PROJEKTOVÝ ZÁMER

manažérsky výstup  I-02

podľa vyhlášky MIRRI č. 401/2023 Z. z.

Schvaľovanie dokumentu

1.    História DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1       Použité skratky a pojmy

2.2       Konvencie pre typy požiadaviek (príklady)

Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:

FRxx

• U – užívateľská požiadavka
• R – označenie požiadavky
• xx – číslo požiadavky

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NRxx

• N – nefukčná požiadavka (NFR)
• R – označenie požiadavky
• xx – číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované PM.

3.    DEFINOVANIE PROJEKTU

3.1       Manažérske zhrnutie

Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).

Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie poskytovateľov zdravotnej starostlivosti (PZS) ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia PZS je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.

Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT Národného ústavu reumatických chorôb, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.

Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia Národného ústavu reumatických chorôb a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti PZS. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:

1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;
2. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;
3. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;
4. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;
5. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;
6. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.

Jednotlivé subjekty verejnej správy a PZS ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Ústav napriek svojim výrazným odborným a finančným limitom je sám zodpovedný za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň, zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.

Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:

1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)

2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26

3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.

Projekt spadá do prioritnej osi 4 – Kybernetická a informačná bezpečnosť a napĺňa čiastkový cieľ Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe pre danú prioritnú os v zmysle NKIVS.

Projekt je vo vecnom súlade s aktivitou Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 150 tým, že sa implementuje do prostredia Národného ústavu reumatických chorôb riešenie  v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie, ochrane proti škodlivému kódu.

3.2       Motivácia a rozsah projektu

Realizované aktivity z množiny oprávnených aktivít výzvy:

Národný ústav reumatických chorôb deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:

1. vytvorenú stratégiu kybernetickej bezpečnosti,
2. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,
3. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
4. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

Národný ústav reumatických chorôb má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti. V zmysle samohodnotenia prevádzkovateľa základnej služby (ústavu) vykonanej manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom ústavu, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.

Realizované podaktivity z množiny oprávnených podaktivít výzvy:

1. Ochrana proti škodlivému kódu
2. Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov;
3. Sieťová a komunikačná bezpečnosť
4. Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
5. Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
6. Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
7. Kontinuita prevádzky
8. Implementácia systému zálohovania;

3.3       Zainteresované strany/Stakeholderi

3.4       Ciele projektu

3.5       Merateľné ukazovatele (KPI)

Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.

3.6       Špecifikácia potrieb koncového používateľa

Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového  používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu  bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia Národného ústavu reumatických chorôb budú priamo profitovať subjekty využívajúce elektronické služby PZS, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.

.

3.7       Riziká a závislosti

Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.

3.8       Stanovenie alternatív v biznisovej vrstve architektúry

V rámci biznisovej vrstvy architektúry sme porovnávali variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené 3 rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, ktorá pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v N pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.

Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí ústavu, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti zdravotníckych systémov, či poskytovania služieb občanom.

Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.

Alternatíva 3 spočíva v tom, že by nedošlo k zásadným skokovým zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.

3.9       Multikriteriálna analýza

Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)

Spracovanie MCA

Vyhodnotenie MCA

3.10    Stanovenie alternatív v aplikačnej vrstve architektúry

Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Alternatíva 1 nerieši problémy definované pre východiskovú situáciu, Alternatíva 3 vytvára predpoklad naručenia kontinuity poskytovania elektronických služieb a súvisiacej zdravotnej starostlivosti ako aj predpoklady zraniteľnosti prostredia v podobe SPoF. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.

3.11    Stanovenie alternatív v technologickej vrstve architektúry

Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií, ktoré budú po nasadení projektu aktualizované:

Oblasť organizácia kybernetickej bezpečnosti:

• Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
• Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),
• Štatút bezpečnostného výboru, rokovací poriadok.

Oblasť aktíva:

• Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
• Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).

Oblasť incidenty:

• Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),
• Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).

Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí

• Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).
• Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,
• Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR), 
• Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),
• Smernica pre riadenie zmien (Klasifikačný stupeň Interné).

Oblasť tretie strany:

• Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),
• Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),
• Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.

Oblasť riadenie rizík:

• Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
• Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
• Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).

