov, ktoré na základe identifikácie a autorizácie užívateľa definujú jeho práva a prístupy do jednotlivých systémov.

Navrhované riešenie

Navrhované riešenie bude obsahovať súbor bezpečnostných procesov a nasadených aplikácií, ktorých úlohou bude administrácia a riadenie prístupov ku informačným systémom organizácie. Riešenie bude založené na implementácii Microsoft Active Directory vo verzii Windows Server 2022 s nasledovanými funkčnými konfiguračnými prvkami:

• Riadenie prístupov osôb k sieti a informačnému systému
• Centrálny nástroj na správu a overovanie identity, nástroj na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontrola prístupových účtov a prístupových oprávnení
• Virtualizácia Microsoft HyperV
• Virtualizácia diskového priestoru MS Storage Spaces Direct
• Virtualizácia a migrácia existujúcich bare metal serverov
• Migrácia existujúcich dát do nového prostredia
• Migrácia existujúcich užívateľov do nového prostredia
• Integrácia v prostredí existujúcej infraštruktúry
• Potrebná dokumentáciu ku infraštruktúre

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola  Motivácia a rozsah projektu.

C) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13)

Segmentácia siete je rozdelenie jednej plochej siete do menších logických segmentov, pričom každý z nich má unikátne poslanie z pohľadu prevádzky a bezpečnosti. Typickými príkladmi sú segmenty pre dátové centrá, web aplikácie, databázy, WiFi siete, tlačiarne, monitoring, špeciálnu (napríklad lekársku) techniku, používateľské, privilegované segmenty, atď. K tvorbe segmentov pristupujeme podľa určitých zásad. Dôležitejšie je venovať úsilie vstupnej analýze potrieb z pohľadu prevádzky a bezpečnosti, ako neskôr odstraňovať systémové chyby, ktoré bránia efektívnym metódam ochrany aplikácií, používateľov a infraštruktúry.

Ochrana perimetra spočíva vo vybudovaní firewallovej infraštruktúry ako vstupnej komunikačnej brány do organizácie. Tu prebieha filtrácia dátovej prevádzky až na úroveň riadenia bezpečnosti pre jednotlivé aplikácie, prípadne privilegované skupiny používateľov. Cieľom vybudovania sofistikovanej vstupnej brány je eliminácia všetkého balastu, ktorý prichádza z Internetu, vrátane odfiltrovania štandardných útokov na vnútornú infraštruktúru. Dôležitým faktorom je vytvorenie bezvýpadkového systému vysokej dostupnosti, ktorý aj pri zlyhaní jedného komponentu automaticky presúva stráženie perimetra na záložný systém.

Segmentáciu siete pri vytváraní ochrany perimetra nazývame demilitarizované zóny, pričom zvolíme takú štruktúru zón, aby sme na firewalle dokázali vytvárať, jednoduché, funkčné pravidlá, ktorých cieľom je zrozumiteľná orientácia a zároveň veľmi efektívna ochrana.

Neoddeliteľnou súčasťou bezpečnosti perimetra sú rozšírené funkcie ako Intrusion Detection a Prevention Systémy, ktoré vás chránia pred mnohými typmi známych hrozieb na základe signatúr útokov. Zabezpečenie perimetra poskytuje ideálny priestor aj na ochranu pred DDoS útokmi, ktoré preťažujú kľúčové aplikačné a databázové servery, čím spôsobujú extrémne dlhé odozvy, prípadne úplnú nedostupnosť systémov.

Navrhované riešenie

Predmetom navrhovaného technického riešenia je nasadenie manažovateľných prepínačov a segmentácia existujúcej siete v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti. Segmentované siete budú terminované na existujúcich firewalloch, ktoré nemocnica v súčasnosti využíva, pričom switche budú slúžiť na pripojenie infraštruktúry v definovaných segmentoch a poskytovať fyzické porty konfigurateľné pre jednotlivé segmenty LAN.

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola  Motivácia a rozsah projektu.

D) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR

V súčasnej dobe, keď PN VZ nemá nasadený centrálny zálohovací systém, môže v prípade kybernetického útoku zameraného na dáta a prevádzku čeliť výzve spojenej s obnovením prevádzky infraštruktúry a informačných systémov.

Navrhované riešenie

Predmetom navrhovaného technického riešenia je nasadenie samostatného po sieti pripojeného zálohovacieho zariadenia s dostatočnou kapacitou. Toto bude slúžiť ako „backup target“ pre SW riadiaci zálohovanie a slúžiaci rovnako na obnovu záloh (buď na úrovni súborov, alebo na úrovni celých virtuálnych serverov). Riešenie umožňuje aj zabezpečenie funkcionality virtuálneho servera priamo zo zálohovacieho zariadenia pre prípad DR.

Zálohovací SW bude spĺňať nasledovné technické požiadavky:

• Softvér umožňujúci zálohovanie virtuálnych prostredí
• Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska)
• Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022
• Trvalá (perpetuálna) licencia pre minimálne 10 VM/inštancií
• Kompatibilita s dodávaným virtualizačným riešením
• Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko
• Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov
• Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie
• Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov
• Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel
• Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách
• Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií
• Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint
• Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu
• Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania
• Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania
• Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov
• Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď.
• Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií)
• Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie
• Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania
• Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy
• Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská
• Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon
• Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií
• Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu

Podrobnejší popis sa nachádza v Projektovom zámere, kapitola  Motivácia a rozsah projektu.

E) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM

Stále častejšie globálne sa vyskytujúce bezpečnostné incidenty si môžu vyžadovať dohľadávanie logov aj vo vzdialenejšej minulosti a stále častejšie sú aj požiadavky na ich prípadné poskytovanie ďalším orgánom (PZ SR, SIS, CSIRT,...) pre ďalšiu forenznú analýzu. Naplnenie týchto požiadaviek však súčasné riešenie v prostredí PN VZ neumožňuje (resp. umožňuje len pomocou komplikovaných manuálnych postupov), prípadne je možné len s obmedzením, nakoľko si vyžaduje určité znalosti aj prístupy k samotným logom. Samotné vyhľadávanie je komplikované riešené priamo prostriedkami operačného systému, pričom logy nie sú po pridelení týchto prístupov chránené proti manipulácii.

Navrhované riešenie

Vzhľadom na uvedené skutočnosti navrhujeme implementovať centrálny manažment logov, tak aby spĺňal legislatívne požiadavky, požiadavky na dostupnosť, výkonnosť a aby poskytoval dostatočnú úložnú kapacitu pre zbierané logy. Tento centrálny manažment logov musí spĺňať nasledujúce požiadavky:

• Vysokú dostupnosť a odolnosť voči výpadku jedného komponentu
• Vzhľadom na použité platformy a technológie musí byt schopný prijímať udalosti prostredníctvom agenta, ale aj bez agenta
• Musí byt schopný prijímať a spracovávať logy uložené aj do textových súborov a DB tabuliek
• Musí byt schopný logy z rôznych zdrojov prekladať do jednotnej formy a obohacovať ich prípadne o ďalšie informácie, pričom musí byť zaručená nemennosť prijímaných logov
• Musí poskytovať rozhranie pre užívateľov s rôznymi úrovňami prístupu
• Poskytované rozhranie musí umožňovať rýchle vyhľadávanie v logoch a zároveň poskytovať nástroj na podrobné vyhľadávanie a forenzné analýzy.

Riešenie umožní zhromažďovanie, analyzovanie, ukladanie a vytváranie správ o udalostiach v infraštruktúre spoločnosti a takýmto spôsobom umožní žiadateľa chrániť pred hrozbami, útokmi a narušeniami bezpečnosti. Pomocou účinných nástrojov umožní toto riešenie konvertovanie nespracovaných udalostí (LOGov) zo sieťových zariadení, firewallov, serverov, operačných systémov, aplikácií, koncových bodov a ďalších zariadení na použiteľné údaje s možnosťou vyhľadávania. Log manager pomáha splniť požiadavky na monitorovanie súladu s nastavenými pravidlami kybernetickej bezpečnosti a  následná integrácia so SIEM-om, ktorý zabezpečí spracovanie, vyhodnocovanie, korelácie a prediktívne analýzy pre vyššiu úroveň ochrany pred hrozbami.

SIEM a LM ako systém musí poskytovať bezpečnostnému tímu minimálne nasledovné funkcie ako reakciu na incidenty:

• Reporting a forenznú analýzu bezpečnostných incidentov
• Upozornenia založené na analýze určitého súboru pravidiel identifikujúcich možný incident
• Možnosť exportu logov, možnosť kompresie logov, možnosť automatického zálohovania logov na externé úložisko
• Vykonávanie konsolidácie logov pre efektívne a spoľahlivé fungovanie SIEM
• Dostupnosť agentov pre zber LOGov z operačných systémov a hypervízorov
• REST API pre integráciu na SOC

Základné technické vlastnosti systému:

• Systém na zabezpečenie zhromažďovania, analýzu, archiváciu a spracovanie veľkého objemu sieťových a bezpečnostných LOGov.
• Analýza sieťových, bezpečnostných zariadení, serverov, operačných systémov, aplikácií, koncových staníc
• Prehľad o vývoji bezpečnostných hrozieb
• Reporting bezpečnostných udalostí

Dodatočné vlastnosti systému:

• Spracovanie veľkého objemu dát
  • Zber dát zo sieťových zariadení, bezpečnostných zariadení, Firewalov, VPN, IDS/IPS, Antivirus systémov, serverov, databáz, mailov a webových aplikácií
  • Analýza a korelácia rôznych logov za účelom posúdenia rizika, potenciálnych útokov, neautorizovaných prístupov, vnútorných narušiteľov
  • Poskytovanie takmer real-time a historiských dát pre potreby reportingu
• Reporty
  • Vstavané mechanizmy a pravidlá na korelácie a reporty
  • Automatické reporty a vynucovanie politík
  • Podpora štandardov reportov podľa PCI DSS, HIPAA, GLBA, NERC, FERC, SOX a iné
• Škálovateľnosť
  • Architektúra umožňujúca nasadenie od all-in-one HW až po enterprise riešenia zahŕňajúce mnoho zariadení pre zber dát, ich vyhodnocovanie a manažment
  • Podpora až 16 TB priestoru pre ukladanie archívnych LOGov pre jednu inštanciu
  • Podpora log file integrity checks vrátane NIST Log management Standards SHA (1-256) hashing
  • Podpora indexácie udalostí pre urýchlenie vyhľadávania
• Podpora Cloud prostredia
  • Zber a manažment LOGov v cloudovej infraštruktúre pre aplikácie, ktoré bežia aj v cloude, aj on -premise.

Základné požiadavky na LM, SIEM riešenie:

• Retencia údajov:
  • ONLINE - 6 mesiacov
  • OFFLINE/ARCHIVE – 12 mesiacov
• Kapacita systému:
  • Počet zdrojov logov: 150
  • Počet logov: 250 EPS
• Objem logov na disku:
  • 1,1 TB ONLINE (6m)
  • 2,2 TB OFFLINE (12m)
• HW parametre LM+SIEM – systém bude využívať prostriedky clustera pre AD
  • Management:
    • CPU CORE: 4
    • RAM: 16 GB
    • HDD: 100 GB
  • Konektor Server:
    • CPU CORE: 8
    • RAM: 16 GB
    • HDD: 256 GB
  • CORE LM+SIEM:
    • CPU CORE: 16
    • RAM: 32 GB
    • HDD: 1 TB

F) Zavedenie monitoringu sieťovej prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Sieťová sonda

Nástroj na centrálny monitoring siete je nástroj, ktorý poskytne centralizovaný pohľad na celú sieť s viditeľnosťou všetkých sieťových zariadení bez nutnosti integrácie viacerých aplikácií. Pomocou odhaľovania anomálnej sieťovej komunikácie pomáha zvyšovať bezpečnosť celého systému v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti.

Navrhované riešenie

Monitorovacia sonda umiestnená na perimetry, sledujúca kompletnú sieťovú komunikáciu

• SW nástroj na sieťový bezpečnostný monitoring
• Podpora na 3 roky

1 ks Sonda s minimálnymi parametrami

• Pasívne zapojenie bez vplyvu na monitorovanie sieť ( SPAN / mirror portami) v 1 dátovom centre
• Jednoduchá inštalácia do existujúcej sieťovej infraštruktúry - racková montáž 1U
• Manažment rozhranie: min. 1 x (administratívne) porty 10/100 / 1000Mb / s pre zabezpečenú vzdialenú správu a prenos NetFlow dát dohľad a konfigurácia - SSH, HTTPS
• Správa užívateľov a prístupových práv na zariadení prostredníctvom užívateľských rolí
• Nastaviteľná rýchlosť monitorovacej linky pre zariadenie 1x1Gb / s  na metalickom fyzickom rozhraní
• Časová synchronizácia zariadenia proti centrálnemu zdroju času na sieti.
• Výkon: Min 1.40 Mpps na monitorovací port
• Podpora protokolov pre výmenu dát: NetFlow dáta vo formátoch verzii 5 a 9, IPFIX.
• Integrácia do dohľadového systému pre kontrolu dostupnosti a vyťaženia zdrojov pomocou SNMP
• Vzorkovanie: Na úrovni paketov a na úrovni tokov
• Vstavaný NetFlow kolektor na spracovanie netflow dát zo sondy s detekciou anomálii v sieti.
• Prevedenie: HW

4.2.1 Rozsah informačných systémov – AS IS

Existujúce informačné systémy, ktoré sú využívané v prostredí PN VZ budú v stave AS IS premigrované do virtuálneho prostredia TO BE bez zmeny funkcionality. Prehľad IS uvádza tabuľka č. 1 nižšie.

4.2.2 Rozsah informačných systémov – TO BE

 Predmetom projektu nie je implementácia nových informačných systémov. Existujúce informačné systémy, ktoré sú využívané v prostredí PN VZ budú v stave AS IS premigrované do virtuálneho prostredia TO BE bez zmeny funkcionality.

4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS

Predmetom projektu nie je využívanie nadrezortných a spoločných ISVS.

4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013  e-Governmente – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE

Predmetom projektu nie je realizácia aplikačných služieb

4.2.7 Aplikačné služby na integráciu – TO BE

Predmetom projektu nie je realizácia integrácií.

4.2.8 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE

Predmetom projektu nie je poskytovanie údajov do IS CSRÚ.

4.2.9 Konzumovanie údajov z IS CSRU – TO BE

Predmetom projektu nie je konzumovanie údajov z IS CSRÚ.

4.3 Dátová vrstva

4.3.1 Údaje v správe organizácie

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.

4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE

Predmetom projektu nie je spracovanie, resp. práca s údajmi ako objektmi evidencie.    

4.3.3 Referenčné údaje

Projekt nepracuje s referenčnými údajmi

4.3.4 Kvalita a čistenie údajov

Predmetom projektu nie je riešenie kvality a čistenia údajov.

4.3.5 Otvorené údaje

Predmetom projektu nie je riešenie otvorených údajov.

4.3.6 Analytické údaje

Predmetom projektu nie je riešenie analytických údajov.

4.3.7 Moje údaje

Predmetom projektu nie je riešenie témy „Moje údaje“.

4.3.8 Prehľad jednotlivých kategórií údajov

Predmetom projektu nie sú „objekty evidencie“.

4.4 Technologická vrstva

4.4.1 Prehľad technologického stavu - AS IS

Infraštruktúrne prostredie PN VZ je v súčasnosti tvorené nasledovnými vrstvami:

• LAN sieť
  • Štrukturovaná kabeláž v rámci objektov v areáli PN VZ
  • Optické prepoje medzi objektami
  • Aktívne prvky LAN siete v jednotlivých objektoch nemocnice
• Perimeter a pripojenie do Internetu
  • Pripojenie do internetu je realizované optickou linkou (Telekom) a Firewallom v správe externej spoločnosti
  • Sieť je iba parciálne segmentovaná
• Servre
  • 3 existujúce fyzické servre s inštalovanými OS MS Windows server 2008-2012 odhadovaným vekom viac ako 10 rokov, nedostatočné parametre pre nasadenie MS AD
  • Nemocničný informačný systém
  • Nie je implemetované MS Active directory, neexistuje riadenie prístupov ku zdrojom
  • Neexistujúce zálohovanie
• Užívatelia
  • Cca 110 užívateľov pripojených v pracovnej skupine do siete, využívajúcich zdroje serverov
  • Bez riadenia identity
  • Ochrana koncových staníc – AVG antivirus
  • Prístup na WiFi prostredníctvom Guest Siete (časovo obmedzené prístupy)

4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE

4.4.3 Návrh riešenia technologickej architektúry

Nová infraštruktúra by mala spĺňať nároky vyplývajúce so zákona o kybernetickej bezpečnosti a umožňovať prevádzkovať existujúce systémy. Návrhom je :

• Zavedenie systému riadenia prístupov a identít v sieti na platforme Microsoft Active directory
• Zavedenie zálohovania a DR
• Segmentácia siete
• Zavedenie systému LOG managementu a SIEM
• Zavedenie NDR /Network detection/

Schematický nákres riešenia technologickej architektúry znázorňuje obrázok č. 3 nižšie.

Obrázok č. 3: Náhľad technologickej architektúry

Vyššie definované riešenia budú nevyhnutne potrebovať pre svoju správnu funkcionalitu realizáciu nasledovných technologických riešení:

1) Montáž a dodávka serverov v rozsahu:

• Implementácia 3 ks nových fyzických serverov s nasledovnou technickou špecifikáciou:
  
  • Prevedenie rack 1U
  • Min 1 x CPU Intel Xeon-Gold 6426Y 16C
  • Min 128GB RAM Dual rank x8 DDR5- 4800
  • Min 6 x 960GB SSD
  • 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45
  • Redundandné napájanie
  • 3 ročná podpora od výrobcu
  • Komplet kabeláž na pripojenie k sieti

2) Implementácia Virtualizácie na platforme MS HyperV v rozsahu:

• 3 ks Licencia Microsoft Windows Server 2022 DC Edition
• 110 ks Licencia Microsoft Windows Server 2022 user CAL

3) Implementácia MS AD

4) Zvirtualizovanie a migrácia existujúcich serverov

5) Migrácia existujúcich klientov

6) Zálohovanie v rozsahu:

• Implementácia HW zariadenia na zálohovanie
  • Prevedenie rack 2U
  • CPU min. 3,4Ghz, 4C
  • RAM min. 8GB
  • Pozície na HDD 12x SATA, 2 x USB 3.2
  • Redundandný zdroj napájania
  • Min . 8x 2TB HDD
  • 3 ročná podpora od výrobcu
  • Nastavenie backup politík
• Implementácia na SW na zálohovanie
  • Softvér umožňujúci zálohovanie virtuálnych prostredí
  • Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska)
  • Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022
  • Trvalá (perpetuálna) licencia pre minimálne 10 VM/inštancií
  • Kompatibilita s dodávaným virtualizačným riešením
  • Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko
  • Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov
  • Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie
  • Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov
  • Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel.
  • Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách.
  • Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií.
  • Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint.
  • Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu.
  • Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania.
  • Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania.
  • Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov.
  • Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď.
  • Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií).
  • Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie.
  • Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania.
  • Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy.
  • Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská.
  • Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon.
  • Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií.
  • Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu.
• Server pre zálohovací SW bude implementovaný ako virtuálny server v infraštruktúre objednávateľa

7) Segmentácia siete v rozsahu:

• Segmentácia LAN siete a pridanie nových prepínačov pre pripojenie serverov
• 2 ks manažovateľný prepínač 24 portov 1GbE, 8 portov 10 GbE SFP+ v modulárnej šachte
  • Switching capacity min. 208 Gbps
  • Forwarding rate min. 154 Mpps
  • MAC addresses min. 32000
  • Active VLANs – min 4094
  • Jumbo eth. Frame – 9.198 bytes
  • DRAM – 8 GB
  • Flash memory – 16 GB
  • Konzolový port RJ45
  • Stackovací modul
  • Kapacita stacku – 480 Gbps
  • 2x redundantný zdroj

8) Log Management a SIEM v rozsahu:

• Implementácia LM a SIEM do nového prostredia
• Konfigurácia v rámci virtuálneho prostredia
• Analýza a nastavenie zdrojov LOGov
• Retencia údajov:
  • ONLINE - 6 mesiacov
  • OFFLINE/ARCHIVE – 12 mesiacov
• Kapacita systému:
  • Počet zdrojov logov: 150
  • Počet logov: 250 EPS
• Objem logov na disku:
  • 1,1 TB ONLINE (6m)
  • 2,2 TB OFFLINE (12m)
• HW parametre LM+SIEM – systém bude využívať prostriedky clustera pre AD
  • Management:
    • CPU CORE: 4
    • RAM: 16 GB
    • HDD: 100 GB
  • Konektor Server:
    • CPU CORE: 8
    • RAM: 16 GB
    • HDD: 256 GB
  • CORE LM+SIEM:
    • CPU CORE: 16
    • RAM: 32 GB
    • HDD: 1 TB

9) Monitoring sieťovej prevádzky (NDR) v rozsahu:

• Implementácia sondy na perimeter siete
• Nastavenie úrovní detekcie, monitoringu a LOGovania udalostí
  • 1 ks Sonda s minimálnymi parametrami
  • Pasívne zapojenie bez vplyvu na monitorovanie sieť ( SPAN / mirror portami) v 1 dátovom centre
  • Jednoduchá inštalácia do existujúcej sieťovej infraštruktúry - racková montáž 1U
  • Manažment rozhranie: min. 1 x (administratívne) porty 10/100 / 1000Mb / s pre zabezpečenú vzdialenú správu a prenos NetFlow dát dohľad a konfigurácia - SSH, HTTPS
  • Správa užívateľov a prístupových práv na zariadení prostredníctvom užívateľských rolí
  • Nastaviteľná rýchlosť monitorovacej linky pre zariadenie 1x1Gb / s  na metalickom fyzickom rozhraní
  • Časová synchronizácia zariadenia proti centrálnemu zdroju času na sieti.
  • Výkon: Min 1.40 Mpps na monitorovací port
  • Podpora protokolov pre výmenu dát: NetFlow dáta vo formátoch verzii 5 a 9, IPFIX.
  • Integrácia do dohľadového systému pre kontrolu dostupnosti a vyťaženia zdrojov pomocou SNMP
  • Vzorkovanie: Na úrovni paketov a na úrovni tokov
  • Vstavaný NetFlow kolektor na spracovanie netflow dát zo sondy s detekciou anomálii v sieti.
  • Prevedenie: HW

4.5 Bezpečnostná architektúra

Predmetom projektu je implementácia opatrení pre oblasť informačnej a kybernetickej bezpečnosti, architektúra je uvedená v kap. 4 Architektúra projektu. Navrhovaný projekt a jeho architektúra bude budovaná v súlade s nasledujúcimi právnymi predpismi:

• Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti
• Zákon č. 45/2011 Z. z. o kritickej infraštruktúre
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 z. z. o štandardoch pre informačné technológie verejnej správy
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy
• Vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov
• Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27.apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)
• Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov

5. Závislosti na ostatné ISVS / projekty

Projekt nie je závislý na iných ISVS, resp. projektoch.

6. Zdrojové kódy

Vlastníkom zdrojových kódov v prípade vývoja SW diela bude PN VZ v súlade s platnou legislatívou. Dôležité usmernenia pre oblasť zdrojových kódov sú:

• Centrálny repozitár zdrojových kódov - § 31 Vyhlášky 78/2020 Z. z.: https://www.slov-lex.sk/pravne-predpisy/SK/ZZ/2020/78/20240401
• Overenie zdrojového kódu s cieľom jeho prepoužitia a spôsoby zverejňovania zdrojového kódu: https://mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/
• Inštrukcie k EUPL licenciám: https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf

7. Prevádzka a údržba

7.1 Prevádzkové požiadavky

7.1.1 Úrovne podpory používateľov

Podpora používateľov bude realizovaná cez 2 úrovne podpory, s nasledujúcim označením:

• L1 podpory IS (Level 1, priamy kontakt zákazníka) bude zabezpečovať prevádzka PN VZ
• L2 podpory IS (Level 2, postúpenie požiadaviek od L1) bude zabezpečovaná dodávateľom

Definícia:

• Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.
• Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát predaných riešiteľom 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť.
• Dostupnosť L2 podpory pre IS je 8x5 (8 hodín x 5 dní od 8:00h do 16:00h počas pracovných dní)

7.1.2 Riešenie incidentov – SLA parametre

Označenie naliehavosti incidentu:

 možný dopad:

  Výpočet priority incidentu je kombináciou dopadu a naliehavosti v súlade s best practices ITIL V3 uvedený v nasledovnej matici:

 Vyžadované reakčné doby:

Vysvetlivky k tabuľke

(1) Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L2 a jeho prevzatím na riešenie.

(2) DKVI znamená obnovenie štandardnej prevádzky - čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Doba konečného vyriešenia incidentu od nahlásenia incidentu verejným obstarávateľom (DKVI) sa počíta počas celého dňa. Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

(3) Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

(4) Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia majú prioritu 3 a nižšiu. Vzťahujú sa výhradne k dostupnosti testovacieho prostredia. Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite.

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

• Služby systémovej podpory na požiadanie (nad paušál)
• Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

Pre tieto služby budú dohodnuté osobitné parametre dodávky.

7.2 Požadovaná dostupnosť IS:

7.2.1 Dostupnosť (Availability)

Dostupnosť (Availability) je pojem z oblasti riadenia bezpečnosti v organizácii. Dostupnosť znamená, že dáta sú prístupné v okamihu jej potreby. Narušenie dostupnosti sa označuje ako nežiaduce zničenie (destruction) alebo nedostupnosť. Dostupnosť je zvyčajne vyjadrená ako percento času v danom období, obvykle za rok. Očakávaná 98,5 % dostupnosť znamená maximálny výpadok 66 hodín za rok.

7.2.2 RTO (Recovery Time Objective)

Recovery Time Objective (zvyčajne sa požíva skratka RTO) je jeden z ukazovateľov dostupnosti dát. RTO vyjadruje množstvo času potrebné pre obnovenie dát a celej prevádzky nedostupného systému (softvér). Môže byť, v závislosti na použitej technológii, vyjadrené v sekundách, hodinách či dňoch.

• Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

7.2.3 RPO (Recovery Point Objective)

Recovery Point Objective (zvyčajne sa požíva skratka RPO) je jeden z ukazovateľov dostupnosti dát. RPO vyjadruje, do akého stavu (bodu) v minulosti možno obnoviť dáta. Inými slovami množstvo dát, o ktoré môže organizácia prísť.

• Tradičné zálohovanie - výpadok a obnova trvá cca hodiny až dni

8. Požiadavky na personál

8.1 Personál potrebný na projektové riadenie

Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení:

• Predseda Riadiaceho výboru
• Projektový manažér
• Vlastník procesov
• Zástupca prevádzky (kľúčový používateľ)
• Zástupca dodávateľa

Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený:

• Manažér kybernetickej a informačnej bezpečnosti
• Kľúčový používateľ

Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného.

Riadiaci výbor bude schvaľovať najmä nasledovné:

• Hlavné plány projektu
• Autorizovať prípadne odchýlky od dohodnutých plánov
• Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram)
• Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom)
• Schvaľuje rolu Projektového manažéra
• Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“
• Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií)
• Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“...
• Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo
• Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...).

Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom.

Podrobnejšie informácie o projektovom tíme sa nachádzajú v Projektovom zámere, v kapitole 9. PROJEKTOVÝ TÍM.

8.2 Personál potrebný na zabezpečenie TO BE procesu

Realizáciou projektu nepredpokladáme potrebu navýšenia súčasného stavu personálu zabezpečujúceho chod IS nemocnice. Chod implementovaných riešení bude zabezpečovaný súčasným personálom a v prípade nutnosti odborných zásahov bude prevádzka zabezpečená dodávateľom v zmysle platnej SLA, viď informácie uvedené v kapitole 7. PREVÁDZKA A ÚDRŽBA.

9. Implementácia a preberanie výstupov projektu

Projekt bude realizovaný metódou Waterfall. Tento prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projektu. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktoré majú jasný cieľ a jasne definovateľný postup a rozdelenie prác. Výstupy projektu akceptuje riadiaci výbor projektu bližšie informácie sú uvedené v Projektovom zámere, časť 9 – Projektový tím).

10. Prílohy

Príloha č. 1 Zoznam rizík a závislostí

Príloha č. 2 Katalóg požiadaviek