PROJEKTOVÝ ZÁMER  

Vzor pre manažérsky výstup  I-02   podľa vyhlášky MIRRI č. 401/2023 Z. z.    

Schvaľovanie dokumentu

1. HISTÓRIA DOKUMENTU

2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1 Použité skratky a pojmy

2.2 Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:  FRxx 

• U          – užívateľská požiadavka 
• R          – označenie požiadavky 
• xx          – číslo požiadavky 

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu: NRxx 

• N           – nefukčná požiadavka (NFR) 
• R          – označenie požiadavky 
• xx          – číslo požiadavky 

Ostatné typy požiadaviek môžu byť ďalej definované PM.

3. DEFINOVANIE PROJEKTU

3.1 Manažérske zhrnutie

Psychiatrická nemocnica Veľké Zálužie (ďalej „PN VZ“) so sídlom Rínok 334/48, 951 35 Veľké Zálužie, IČO: 00607274, vznikla 1.10.1957. Rozhodnutím ministerstva zdravotníctva Slovenskej republiky v roku 1995 bola Psychiatrická liečebňa zmenená na príspevkovú organizáciu MZ SR ako Psychiatrická nemocnica Veľké Zálužie. V súčasnosti je druhou najväčšou psychiatrickou nemocnicou na Slovensku, ktorá poskytuje zdravotnú starostlivosť pacientom nielen v spádovom regióne, ale aj pacientom zo všetkých regiónov Slovenska. Nemocnica poskytuje zdravotnú starostlivosť v odbore psychiatria, gerontopsychiatria a medicína alkoholizmu a drogových závislostí. PN VZ je príspevkovou organizáciou, ktorej zakladateľom je ministerstvo zdravotníctva Slovenskej republiky. PN VZ je zapísaná v registri verejnoprospešných organizácií, Inštitucionálny sektor 13110 - ústredná štátna správa, s hlavnou činnosťou – 86100 – Činnosti nemocníc.

PN VZ nie je v zmysle platnej legislatívy zapísaná do registra prevádzkovateľov základnej služby. Napriek uvedenej skutočnosti pre ňu vyplývajú viaceré povinnosti, ktoré chce spĺňať s ohľadm na Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a tiež s ohľadom na Zákon č. 95/2019 o informačných technológiách vo verejnej správe a na ne nadväzujúcich vyhlášok.

Nemocnica si za účelom posúdenia splnenia podmienok legislatívy v oblasti informačnej a kybernetickej bezpečnosti nechala vypracovať audit kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z.. Výsledky auditu identifikovali viacero nedostatkov a zároveň poskytli ucelenú množinu návrhov nápravných opatrení zodpovedajúcich povahe poskytovaných služieb a potrebám Nemocnice.

Z pohľadu prevádzky IKT je potrebné prijať organizačné, technické a bezpečnostné opatrenia k pokrytiu potrieb nepretržitej prevádzky na obdobie nasledujúcich minimálne piatich rokov vyplývajúcich z potrieb prevádzky špecializovaného zdravotného zariadenia ako aj legislatívnych povinností, pod ktoré Nemocnica ako poskytovateľ zdravotnej starostlivosti spadá.

Medzi navrhované technické riešenia projektu patria:

• Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách
• Zavedenie systému riadenia prístupov zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – Active Directory
• Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13)
• Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR
• Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM
• Zavedenie monitoringu sieťovej prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Sieťová sonda

Okrem technických opatrení bude PN VZ vykonávať koncepčne tiež organizačné, vzdelávacie a iné legislatívne opatrenia, ktoré umožnia naďalej rozvíjať a rozširovať úroveň zabezpečenia organizácie z pohľadu kybernetickej a informačnej bezpečnosti v závislosti na zmenách či už legislatívy, technológií, zamestnancov a pod. V nadväznosti na uvedené sa bude žiadateľ snažiť dlhodobo zabezpečovať:

• Manažéra kybernetickej bezpečnosti
• Pravidelnú realizáciu školení informačnej bezpečnosti pre nových zamestnancov
• Pravidelné preškolenie pôvodných zamestnancov
• Pravidelné aktualizácie obstaraného SW
• Platnosť licencií a garancie služieb počas doby udržateľnosti projektu

V globále možno konštatovať, že realizácia projektu predstavuje jeden z najzásadnejších modernizačných krokov prevádzkovanej infraštruktúry IKT, umožní prijať také opatrenia a riešenia, ktoré odstránia resp. eliminujú najvážnejšie hrozby a zároveň umožnia pripraviť základnú platformu pre ďalšie technické a netechnické opatrenia v oblasti kybernetickej bezpečnosti. S ohľadom na uvedené boli pre potreby projektu vytipované práve tie časti, ktoré predstavujú najrizikovejšie oblasti z pohľadu fungovania nemocnice.

Pripravovaný projekt, ktorý by mal byť realizovaný s podporou NFP v rámci Výzvy PSK-MIRRI-615-2024-DV-EFRR zameranej na podporu v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – zdravotnícke zariadenia, ktorá reflektuje na Prioritu 1P1 Veda, výskum a inovácie, Špecifický cieľ RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a Opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť). Realizácia projektu s podporou NFP je základom pre dosiahnutie požadovaného stavu v rozumnom časovom období nakoľko PN VZ nie je schopná vynaložiť dostatok finančných zdrojov v horizonte najbližších rokov z vlastných zdrojov tak, aby pokryla aspoň najzásadnejšie nedostatky v oblasti KaIB. Práve realizácia projektu umožní implementáciu zodpovedajúcich technológií a procesov, na ktorých bude možné následne zabezpečovať efektívne dosiahnutie súladu legislatívy v oblasti informačnej a kybernetickej bezpečnosti a možností Nemocnice.

Indikatívna výška finančných prostriedkov určených na realizáciu projektu je: 314 181,78 € a bola stanovená ako aritmetický priemer cenových ponúk v rámci realizovaného prieskumu trhu.

Časový horizont realizácie projektu je stanovený v závislosti od určených hodnotiacich kôl predmetnej výzvy na MIRRI. Predpokladaný začiatok hlavných aktivít projektu je tak so zohľadnením procesu hodnotenia podaných projektov stanovený na 05/2025 – 08/2026. Časový harmonogram v navrhovanom rozsahu umožní elimináciu akýchkoľvek nepredvídaných komplikácií v rámci implementácie projektu.

3.2 Motivácia a rozsah projektu

Nemocnica prevádzkuje viacero informačných systémov od ktorých závisí chod nielen celej organizácie ale i iných na ňu naviazaných organizácií, resp. častí. Žiadateľ nie je v zmysle Zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov zaradený do zoznamu prevádzkovateľov základných služieb v sektore zdravotníctvo. Na zabezpečenie svojich služieb však využíva elektronické služby nemocnice, ktoré sú interne poskytované pre viac ako 400 lôžok, ochranné liečenia pre Nitriansky, ale i Trnavský, Banskobystrický, či Trenčiansky kraj, 4 psychiatrické lôžkové oddelenia, fyziatricko-rehabilitačnú časť a Úsek psychologickej starostlivosti.

3.2.1 Informácie o oblastiach dotknutých projektom

Na zabezpečenie svojho chodu používa nemocnica niekoľko informačných systémov a z tohto dôvodu je dôležitosť informačnej bezpečnosti a kybernetickej bezpečnosti vysoká. Tieto systémy totiž obsahujú veľké množstvo citlivých údajov a preto by potenciálny kybernetický incident mal dopad na veľké množstvo občanov.

Medzi najdôležitejšie informačné systémy a prevádzkové systémy identifikované bezpečnostnou dokumentáciou patria:              

Nemocnica v súčasnosti nedisponuje manažérom kybernetickej a informačnej bezpečnosti. Pozícia takéhoto manažéra bezpečnosti by mala byť zabezpečovaná v rámci implementácie projektu. Zabezpečenie procesov implementácie technických riešení v oblasti IT má na starosti externý dodávateľ. Niektorí interní zamestnanci popri zabezpečovaní svojich kompetencií dohliadajú tiež na zabezpečenie chráneného priestoru, bezpečné uloženie nosičov dát, šifrovanie, prístup k IS cez heslá, detekciu prítomnosti škodlivého kódu, používanie legálneho softvéru, bezpečné mazanie osobných údajov z dátových nosičov, aktualizácie OS, programového vybavenia a pod.

Nemocnica v súčasnosti nedisponuje bezpečnostnou dokumentáciou, ktorá by zohľadňovala nároky na obsah a rozsah požadovaný zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti.

3.2.2 Problémy a biznis procesy dotknuté realizáciou projektu

Bezpečnosť aktív je jednou z prvoradých úloh žiadateľa a bezpečnostné mechanizmy, ktoré sú alebo budú implementované na ochranu aktív, musia mať takú bezpečnostnú úroveň, aby vyhoveli legislatívnym požiadavkám Slovenskej republiky, čo v súčasnosti nie je naplnené.

V globále možno zhrnúť, že príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov, medzi ktoré možno spomenúť:

• Dlhoročný nekoncepčný prístup k riešeniu problematiky KaIB nemocnice
• Nedostatočná, resp. úplne absentujúca implementácia bezpečnostných nástrojov a technológií zabezpečujúcich ochranu kybernetického priestoru nemocnice
• Nedostatočné povedomie zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov
• Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti

S ohľadom na posúdenie úrovne kybernetickej bezpečnosti zrealizoval žiadateľ audit kybernetickej bezpečnosti prostredníctvom certifikovaného audítora kybernetickej bezpečnosti, ktorý identifikovali viaceré oblasti, ktoré by mala nemocnica vyriešiť za účelom zabezpečenia dostatočnej ochrany svojich systémov a tým pádom tiež svojich klientov. Práve na základe tohto hodnotenia žiadateľ identifikuje ako najzávažnejšie problémy kybernetickej bezpečnosti nasledovné oblasti:

1) Nevyhovujúci stav bezpečnostnej dokumentácie

Kompletná a aktuálna bezpečnostná dokumentácia je nevyhnutným základom pre efektívne riadenie informačnej a kybernetickej bezpečnosti každej organizácie. Tvorí základnú štruktúru pre ďalší rozvoj v tejto oblasti a implementáciu dodatočných bezpečnostných opatrení a technických bezpečnostných riešení. Práve bezpečnostná dokumentácia je nevyhnutným predpokladom pre prijímanie adekvátnych, efektívnych, vyvážených a optimálnych bezpečnostných opatrení. Túto skutočnosť si uvedomuje aj samotná nemocnica a preto sa rozhodla pre jej dopracovanie a začlenenie tejto aktivity do predkladaného projektu.

2) Neexistujúci systém riadenia prístupov do siete

V rámci IKT prostredia nemocnice nie je implementovaný systém riadenia identít a prístupov. To znamená, že v súčasnom stave infraštruktúry nie je možné definovať rozsahy logických aj fyzických prístupových oprávnení zamestnancov nemocnice ku všetkým aktívam PN VZ. Tiež platí, že nie je vykonávaná pravidelná kontrola nad nastavenými rozsahmi prístupových oprávnení na aktivitách.

3) Nedostatočná úroveň segmentácie siete

Problematika segmentácie siete v prostredí nemocnice sa prejavuje nielen v úrovni jej bezpečnosti ale i efektivite prevádzky. Z hľadiska segmentácie ide o jeden segment, v ktorom sa nachádzajú všetky zariadenia. Každé zariadenie vidí všetky zariadenia v sieti. Z pohľadu bezpečnosti ide o veľký problém pretože akýkoľvek negatívny vplyv ktorý do tohto segmentu môže priniesť hociktoré zariadenie má negatívny vplyv na všetky zariadenia v sieti. Taktiež v prípade úspešného útoku na niektoré zariadenie má útočník okamžite prístup ku celej sieti. Chýbajúca segmentácia zároveň znamená že dátovú komunikáciu medzi jednotlivými entitami –ako sú servery, koncové stanice a pod. nie je možné riadiť resp. filtrovať na sieťovej úrovni.

4) Nedostatočná úroveň zálohovania dát

Bezpečnosť dát a informačných systémov je v súčasnosti základným kameňom fungovania každej organizácie, nemocnicu nevynímajúc. Práve nedostatočná úroveň zálohovania dát sa preto v podmienkach PN VZ prejavuje ako závažné riziko, ktoré môže spôsobiť stratu potrebných dát a tým pádom obmedzenie poskytovaných služieb a kontinuitu prevádzky. Pre potreby eliminácie týchto rizík je potrebné navrhnúť efektívny spôsob zálohy systémov a dát nemocnice, tak aby bolo možné v prípade potreby zabezpečiť ich obnovu a opätovné fungovanie nemocnice a jej služieb. Rovnako v rámci systému zálohovania dát je odporúčané implementovať možnosť „disaster recovery“ riešenia na obnovenie prevádzky IS nemocnice v čo najkratšom čase.

5) Absencia bezpečnostného monitoringu v IKT prostredí

Počet kybernetických útokov v spoločnosti každým rokom narastá, a len v priebehu posledných piatich rokov sa ich počet zdvojnásobil. Práve preto sa sledovanie stavu bezpečnosti stáva jedným zo základných predpokladov funkčného bezpečnostného systému. V podmienkach PN VZ absentuje akékoľvek riešenie SIEM nástroja a Log manažmentu, ktoré by zabezpečili dozor voči kybernetickým bezpečnostným incidentom a ako také umožnili flexibilne reagovať na prípadné kybernetické incidenty a umožnilo minimalizovať reakčnú dobu na incident a tiež minimalizovať škody z neho vyplývajúce.

6) Absencia monitoringu sieťovej prevádzky

Monitoring sieťovej prevádzky je jeden z komponentov celého súboru opatrení kybernetickej bezpečnosti. Systém aktívne monitoruje komunikáciu medzi jednotlivými zariadeniami v rámci lokálnej siete, ako aj voči internetu. Táto prevádzka je analyzovaná a v prípade výskytu neštandardnej komunikácie, resp.zachytenia podozrivého správania na sieťovej úrovni, tento systém odhalí prípadnú nekalú aktivitu skôr, ako môže prísť k zneužitiu, alebo napadnutiu systémov. Tento systém je rovnako užitočný, pri analýze sieťovej komunikácie za účelom optimalizácie prevádzky sieťovej infraštruktúry.

3.2.3 Motivácia na dosiahnutie budúceho stavu

Návrh obsahu tohto projektu vychádza z potrieb resp. doporučených opatrení uvedených v audite kybernetickej bezpečnosti PN VZ. Implementácia navrhovaných technických opatrení v rámci projektu umožní v kombinácii s ďalšími aktivitami v oblasti informačnej a kybernetickej bezpečnosti, ktoré bude realizovať žiadateľ z vlastných zdrojov mimo projektu, dosiahnuť potrebnú úroveň informačnej a kybernetickej bezpečnosti vyžadovanú platnou legislatívou.

Cieľom projektu je vytvoriť trvalo udržateľné zabezpečenie produkčnej prevádzky infraštruktúry IKT, informačnej a kybernetickej bezpečnosti nemocnice, ktoré umožní eliminovať vysokú časť nedostatkov identifikovaných vykonaným auditom kybernetickej bezpečnosti a zabezpečiť tak vysoké požiadavky na bezpečnú prevádzku nemocničných systémov. Navrhované technické riešenia nielen umožnia zvýšiť úroveň ochrany informačnej a kybernetickej bezpečnosti a bezpečnosti informačných systémov v podmienkach nemocnice, ale zároveň umožnia vytvoriť základnú platformu pre budovanie ďalších opatrení v budúcnosti, či už z prostriedkov žiadateľa alebo iných zdrojov.

S ohľadom na vyššie uvedené skutočnosti sa PN VZ rozhodla pre implementovanie základných nástrojov v oblasti KaIB v nasledovnom rozsahu:

1) Spracovanie povinnej dokumentácie a návrh procesov minimálne na úrovni požiadaviek zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a zákona č. 95/2019 Z. z. o informačných technológiách

Výstupom pre objednávateľa bude spracovaná povinná dokumentácia v rozsahu požadovanom zákonom pre oblasti:

a) Organizácie kybernetickej bezpečnosti a informačnej bezpečnosti, pozostávajúcej z:

• Vypracovania a implementácie špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti
• Vypracovania/aktualizácie bezpečnostnej stratégie
• Vypracovania štatútu bezpečnostného výboru
• Vypracovania bezpečnostnej politiky

b) Riadenia rizík kybernetickej bezpečnosti a informačnej bezpečnosti, pozostávajúceho z:

• Identifikácie aktív súvisiacich so zariadeniami na spracovanie informácií a centrálneho zaznamenávania inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu
• Vykonania klasifikácie informácií a kategorizácia sietí a informačných systémov
• Implementácie systému pre inventarizáciu aktív
• Vypracovania interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti
• Vykonania riadenia rizík pozostávajúceho z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení

c) Personálnej bezpečnosti, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov
• Vypracovania postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu
• Vypracovania postupov pri zaradení osoby do niektorých z bezpečnostných rolí
• Vypracovania postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu
• Vypracovania postupov pri porušení bezpečnostných politík

d) Riadenia prístupov, pozostávajúceho z:

• Vypracovania postupov a procesov upravujúcich riadenie prístupov organizácie
• Vypracovania zásad riadenia prístupov osôb k sieti a informačnému systému

e) Riadenia kybernetickej bezpečnosti a informačnej bezpečnosti vo vzťahoch s tretími stranami, pozostávajúceho z:

• Vypracovania interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

f) Bezpečnosti pri prevádzke informačných systémov a sietí, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov

g) Hodnotenia zraniteľností a bezpečnostných aktualizácií, pozostávajúceho z:

• Vypracovania interného riadiaceho aktu upravujúceho proces riadenia implementácie bezpečnostných aktualizácií a záplat

h) Ochrany proti škodlivému kódu, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu

i) Sieťovej a komunikačnej bezpečnosti, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu upravujúceho pravidlá sieťovej a komunikačnej bezpečnosti

j) Akvizície, vývoja a údržby informačných sietí a informačných systémov, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu upravujúceho požiadavky na akvizíciu, vývoj a údržbu sietí a informačných systémov, ktoré sa uplatňujú na obstarávané, vyvíjané a udržiavané komponenty s digitálnymi prvkami

k) Zaznamenávania udalostí a monitorovania, pozostávajúceho z:

• Vypracovania dokumentácie spôsobu monitorovania a fungovania Log manažment systému a centrálneho nástroja na bezpečnostné monitorovanie a zadefinovanie spôsobu evidencie prevádzkových záznamov, ich vyhodnocovania, spôsobu hlásenia podozrivej aktivity, zodpovednej osoby a ďalších povinností
• Vypracovania interného riadiaceho aktu, ktorý obsahuje a upravuje povinnosti definované platnou legislatívou pre oblasť zaznamenávanie udalostí a monitorovania.

l) Fyzickej bezpečnosti a bezpečnosti prostredia, pozostávajúceho z:

• Vypracovania interného riadiaceho aktu upravujúceho fyzickú bezpečnosť a bezpečnosť prostredia

m) Riešenia kybernetických bezpečnostných incidentov, pozostávajúceho z:

• Vypracovania interného riadiaceho aktu upravujúceho riešenia kybernetických bezpečnostných incidentov

n) Kryptografických opatrení, pozostávajúcich z:

• Definovania pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov
• Vypracovania interného riadiaceho aktu upravujúceho systém správy kryptografických kľúčov a certifikátov

o) Kontinuity prevádzky, pozostávajúcej z:

• Vypracovania interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie
• Vykonania analýzy dopadov na informačné systémy a siete univerzity
• Vypracovania stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na informačné systémy a siete univerzity, najmä pre oblasť malvéru, ransomvéru, úniku údajov, rozsiahleho DDoS útoku
• Vypracovania postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie

p) Auditu, riadenia súladu a kontrolných činností, pozostávajúceho z:

• Vypracovania interného riadiaceho aktu pre oblasti auditu a kontrolných činností v oblasti informačnej a kybernetickej bezpečnosti

2) Zavedenie systému riadenia prístupov zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§8) – Active Directory

Navrhované riešenie bude obsahovať súbor bezpečnostných procesov a nasadených aplikácií, ktorých úlohou bude administrácia a riadenie prístupov ku informačným systémom organizácie. Funkčné požiadavky na realizované riešenie sú:

• Riadenie prístupov osôb k sieti a informačnému systému
• Centrálny nástroj na správu a overovanie identity, nástroj na riadenie prístupových oprávnení vrátane privilegovaných prístupových práv a kontrola prístupových účtov a prístupových oprávnení
• Virtualizácia Microsoft HyperV
• Virtualizácia diskového priestoru MS Storage Spaces Direct

Riešenie bude založené na implementácii Microsoft Active Directory s nasledovnými minimálnymi požiadavkami:

a) Server pre Active directory (3 ks) s minimálnymi technickými špecifikáciami:

• Prevedenie rack 1U
• Min 1 x CPU Intel Xeon-Gold 6426Y 16C
• Min 128GB RAM Dual rank x8 DDR5- 4800
• Min 6 x 960GB SSD
• 2 x Ethernet 10Gb 2- port SFP+ 4 x 1Gb RJ45
• Redundandné napájanie
• 3 ročná podpora od výrobcu
• Komplet kabeláž na pripojenie k sieti

b) Microsoft Windows Server 2022 DC Edition: 3 ks

c) Microsoft Windows Server 2022 user CAL: 110 ks

V rámci technického riešenia bude zabezpečené tiež:

• Zavedenie a implementácia centrálneho nástroja na správu a overovanie identity
• Virtualizácia a migrácia existujúcich bare metal serverov
• Migrácia existujúcich dát do nového prostredia
• Migrácia existujúcich užívateľov do nového prostredia
• Intergrácia v prostredí existujúcej infraštruktúry
• Potrebná dokumentácia ku infraštruktúre

3) Zavedenie segmentácie siete zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13)

Predmetom navrhovaného technického riešenia je nasadenie manažovateľných prepínačov a segmentácia existujúcej siete v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti. Funkčné požiadavky na realizované riešenie sú:

• Segmentácia existujúcej siete
• Pripojenie všetkých prvkov serverovej infraštruktúry do LAN siete

V rámci realizovaného riešenia bude tiež potrebné dodať nasledovný HW:

a) Manažovateľný prepínač 24 portov 1GbE, 8 portov 10 GbE SFP+ v modulárnej šachte (2 ks) s minimálnymi technickými špecifikáciami:

• Switching capacity min. 208 Gbps
• Forwarding rate min. 154 Mpps
• MAC addresses min. 32000
• Active VLANs – min 4094
• Jumbo eth. Frame – 9.198 bytes
• DRAM – 8 GB
• Flash memory – 16 GB
• Konzolový port RJ45
• Stackovací modul
• Kapacita stacku – 480 Gbps
• 2x redundantný zdroj

V rámci technického riešenia bude zabezpečené tiež:

• Dodávku, montáž, konfiguráciu prepínačov
• Integráciu do prostredia a komplexnú konfigurácia prepínačov
• Segmentáciu existujúcej siete v súlade s metodikou kybernetickej bezpečnosti
• Rekonfiguráciu všetkých dotknutých zariadení v prostredí
• Potrebnú dokumentáciu ku infraštruktúre

4) Zavedenie systému pre zabezpečenie kontinuity prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§17b) – Zálohovanie a DR

Predmetom navrhovaného technického riešenia je nasadenie zálohovania na osobitnom zálohovacom zariadení. Minimálne parametre zálohovacieho systému NAS:

• Prevedenie rack
• CPU min. 3,4Ghz, 4C
• RAM min. 8GB
• Pozície na HDD 12x SATA, 2 x USB 3.2
• Redundandný zdroj napájania
• Min . 8x 2TB HDD
• 3 ročná podpora od výrobcu

Server pre zálohovací SW bude implementovaný ako virtuálny server v infraštruktúre objednávateľa. Požiadavky na Zálohovací SW sú:

• Softvér umožňujúci zálohovanie virtuálnych prostredí
• Možnosť nasadenia v distribuovanom režime (oddelenie role riadiaceho servera od zálohovacej proxy a úložiska)
• Požaduje sa nasadenie riadiaceho servera vo virtuálnom serveri s OS MS Windows Server 2022
• Trvalá (perpetuálna) licencia pre minimálne 10 VM/inštancií
• Kompatibilita s dodávaným virtualizačným riešením
• Možnosť zálohovania na lokálne úložisko servera, DAS, SAN (prístup cez FC a iSCSI) alebo NAS (prístup cez NFS a SMB/CIFS) úložisko
• Obnova celého virtuálneho servera na pôvodnom alebo inom hostiteľovi, vrátane funkcie rýchleho vrátenia späť pre obnovenie iba zmenených blokov
• Rýchle obnovenie služby pre užívateľa spustením virtuálnych počítačov, u ktorých došlo k chybe, priamo zo súboru zálohy v bežnom úložisku pre zálohovanie
• Obnovenie jednotlivých súborov VM (napríklad VMX) a virtuálnych diskov
• Vyhľadávanie a obnova všetkých typov objektov služby AD, napríklad používateľov, skupín, počítačových účtov, kontaktov, vrátane obnovenia užívateľských a počítačových hesiel.
• Okamžitý prehľad o zálohách prostredí Microsoft Exchange 2013 až 2019 pre e-discovery a jednoduché obnovenie jednotlivých položiek servera Exchange (e-maily, schôdzky, poznámky, kontakty atď.), online archivovaných poštových schránkach a natrvalo odstránených položkách.
• Jednoduché obnovenie jednotlivých databáz MS SQL servera a vyhľadávanie databáz a súborov s protokolmi transakcií.
• Rýchle zisťovanie podrobností o zálohách prostredia SharePoint a používanie pokročilých možností vyhľadávania a prehliadania pre rýchlu obnovu jednotlivých položiek prostredia SharePoint.
• Obnovenie jednotlivých objektov akejkoľvek virtualizovanej aplikácie, vrátane databáz Oracle a MySQL, spustením virtuálneho počítača priamo zo súboru zálohy v izolovanom prostredí a s prístupom k aplikácii pomocou natívnych nástrojov pre správu.
• Obnovenie chýbajúcich položiek poštových schránok späť do pôvodnej schránky jediným kliknutím z webového rozhrania.
• Obnovenie jednotlivých databáz späť na pôvodnú alebo nový server SQL jediným kliknutím z webového rozhrania.
• Portál pre obnovenie súborov s automatickou detekciou VM a automatickým delegovaním na základe členstva v skupine miestnych správcov.
• Všetky funkcie obnovenia z rozhrania môžu vykonávať sami užívatelia na základe delegovania jednotlivých VM a skupín VM konkrétnym používateľom alebo skupinám, ako sú pracovníci IT, vlastníci aplikácie, členovia oddelenia atď.
• Vytváranie konzistentných záloh VM na úrovni bitovej kópie s pokročilým spracovaním a s ohľadom na aplikáciu (vrátane skrátenia protokolu transakcií).
• Jednoduchšie jednorazové zálohovanie spustených virtuálnych počítačov na účely archivácie.
• Vykonávanie rýchleho prírastkového zálohovania jednotlivých virtuálnych počítačov v rámci existujúcej úlohy zálohovania.
• Umožňuje nastaviť maximálnu prijateľnú úroveň I/O latencie pre produkčné dátové úložiská, aby činnosti zálohovania a replikácie neovplyvňovali dostupnosť úložiska pre produkčné pracovné úlohy.
• Podpora "trvalých prírastkových" záloh, ktoré šetria čas a úložiská.
• Zníženie požiadaviek na úložisko záloh a sieťové prenosy vďaka integrovanej deduplikácii, niekoľkým možnostiam komprimácie pre vyrovnanie obsadenosti úložiska, výkonu a zaťaženia záložného proxy servera, vylúčenie zámen znižuje náročnosť zálohovania a zlepšuje výkon.
• Automatické kopírovanie všetkých alebo len vybraných záloh VM do vybraného úložiska pre zotavenie po havárii, zahŕňa validáciu a opravy pre zaistenie dostupnosti a spoľahlivosti kópií.
• Presun záloh do vzdialeného úložiska vďaka integrovanému, rýchlemu a bezpečnému spôsobu zálohovania do cloudu a obnovovanie z cloudu.

V rámci technického riešenia bude zabezpečené tiež:

• Dodávka a inštalácia HW zariadení
• Implementácia zálohovacieho systému
• Analýza existujúcich zálohovacích pravidiel
• Nasadenie a implementácia zálohovania
• Zaškolenie personálu Prevádzkovateľa

5) Zavedenie nástroja pre zabezpečenie zaznamenávania udalostí zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§15) LM + SIEM

Predmetom navrhnutého riešenia musí byť aj centralizovaný nástroj na zaznamenávanie a monitorovanie  bezpečnostných informácií a udalostí. Dodávateľ dodá riešenie spájajúce LM a SIEM, ktoré umožní zhromažďovanie, analyzovanie, ukladanie a vytváranie správ o udalostiach v infraštruktúre nemocnice a takýmto spôsobom umožní žiadateľa chrániť pred hrozbami, útokmi a narušeniami bezpečnosti. Pomocou účinných nástrojov umožní toto riešenie konvertovanie nespracovaných udalostí (LOGov) zo sieťových zariadení, firewallov, serverov, operačných systémov, aplikácií, koncových bodov a ďalších zariadení na použiteľné údaje s možnosťou vyhľadávania. Log manager pomáha splniť požiadavky na monitorovanie súladu s nastavenými pravidlami kybernetickej bezpečnosti a  následná integrácia so SIEM-om, ktorý zabezpečí spracovanie, vyhodnocovanie, korelácie a prediktívne analýzy pre vyššiu úroveň ochrany pred hrozbami.

SIEM a LM ako systém musí poskytovať bezpečnostnému tímu min. nasledovné funkcie ako reakciu na incidenty:

• Reporting a forenznú analýzu bezpečnostných incidentov
• Upozornenia založené na analýze určitého súboru pravidiel identifikujúcich možný incident
• Možnosť exportu logov, možnosť kompresie logov, možnosť automatického zálohovania logov na externé úložisko
• Vykonávanie konsolidácie logov pre efektívne a spoľahlivé fungovanie SIEM
• Dostupnosť agentov pre zber LOGov z operačných systémov a hypervízorov
• REST API pre integráciu na SOC

Základné technické vlastnosti systému sú:

• Systém na zabezpečenie zhromažďovania, analýzu, archiváciu a spracovanie veľkého objemu sieťových a bezpečnostných LOGov.
• Analýza sieťových, bezpečnostných zariadení, serverov, operačných systémov, aplikácií, koncových staníc
• Prehľad o vývoji bezpečnostných hrozieb
• Reporting bezpečnostných udalostí

Dodatočné vlastnosti systému:

• Spracovanie veľkého objemu dát
  • Zber dát zo sieťových zariadení, bezpečnostných zariadení, Firewalov, VPN, IDS/IPS, Antivirus systémov, serverov, databáz, mailov a webových aplikácií
  • Analýza a korelácia rôznych logov za účelom posúdenia rizika, potenciálnych útokov, neautorizovaných prístupov, vnútorných narušiteľov
  • Poskytovanie takmer real-time a historiských dát pre potreby reportingu
• Reporty:
  • Vstavané mechanizmy a pravidlá na korelácie a reporty
  • Automatické reporty a vynucovanie politík
  • Podpora štandardov reportov podľa PCI DSS, HIPAA, GLBA, NERC, FERC, SOX a iné
• Škálovateľnosť
  • Architektúra umožňujúca nasadenie od all-in-one HW až po enterprise riešenia zahŕňajúce mnoho zariadení pre zber dát, ich vyhodnocovanie a manažment
  • Podpora až 16 TB priestoru pre ukladanie archívnych LOGov pre jednu inštanciu
  • Podpora log file integrity checks vrátane NIST Log management Standards SHA (1-256) hashing
  • Podpora indexácie udalostí pre urýchlenie vyhľadávania
• Podpora Cloud prostredia
  • Možnosť Soft layer inštalácie
  • Zber a manažment LOGov v cloudovej infraštruktúre pre aplikácie, ktoré bežia aj v cloude, aj on -premise.

Základné požiadavky na LM, SIEM riešenie:

1) Retencia údajov:

• ONLINE - 6 mesiacov
• OFFLINE/ARCHIVE – 12 mesiacov

2) Kapacita systému:

• Počet zdrojov logov: 150
• Počet logov: 250 EPS
• Objem logov na disku:
  • 1,1 TB ONLINE (6m)
  • 2,2 TB OFFLINE (12m)

3) HW parametre LM+SIEM – systém bude využívať prostriedky clustera pre AD

• Management:
  • CPU CORE: 4
  • RAM: 16 GB
  • HDD: 100 GB
• Konektor Server:
  • CPU CORE: 8
  • RAM: 16 GB
  • HDD: 256 GB
• CORE LM+SIEM:
  • CPU CORE: 16
  • RAM: 32 GB
  • HDD: 1 TB

6) Zavedenie monitoringu sieťovej prevádzky zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§13) – Sieťová sonda

Predmetom navrhovaného technického riešenia je nasadenie manažovateľnej sondy pre potreby monitorovania sieťovej prevádzky a odhaľovania anomálnej sieťovej komunikácie v zmysle všeobecných odporúčaní v súlade s metodikou kybernetickej bezpečnosti.

Funkčné požiadavky na realizované riešenie sú:

• Monitorovacia sonda umiestnená na perimetry, sledujúca kompletnú sieťovú komunikáciu
• SW nástroj na sieťový bezpečnostný monitoring
• Podpora na 3 roky

V rámci realizovaného riešenia bude tiež potrebné dodať nasledovný HW:

a) Sonda (1 ks) s minimálnymi technickými špecifikáciami:

• Pasívne zapojenie bez vplyvu na monitorovanie sieť (SPAN / mirror portami) v 1 dátovom centre
• Jednoduchá inštalácia do existujúcej sieťovej infraštruktúry - racková montáž 1U
• Manažment rozhranie: min. 1 x (administratívne) porty 10/100 / 1000Mb / s pre zabezpečenú vzdialenú správu a prenos NetFlow dát dohľad a konfigurácia - SSH, HTTPS
• Správa užívateľov a prístupových práv na zariadení prostredníctvom užívateľských rolí
• Nastaviteľná rýchlosť monitorovacej linky pre zariadenie 1x1Gb / s  na metalickom fyzickom rozhraní
• Časová synchronizácia zariadenia proti centrálnemu zdroju času na sieti.
• Výkon: Min 1.40 Mpps na monitorovací port
• Podpora protokolov pre výmenu dát: NetFlow dáta vo formátoch verzii 5 a 9, IPFIX.
• Integrácia do dohľadového systému pre kontrolu dostupnosti a vyťaženia zdrojov pomocou SNMP
• Vzorkovanie: Na úrovni paketov a na úrovni tokov
• Vstavaný NetFlow kolektor na spracovanie netflow dát zo sondy s detekciou anomálii v sieti.
• Prevedenie: HW

V rámci technického riešenia bude zabezpečené tiež:

• Dodávka, montáž, konfigurácia zariadenia

3.3 Zainteresované strany/Stakeholderi

3.4      Ciele projektu

 3.5      Merateľné ukazovatele (KPI)

3.6 Špecifikácia potrieb koncového používateľa

Koncovým užívateľom je v rámci projektu Psychiatrická nemocnica Veľké Zálužie. Špecifikáciu potrieb koncového používateľa predstavujú závery auditu kybernetickej bezpečnosti, ktorý bol spracovaný v mesiacoch máj a jún 2024. Na hlavné problémy identifdikované auditom reflektujú jendotlivé technické riešenia popísané v tomto projektovom zámere.

Uvedené potreby sú riešené predkladaným projektom, resp. činnosťami, ktoré sú podrobne uvedené v časti Motivácia a rozsah projektu – Realizované činnosti v rámci projektu.

3.7 Riziká a závislosti

Register rizík a závislostí tvorí samostatnú prílohu projektu. Zoznam rizík a závislostí reflektuje na riziká identifikované v čase prípravno-iniciačnej fázy projektu a počas implementácie projektu bude predmetom neustálej aktualizácie, tak aby reflektoval na skutkový stav.

3.8 Stanovenie alternatív v biznisovej vrstve architektúry

Pri koncipovaní biznisovej vrstvy architektúry boli porovnávané celkovo 3 variabilné alternatívy riešenia súčasného stavu. S ohľadom na vyššie popísané problémy vyvstali pri koncipovaní projektu 3 možné alternatívne riešenia:

Alternatíva 1 - Zachovanie súčasného stavu architektúry

Prvou alternatívou je zachovanie existujúceho stavu ochrany informačných systémov PN VZ. V prípade využitia tejto alternatívy by však nebola zabezpečená požadovaná úroveň zabezpečenia KaIB a ochrana informácií a informačných aktív nemocnice by bola rozpore s povinnosťami vyplývajúcimi zo zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov.

Alternatíva 2 – Čiastočné zvýšenie úrovne kybernetickej a informačnej bezpečnosti

Druhou alternatívou je aplikovanie iba čiastkových riešení KaIB nemocnice. S ohľadom na nedostatok finančných zdrojov nemocnice by bola táto alternatíva využitá v prípade nezískania prostriedkov z Programu Slovensko. V rámci tejto alternatívy by boli realizované kroky vedúce k zosúladeniu stavu s platnou legislatívou a to prioritne opatrenia v oblasti governance KaIB. Uvedená alternatíva by však s ohľadom na disponibilné zdroje nemocnice neumožňovala realizáciu technologických odporúčaní, resp. len v obmedzenej miere. Alternatíva neumožňuje implementáciu automatizovaných riešení (ako napr. LM a SIEM a pod.)

Alternatíva 3 – Vypracovanie komplexnej bezpečnostnej dokumentácie a komplexné vybudovanie technických riešení zabezpečenia KaIB nemocnice

Tretia alternatíva predstavuje komplexné riešenie informačnej a kybernetickej bezpečnosti a teda zosúladenie stavu riešenia KaIB s legislatívnymi požiadavkami. Táto alternatíva zahŕňa komplex technických a netechnických opatrení, ktoré reflektujú na odporúčania realizovaného auditu kybernetickej bezpečnosti PN VZ.

Ako najefektívnejšia bola vybraná Alternatíva č. 3, ktorá pokrýva procesy a požiadavky všetkých stakeholderov/aktérov a celú situáciu rieši komplexne.

3.9 Multikriteriálna analýza

Vyhodnotenie MCA

3.10 Stanovenie alternatív v aplikačnej vrstve architektúry

HW a SW komponenty, tiež služby a podpora, ktoré sú s nimi spojené, musia zodpovedať požiadavkám definovaným v projekte koncovými používateľmi, ktoré vychádzajú zo zistení a následných odporúčaní analýzy bezpečnosti a z požiadaviek zákona o KIB, zákona o ISVS a ďalších predpisov.

3.11 Stanovenie alternatív v technologickej vrstve architektúry

Technologická alternatíva nie je definovaná, nakoľko projekt umožňuje realizovať ľubovoľnú SW a HW technológiu. Konkrétnu technológiu navrhne úspešných uchádzač v rámci procesu verejného obstarávania.

4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU)

Výstupom projektu budú:

• Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov relevantné pre predmetný typ projektu,
• Vytvorená, resp. aktualizovaná dokumentácia kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časť 1.
• Nasadené softvérové a hardvérové nástroje pre oblasť kybernetickej bezpečnosti. Podrobný zoznam je uvedený v časti Motivácia a rozsah projektu, časti 2 až 6

Výstupy projektu akceptuje riadiaci výbor projektu a vlastník procesu (viď. časť 9 – Projektový tím).

5. NÁHĽAD ARCHITEKTÚRY

Podrobný popis architektúry je uvedený v dokumente Prístup k projektu. V tejto kapitole uvádzame len sumárny nákres architektúry.

5.1 Prehľad e-Government komponentov

5.1.1 Prehľad koncových služieb – budúci stav:

Projekt nebuduje koncové služby.

5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Projekt nebuduje a ani nerozvíja ISVS

5.1.3 Prehľad budovaných aplikačných služieb – budúci stav:

Projekt nebuduje aplikačné služby.

5.1.4 Prehľad integrácii ISVS na spoločné ISVS1 a ISVS iných OVM alebo IS tretích strán

V rámci projektu nebude realizovaná žiadna integrácia.

5.1.5 Aplikačné služby na integráciu

Projekt nebuduje aplikačné služby.

5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ

Projekt nebude poskytovať údaje do IS CSRÚ.

5.1.7 Konzumovanie údajov z IS CSRÚ

Projekt nebude konzumovať údaje z IS CSRÚ.

5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav

Projekt neplánuje využívanie cloudových infraštruktúrnych služieb.

6. LEGISLATÍVA

Z pohľadu rozsahu projektu nie je pre jeho úspešnú implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Z pohľadu realizácie projektu bude však nevyhnutná úprava viacerých interných smerníc a dokumentov. Konkrétny rozsah je popísaný v rámci kapitoly 3.2 Motivácia a rozsah projektu. Upravené smernice a riadiaca dokumentácia bude tvoriť tiež samotný výstup projektu a ich spracovaním príde k úprave vnútorných procesov nemocnice vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej. Projekt sa počas prípravy a tiež následne počas svojej implementácie bude riadiť príslušnou platnou legislatívou. Medzi najvýznamnejšie legislatívne dokumenty patria:

• Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
• Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov;
• Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov;
• Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;
• Vyhláška 401/2023 Z. z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

7. ROZPOČET A PRÍNOSY

Celkový rozpočet projektu je vyčíslený na sumu 320 807,69 EUR s DPH, z čoho podporné aktivity projektu (riadenie projektu, informovanosť a publicita) boli stanovené v maximálnej výške 7 % z celkových oprávnených priamych výdavkov. S ohľadom na deklarovanú výšku rozpočtu projektu (projekt do 1 000 000,00,- EUR) nebola spracovaná Analýza nákladov a prínosov.

Za účelom preukázania hospodárnosti výdavkov rozpočtu na realizáciu projektu vykonal žiadateľ prieskum trhových cien v rámci ktorého reflektovali na Výzvu o cenovú ponuku 3 potenciálny uchádzači. Prieskum trhu bol realizovaný v mesiaci jún 2024. Výška výdavkov súvisiaca s obstaraním jednotlivých položiek bola určená ako aritmetický priemer doručených ponúk. Žiadateľ sa rozhodol pre výkon prieskumu trhu z dôvodu čo možno najpresnejšieho stanovenia cien jednotlivých položiek rozpočtu. Kompletná dokumentácia z vykonaného prieskumu trhu je archivovaná u žiadateľa a je dostupná poskytovateľovi v prípade potreby na vyžiadanie.

7.1 Sumarizácia nákladov a prínosov

8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

V rámci predmetného projektu sa plánuje riadenie systémom „WATERFALL“, ktorý sa javí ako vhodnejšia alternatíva k agilnému prístupu, nakoľko všetky projektové etapy bude pomerne jednoznačne možné identifikovať, ohraničiť a realizovať vo vzťahu k ich vecnej a časovej závislosti. V rámci ďalších fáz projektu, predovšetkým v Iniciačnej fáze budú upresnené jednotlivé etapy projektu a súslednosť pracovných balíkov „WPs“ a to v súlade s metodikou riadenia projektov PRINCE2.

9. PROJEKTOVÝ TÍM

Najvyššia úroveň riadenia projektu bude zastúpená v zmysle metodiky riadenia projektov PRINCE2 Riadiacim výborom projektu „RV“, ktorý bude zasadať v nasledovnom zložení:

• Predseda Riadiaceho výboru
• Projektový manažér
• Vlastník procesov
• Zástupca prevádzky (kľúčový používateľ)
• Zástupca dodávateľa

Okrem RV bude v rámci projektu zriadený tiež projektový tím žiadateľa, ktorý bude zložený:

• Manažér kybernetickej a informačnej bezpečnosti
• Kľúčový používateľ

Riadiaci výbor projektu v kooperácii s projektovým tímom bude zriadený pre účely usmerňovania a riadenia projektu ako celku. Projektový tím bude zodpovedať za celkový úspech projektu a bude zároveň nositeľom zodpovednosti a autority v rámci projektu. Okrem iného bude koordinovať činnosti publicity a informovanosti projektu a zdieľať informácie o projekte smerom k dotknutým osobám „stakeholderom“ a to počas celej doby trvania projektu a počas existencie projektového výboru samotného.

Riadiaci výbor bude schvaľovať najmä nasledovné:

• Hlavné plány projektu
• Autorizovať prípadne odchýlky od dohodnutých plánov
• Bude autorizovať ukončenie všetkých hlavných aktivít projektu (viď časový harmonogram)
• Bude zodpovedať za zabezpečenie príslušných zdrojov projektu (aj vo vzťahu k dodávateľom)
• Schvaľuje rolu Projektového manažéra
• Zodpovedá za schválenie projektovej iniciačnej dokumentácie „PID“
• Bude zodpovedať za celkové usmerňovanie projektu (sledovanie projektu v rámci tolerancií)
• Bude prehodnocovať ukončené etapy a schvaľovať prechody do ďalších etáp (aplikovateľné práve na podmienky prístupu „waterfall“...
• Na konci projektu bude zabezpečovať, aby boli produkty odovzdané uspokojivo
• Bude zodpovedať za schválenie/akceptáciu výstupov a schválenie záverečnej správy (preberacie protokoly, akceptácia predmetu projektu...).

Projektový tím bude zabezpečovať samotnú realizáciu projektu v kooperácii s dodávateľom a pripravovať potrebné dokumenty k schváleniu riadiacim výborom.

Schéma projektového tímu je znázornená nižšie.

9.1 Pracovné náplne

10. ODKAZY

N/A

11. PRÍLOHY

Príloha č. 1 Zoznam rizík a závislostí

Príloha č. 2 Katalóg požiadaviek