Oblasť špecifické (riadenie súladu a audit):

• Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
• Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).

5.    NÁHĽAD ARCHITEKTÚRY

Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:

Ochrana proti škodlivému kódu

• Implementácia centralizovaného systému ochrany pred škodlivým kódom s monitorovaním detekcie inštalácie nelegálneho obsahu, vrátane automatizovaných nástrojov na detekciu škodlivej komunikácie na koncových staniciach a serveroch - Implementácia a konfigurácia EDR/XDR/MDR riešenia na všetky existujúce koncové stanice a servery vrátane správy administrácie nasadeného systému.

Sieťová a komunikačná bezpečnosť

• Multifaktorové overovania vzdialených prístupov (2FA) do internej infraštruktúry pre dodávateľov a pre interných zamestnancov. Predmetom projektu bude implementácia bezpečnej perimetrovej ochrany, ktorá zabezpečí jednoduché nasadenie multifaktorového overovania vzdialených prístupov a taktiež reporting externých prístupov do siete za dlhšie obdobie.
• Návrh a konfigurácia segmentácie siete s prihliadnutím primárne na bezpečnosť a kategorizáciu využívaných informačných systémov. Obstaranie lokálnych sieťových prvkov pre tie časti siete, v ktorých nie je možné implementovať segmentáciu na v súčasnosti využívaných lokálnych prepínačoch.
• Nástroj na orchestráciu bezpečnostných nástrojov, sledovanie a detekciu prevádzky, platforma na správu logov, analýzu a reportovanie, ktorá poskytuje organizáciám orchestráciu, automatizáciu a reakciu z jedného miesta pre zjednodušené bezpečnostné operácie, proaktívnu identifikáciu a nápravu rizík a kompletnú viditeľnosť celého povrchu útoku.

Kontinuita prevádzky

• Zálohovacie systémy – diskové polia, nástroj na zálohovanie - Implementácia zabezpečeného systému zálohovania za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe.

Náhľad aplikačnej to be vrstvy architektúry

Náhľad technologickej to be vrstvy architektúry

Aplikačné prostredie z pohľadu informačných systémov verejnej správy Národného ústavu reumatických chorôb pozostáva z nasledovných komponentov:

5.1       Prehľad e-Government komponentov

5.1.1       Prehľad koncových služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.

5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.3       Prehľad budovaných aplikačných služieb – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.

5.1.4       Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.

5.1.5       Aplikačné služby na integráciu

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).

5.1.6       Poskytovanie údajov z ISVS do IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.

5.1.7       Konzumovanie údajov z IS CSRÚ

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.

5.1.8       Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.

6.    LEGISLATÍVA

Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.

Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob  kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;

Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy

7.    ROZPOČET A PRÍNOSY

Celkové náklady na vlastníctvo boli stanovené na základe Metodického pokynu k spracovaniu biznis case a cost benefit analýzy informačných technológií verejnej správy. Celkové náklady na implementáciu sú stanovené na sumu 298 608,32 EUR s DPH. Suma je vrátane nákladov na podporné aktivity vo výške 19 535,12 EUR, čo predstavuje 7% z hodnoty investície. Podporné aktivity budú využité maximálne do uvedeného rozpočtu na riadenie projektu a publicitu a informovanosť.

7.1       Sumarizácia nákladov a prínosov

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA

Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.

Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

9.    PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
• Projektový manažér objednávateľa (PM)

Zostavuje sa Projektový tím objednávateľa

• kľúčový používateľ,
• biznis vlastník
• manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)

9.1        PRACOVNÉ NÁPLNE

Kľúčový používateľ

• Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.
• Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.
• Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.
• plní pokyny PM a dohody zo stretnutí projektového tímu.

Manažér kybernetickej bezpečnosti

• Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).
• Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.
• Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.
• Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.
• Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
• Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

Projektový manažér

• Zodpovedá za riadenie projektu počas celého životného cyklu projektu.
• Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.
• Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
• Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.
• Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
• Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je  hlavnou kontaktnou osobou pre zákazníka.

10. ODKAZY

Bez odkazov

11. PRÍLOHY

Príloha 1: Zoznam rizík a závislostí

Koniec dokumentu

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente

[2] EUPL licencie: https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf