Zmeny dokumentu projekt_2710_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 10:21

From 2.1 to 3.1

Z verzie 1.1

upravil milan_derco
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 2.1

upravil milan_derco
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,0 +1,1680 @@
++**~  **
++
++**PROJEKTOVÝ ZÁMER**
++
++**manažérsky výstup  I-02**
++
++**podľa vyhlášky MIRRI č. 401/2023 Z. z.**
++
++\\
++
++(% class="" %)|(((
++Povinná osoba
++)))|(((
++Národný ústav reumatických chorôb
++)))
++(% class="" %)|(((
++Názov projektu
++)))|(((
++Realizácia opatrení kybernetickej a informačnej bezpečnosti Národného ústavu reumatických chorôb
++)))
++(% class="" %)|(((
++Zodpovedná osoba za projekt
++)))|(((
++Milan Derco, riaditeľ ústavu
++)))
++(% class="" %)|(((
++Realizátor projektu
++)))|(((
++Národný ústav reumatických chorôb
++)))
++(% class="" %)|(((
++Vlastník projektu
++)))|(((
++Milan Derco, riaditeľ ústavu
++)))
++
++**~ **
++
++**Schvaľovanie dokumentu**
++
++(% class="" %)|(((
++Položka
++)))|(((
++Meno a priezvisko
++)))|(((
++Organizácia
++)))|(((
++Pracovná pozícia
++)))|(((
++Dátum
++)))|(((
++Podpis
++
++(alebo elektronický súhlas)
++)))
++(% class="" %)|(((
++Schválil
++)))|(((
++Milan Derco
++)))|(((
++//Národný ústav reumatických chorôb//
++)))|(((
++Riaditeľ ústavu
++)))|(((
++10.6.2024
++)))|(((
++\\
++)))
++
++**~ **
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.    História DOKUMENTU =
++
++(% class="" %)|(((
++Verzia
++)))|(((
++Dátum
++)))|(((
++Zmeny
++)))|(((
++Meno
++)))
++(% class="" %)|(((
++Ver.6
++)))|(((
++10.6.2024
++)))|(((
++Finálna verzia dokumentácie
++)))|(((
++\\
++)))
++
++**~ **
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
++
++V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
++
++\\
++
++Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1       Použité skratky a pojmy ==
++
++\\
++
++(% class="" %)|(((
++SKRATKA/POJEM
++)))|(((
++POPIS
++)))
++(% class="" %)|(((
++BEZP
++)))|(((
++Bezpečnosť/Bezpečnostný
++)))
++(% class="" %)|(((
++EDR
++)))|(((
++Endpoint Detection & Response
++)))
++(% class="" %)|(((
++EPP
++)))|(((
++Endpoint protection
++)))
++(% class="" %)|(((
++FW
++)))|(((
++Firewall
++)))
++(% class="" %)|(((
++HW
++)))|(((
++Hardvér
++)))
++(% class="" %)|(((
++IKT
++)))|(((
++Informačno-komunikačné technológie
++)))
++(% class="" %)|(((
++IRA
++)))|(((
++Interný riadiaci akt
++)))
++(% class="" %)|(((
++IS
++)))|(((
++Informačný systém
++)))
++(% class="" %)|(((
++ISVS
++)))|(((
++Informačný systém verejnej správy
++)))
++(% class="" %)|(((
++IT
++)))|(((
++Informačné technológie
++)))
++(% class="" %)|(((
++KB
++)))|(((
++Kybernetická bezpečnosť
++)))
++(% class="" %)|(((
++MKB
++)))|(((
++Manažér kybernetickej bezpečnosti
++)))
++(% class="" %)|(((
++NGFW
++)))|(((
++Next Generation Firewall
++)))
++(% class="" %)|(((
++NURCH
++)))|(((
++Národný ústav reumatických chorôb
++)))
++(% class="" %)|(((
++PZS
++)))|(((
++Poskytovateľ zdravotnej starostlivosti
++)))
++(% class="" %)|(((
++RACI
++)))|(((
++responsible, accountable, consulted, and informed
++)))
++(% class="" %)|(((
++R OIT
++)))|(((
++Riaditeľ odboru IT (vedúci zamestnanec na úseku IT)
++)))
++(% class="" %)|(((
++SIEM
++)))|(((
++Security Information and Event Management
++)))
++(% class="" %)|(((
++SOC
++)))|(((
++Security Operations Center
++)))
++(% class="" %)|(((
++SPoF
++)))|(((
++Single Point of Failure
++)))
++(% class="" %)|(((
++SW
++)))|(((
++Softvér
++)))
++(% class="" %)|(((
++UTM
++)))|(((
++Unified Threat Management
++)))
++(% class="" %)|(((
++VS
++)))|(((
++Verejná správa
++)))
++
++
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2       Konvencie pre typy požiadaviek (príklady) ==
++
++\\
++
++**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:
++
++**FRxx**
++
++* U – užívateľská požiadavka
++* R – označenie požiadavky
++* xx – číslo požiadavky
++
++**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:
++
++**NRxx**
++
++* N – nefukčná požiadavka (NFR)
++* R – označenie požiadavky
++* xx – číslo požiadavky
++
++Ostatné typy požiadaviek môžu byť ďalej definované PM.
++
++**// //**
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3.    DEFINOVANIE PROJEKTU =
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1       Manažérske zhrnutie ==
++
++Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).
++
++Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie poskytovateľov zdravotnej starostlivosti (PZS) ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia PZS je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.
++
++Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT Národného ústavu reumatických chorôb, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.
++
++Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia Národného ústavu reumatických chorôb a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti PZS. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:
++
++1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;
++1. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;
++1. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;
++1. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;
++1. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;
++1. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.
++
++\\
++
++Jednotlivé subjekty verejnej správy a PZS ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Ústav napriek svojim výrazným odborným a finančným limitom je sám zodpovedný za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň, zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.
++
++Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:
++
++1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)
++
++2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26
++
++3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.
++
++\\
++
++Aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 50 tým, že sa implementuje do prostredia Národného ústavu reumatických chorôb riešenie  v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie, ochrane proti škodlivému kódu.
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2       Motivácia a rozsah projektu ==
++
++\\
++
++**Realizované aktivity z množiny oprávnených aktivít výzvy:**
++
++Národný ústav reumatických chorôb deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:
++
++1. vytvorenú stratégiu kybernetickej bezpečnosti,
++1. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,
++1. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
++1. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.
++
++\\
++
++Národný ústav reumatických chorôb má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti. V zmysle samohodnotenia prevádzkovateľa základnej služby (ústavu) vykonanej manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom ústavu, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.
++
++\\
++
++**Realizované podaktivity z množiny oprávnených podaktivít výzvy:**
++
++1. Ochrana proti škodlivému kódu
++1. Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov;
++1. Sieťová a komunikačná bezpečnosť
++1. Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
++1. Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
++1. Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
++1. Kontinuita prevádzky
++1. Implementácia systému zálohovania;
++
++\\
++
++(% class="" %)|(((
++**P.č.**
++)))|(((
++**Názov hodnotiaceho kritéria**
++)))|(((
++**Parametre v projekte**
++)))|(((
++**Zdroj**
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Miera rizík ohrozujúcich úspešnú realizáciu projektu
++)))|(((
++V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
++)))|(((
++viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.
++)))
++(% class="" %)|(((
++2.
++)))|(((
++Administratívne, odborné a prevádzkové kapacity žiadateľa
++)))|(((
++Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky  riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.
++)))|(((
++Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.
++
++Prílohou ŽoNFP sú:
++
++- Životopisy členov projektového tímu
++)))
++(% class="" %)|(((
++3.
++)))|(((
++Miera oprávnenosti výdavkov projektu.
++)))|(((
++Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.
++)))|(((
++V rámci projektu budú realizované nasledovné oprávnené podaktivity:
++
++\\
++
++-           Ochrana proti škodlivému kódu
++
++-           Sieťová a komunikačná bezpečnosť
++
++-           Kontinuita prevádzky
++
++\\
++
++Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.
++)))
++(% class="" %)|(((
++4.
++)))|(((
++Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.
++)))|(((
++V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.
++)))|(((
++§ 24 ods. 2 písm. a) – kategória: III.
++
++§ 24 ods. 2 písm. b) a c) – kategória: III.
++
++§ 24 ods. 2 písm. d) – kategória: III.
++
++§24 ods. 2 písm. e) – kategória: II,
++)))
++
++\\
++
++(% class="" %)|(((
++**Dopad kybernetického bezpečnostného incidentu v závislosti**
++)))|(((
++**Kategória**
++)))|(((
++**Vysvetlenie**
++)))
++(% class="" %)|(((
++§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.
++
++Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.
++)))|(((
++III.
++)))|(((
++Počet interných zamestnancov:
++
++50
++
++Počet klientov:
++
++Vzhľadom na celonárodný charakter ústavu je obslužnosť tvorená celou populáciou SR 5 424 687 obyvateľov (zdroj Štatistický úrad k 31.12.2023)
++
++Celkom dotknutých osôb: 5 424 737
++)))
++(% class="" %)|(((
++§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.
++
++Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
++
++a/alebo
++
++§ 24 ods. 2 písm. c) zákona
++
++Geografické rozšírenie kybernetického bezpečnostného incidentu.
++)))|(((
++III.
++)))|(((
++Národný ústav reumatických chorôb má 4 ISVS, ktoré sú technicky realizované pre účely základnej služby. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní (sedem a pol hodiny), čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby v rozsahu 3750 hodín z pohľadu zamestnancov, nedostupnosť základnej služby pre obyvateľov ústavu a právnické osoby v celkovom rozsahu 1 627 421 100 (4x10x7,5x5 424 737) (10 dní, 8 pracovných hodín).
++)))
++(% class="" %)|(((
++§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.
++
++Stupeň narušenia fungovania základnej služby.
++)))|(((
++III.
++)))|(((
++Incident spôsobí úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie. V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.
++)))
++(% class="" %)|(((
++§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.
++
++Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.
++)))|(((
++II.
++)))|(((
++V prípade nefunkčnosti budú zasiahnutí zamestnanci ústavu, občania a podnikateľské subjekty, či iné organizácie. Incident môže spôsobiť hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 1 000 000 eur, či narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti Slovenskej republiky.
++)))
++
++\\
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3       Zainteresované strany/Stakeholderi ==
++
++(% class="" %)|(((
++ID
++)))|(((
++AKTÉR / STAKEHOLDER
++)))|(((
++SUBJEKT
++
++(názov / skratka)
++)))|(((
++ROLA
++
++(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
++)))|(((
++Informačný systém
++
++(MetaIS kód a názov ISVS)
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
++)))|(((
++MIRRI
++)))|(((
++Orgán vedenia
++)))|(((
++Isvs_63 MetaIS
++)))
++(% class="" %)|(((
++2.
++)))|(((
++Občan / podnikateľ
++)))|(((
++G2B/G2C
++)))|(((
++Konzument elektronických služieb
++)))|(((
++\\
++)))
++(% class="" %)|(((
++3.
++)))|(((
++Zamestnanec ústavu
++)))|(((
++G2E
++)))|(((
++Spracovateľ elektronických služieb
++)))|(((
++\\
++)))
++(% class="" %)|(((
++4.
++)))|(((
++Ústav
++)))|(((
++OVM PZS Národný ústav reumatických chorôb
++)))|(((
++Orgán riadenia v roli prijímateľa
++)))|(((
++ISVS a infraštruktúra
++)))
++
++\\
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4       Ciele projektu ==
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++\\
++
++\\
++
++Názov cieľa
++)))|(((
++Názov strategického cieľa
++)))|(((
++Spôsob realizácie strategického cieľa
++)))
++(% class="" %)|(((
++ID01
++)))|(((
++RSO 1.2, kat. MRR,
++)))|(((
++Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
++)))|(((
++Komplexné zvýšenie úrovne kybernetickej bezpečnosti implementáciou aplikačného a technologického vybavenia.
++)))
++
++**~ **
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5       Merateľné ukazovatele (KPI) ==
++
++Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++\\
++
++\\
++
++ID/Názov cieľa
++)))|(((
++Názov
++ukazovateľa (KPI)
++)))|(((
++Popis
++ukazovateľa
++)))|(((
++Merná jednotka
++\\
++)))|(((
++AS IS
++merateľné hodnoty
++(aktuálne)
++)))|(((
++TO BE
++Merateľné hodnoty
++(cieľové hodnoty)
++)))|(((
++Spôsob ich merania
++)))|(((
++Pozn.
++)))
++(% class="" %)|(((
++ID01
++)))|(((
++Výstup PO095 / PSKPSOI12
++)))|(((
++Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov
++)))|(((
++Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a  modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.
++)))|(((
++Počet verejných inštitúcií
++)))|(((
++0
++)))|(((
++1
++)))|(((
++
++Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS
++)))|(((
++...
++)))
++(% class="" %)|(((
++ID02
++)))|(((
++Výsledok PR017 / PSKPRCR11
++)))|(((
++PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
++)))|(((
++Ukazovateľ PR017 uvádza počet všetkých zamestnancov Národného ústavu reumatických chorôb, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu
++)))|(((
++používatelia / rok
++)))|(((
++0
++)))|(((
++50
++)))|(((
++Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.
++
++V prípade Národného ústavu reumatických chorôb ide o počet zamestnancov, ktorí využívajú IS Národného ústavu reumatických chorôb alebo akékoľvek elektronické zariadenia v správe Národného ústavu reumatických chorôb SR.
++
++Čas plnenia merateľného ukazovateľa projektu:
++
++v rámci udržateľnosti projektu
++)))|(((
++PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
++)))
++
++\\
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6       Špecifikácia potrieb koncového používateľa ==
++
++Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového  používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu  bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia Národného ústavu reumatických chorôb budú priamo profitovať subjekty využívajúce elektronické služby PZS, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.
++
++.
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7       Riziká a závislosti ==
++
++\\
++
++Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8       Stanovenie alternatív v biznisovej vrstve architektúry ==
++
++\\
++
++V rámci biznisovej vrstvy architektúry sme porovnávali variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené 3 rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, ktorá pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v N pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.
++
++// [[image:attach:image-2024-6-14_11-22-58.png||height="250"]]//
++
++// //
++
++Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí ústavu, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti zdravotníckych systémov, či poskytovania služieb občanom.
++
++\\
++
++Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.
++
++\\
++
++Alternatíva 3 spočíva v tom, že by nedošlo k zásadným skokovým zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9       Multikriteriálna analýza ==
++
++\\
++
++Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)
++
++\\
++
++Spracovanie MCA
++
++(% class="" %)|(((
++**// //**
++)))|(((
++KRITÉRIUM
++)))|(((
++ZDÔVODNENIE KRIÉRIA
++)))|(((
++STAKEHOLDER
++
++MIRRI
++)))|(((
++STAKEHOLDER
++
++G2B/G2C
++)))|(((
++STAKEHOLDER
++
++G2E
++)))|(((
++STAKEHOLDER
++
++PZS
++)))
++(% class="" %)|(% rowspan="4" %)(((
++BIZNIS VRSTVA
++
++// //
++)))|(((
++Kritérium A (KO) Nasadenie firewall do celého prostredia infraštruktúry
++)))|(((
++Nasadenie nového firewallu tak, aby chránil celé prostredie, nie len jeho vybranú časť.
++)))|(((
++X
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++
++\\
++
++X
++)))
++(% class="" %)|(((
++Kritérium B
++
++Plošné zabezpečenie prostredia bez SPoF
++)))|(((
++Komplexné zlepšenie ochrany bez vytvorenia rizikovej oblasti s vysokou zraniteľnosťou.
++)))|(((
++X
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++
++\\
++
++X
++)))
++(% class="" %)|(((
++Kritérium C
++
++Zabezpečenie zvýšenia úrovne KB nad HW aj SW časťou infraštruktúry
++)))|(((
++Zvýšenie úrovne KB je potrebné realizovať holisticky bez preferencie jednotlivých prostredí.
++)))|(((
++X
++)))|(((
++\\
++)))|(((
++\\
++)))|(((
++\\
++
++\\
++
++X
++)))
++(% class="" %)|(((
++Kritérium D
++
++Kontinuálne poskytovanie elektronických služieb s vysokou dostupnosťou
++)))|(((
++Implementácia projektu bez narušenia poskytovania elektronických služieb.
++)))|(((
++\\
++)))|(((
++X
++)))|(((
++X
++)))|(((
++\\
++
++\\
++
++X
++)))
++
++\\
++
++Vyhodnotenie MCA
++
++(% class="" %)|(((
++Zoznam kritérií
++)))|(((
++Alternatíva
++
++1
++)))|(((
++Spôsob
++
++dosiahnutia
++)))|(((
++Alternatíva 2
++)))|(((
++Spôsob
++
++dosiahnutia
++)))|(((
++Alternatíva
++
++3
++)))|(((
++Spôsob dosiahnutia
++)))
++(% class="" %)|(((
++Kritérium A
++)))|(((
++Nie
++)))|(((
++N/A
++)))|(((
++Áno
++)))|(((
++Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie Firewallu na všetky aktíva.
++)))|(((
++Áno
++)))|(((
++V alternatíve 3 sa síce implementujú všetky navrhované nástroje, ale sú neefektívne rozložené v čase
++)))
++(% class="" %)|(((
++Kritérium B
++)))|(((
++Nie
++)))|(((
++N/A
++)))|(((
++Áno
++)))|(((
++Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej časti aktív.
++)))|(((
++Nie
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++Kritérium C
++)))|(((
++Nie
++)))|(((
++N/A
++)))|(((
++Áno
++)))|(((
++Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW aj HW časti aktív.
++)))|(((
++Nie
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++Kritérium D
++)))|(((
++Nie
++)))|(((
++N/A
++)))|(((
++Áno
++)))|(((
++Systematické a plošné zvýšenie úrovne KB vytvorí základný predpoklad pre neohrozenie poskytovania elektronických služieb.
++)))|(((
++Čiastočne
++)))|(((
++Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.
++)))
++
++\\
++
++// //
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10    Stanovenie alternatív v aplikačnej vrstve architektúry ==
++
++\\
++
++Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Alternatíva 1 nerieši problémy definované pre východiskovú situáciu, Alternatíva 3 vytvára predpoklad naručenia kontinuity poskytovania elektronických služieb a súvisiacej zdravotnej starostlivosti ako aj predpoklady zraniteľnosti prostredia v podobe SPoF. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11    Stanovenie alternatív v technologickej vrstve architektúry ==
++
++\\
++
++Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
++
++\\
++
++Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií, ktoré budú po nasadení projektu aktualizované:
++
++\\
++
++Oblasť organizácia kybernetickej bezpečnosti:
++
++* Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
++* Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),
++* Štatút bezpečnostného výboru, rokovací poriadok.
++
++\\
++
++Oblasť aktíva:
++
++* Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
++* Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).
++
++\\
++
++Oblasť incidenty:
++
++* Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),
++* Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).
++
++\\
++
++Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí
++
++* Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).
++* Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,
++* Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR),
++* Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),
++* Smernica pre riadenie zmien (Klasifikačný stupeň Interné).
++
++\\
++
++Oblasť tretie strany:
++
++* Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),
++* Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),
++* Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.
++
++\\
++
++Oblasť riadenie rizík:
++
++* Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
++* Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
++* Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).
++
++\\
++
++Oblasť špecifické (riadenie súladu a audit):
++
++* Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
++* Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).
++
++\\
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5.    NÁHĽAD ARCHITEKTÚRY =
++
++Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:
++
++\\
++
++**Ochrana proti škodlivému kódu**
++
++* Implementácia centralizovaného systému ochrany pred škodlivým kódom s monitorovaním detekcie inštalácie nelegálneho obsahu, vrátane automatizovaných nástrojov na detekciu škodlivej komunikácie na koncových staniciach a serveroch - Implementácia a konfigurácia EDR/XDR/MDR riešenia na všetky existujúce koncové stanice a servery vrátane správy administrácie nasadeného systému.
++
++**Sieťová a komunikačná bezpečnosť**
++
++* Multifaktorové overovania vzdialených prístupov (2FA) do internej infraštruktúry pre dodávateľov a pre interných zamestnancov. Predmetom projektu bude implementácia bezpečnej perimetrovej ochrany, ktorá zabezpečí jednoduché nasadenie multifaktorového overovania vzdialených prístupov a taktiež reporting externých prístupov do siete za dlhšie obdobie.
++* Návrh a konfigurácia segmentácie siete s prihliadnutím primárne na bezpečnosť a kategorizáciu využívaných informačných systémov. Obstaranie lokálnych sieťových prvkov pre tie časti siete, v ktorých nie je možné implementovať segmentáciu na v súčasnosti využívaných lokálnych prepínačoch.
++* Nástroj na orchestráciu bezpečnostných nástrojov, sledovanie a detekciu prevádzky, platforma na správu logov, analýzu a reportovanie, ktorá poskytuje organizáciám orchestráciu, automatizáciu a reakciu z jedného miesta pre zjednodušené bezpečnostné operácie, proaktívnu identifikáciu a nápravu rizík a kompletnú viditeľnosť celého povrchu útoku.
++
++**Kontinuita prevádzky**
++
++* Zálohovacie systémy – diskové polia, nástroj na zálohovanie - Implementácia zabezpečeného systému zálohovania za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe.
++
++\\
++
++Náhľad aplikačnej to be vrstvy architektúry
++
++[[image:attach:image-2024-6-14_11-23-24.png||height="250"]]
++
++Náhľad technologickej to be vrstvy architektúry
++
++[[image:attach:image-2024-6-14_11-23-35.png||height="400"]]
++
++\\
++
++Aplikačné prostredie z pohľadu informačných systémov verejnej správy Národného ústavu reumatických chorôb pozostáva z nasledovných komponentov:
++
++(% class="" %)|(((
++**Kód ISVS **//(z MetaIS)//
++)))|(((
++**Názov ISVS**
++)))|(((
++**Modul ISVS**
++
++//(zaškrtnite ak ISVS je modulom)//
++)))|(((
++**Stav IS VS**
++)))|(((
++**Typ IS VS**
++)))|(((
++**Kód nadradeného ISVS**
++
++//(v prípade zaškrtnutého checkboxu pre modul ISVS)//
++)))
++(% class="" %)|(((
++isvs_14333
++)))|(((
++NIS FONS
++)))|(((
++☐
++)))|(((
++Prevádzkovaný a plánujem rozvoj
++)))|(((
++  Agendový
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++isvs_14334
++)))|(((
++NIS MEDEA
++)))|(((
++☐
++)))|(((
++Prevádzkovaný a plánujem rozvoj
++)))|(((
++  Agendový
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++isvs_14335
++)))|(((
++winLSS
++)))|(((
++☐
++)))|(((
++Prevádzkovaný a neplánujem rozvoj
++)))|(((
++  Agendový
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++isvs_14336
++)))|(((
++Účtovníctvo
++)))|(((
++☐
++)))|(((
++  Prevádzkovaný a neplánujem rozvoj
++)))|(((
++  Ekonomický a administratívny chod inštitúcie
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++isvs_14337
++)))|(((
++Vema personalistika
++)))|(((
++☐
++)))|(((
++Prevádzkovaný a plánujem rozvoj
++)))|(((
++  Ekonomický a administratívny chod inštitúcie
++)))|(((
++N/A
++)))
++(% class="" %)|(((
++isvs_14338
++)))|(((
++Webový portál
++)))|(((
++☐
++)))|(((
++Prevádzkovaný a plánujem rozvoj
++)))|(((
++  Prezentačný
++)))|(((
++N/A
++)))
++
++// //
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1       Prehľad e-Government komponentov ==
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1       Prehľad koncových služieb – budúci stav: ===
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===
++
++Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3       Prehľad budovaných aplikačných služieb – budúci stav: ===
++
++Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4       Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]] a ISVS iných OVM alebo IS tretích strán ===
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5       Aplikačné služby na integráciu ===
++
++\\
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6       Poskytovanie údajov z ISVS do IS CSRÚ ===
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7       Konzumovanie údajov z IS CSRÚ ===
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.
++
++\\
++
++=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8       Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===
++
++Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6.    LEGISLATÍVA =
++
++Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.
++
++\\
++
++Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:
++
++Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob  kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;
++
++Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7.    ROZPOČET A PRÍNOSY =
++
++(% class="" %)|(((
++**Názov položky**
++)))|(((
++**Počet**
++)))|(((
++**Skupina nákladov**
++)))|(((
++**Cena celkom s DPH**
++)))
++(% class="" %)|(((
++VI. Implementácia centralizovaného systému ochrany pred škodlivým kódom s monitorovaním detekcie inštalácie nelegálneho obsahu, vrátane automatizovaných nástrojov na detekciu škodlivej komunikácie na koncových staniciach a serveroch
++)))|(((
++1 komplet
++)))|(((
++013 - Softvér
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++518 – Ostatné služby
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++VIII. implementácia MFA pre vzdialený prístup do siete
++)))|(((
++1 komplet
++)))|(((
++013 – Softvér
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++518 – Ostatné služby
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++IX. Implementácia segmentácie siete – obnova prepínačov v sieti
++)))|(((
++1 komplet
++)))|(((
++022 – HW
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++518 – Ostatné služby
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++X. Implementácia nástroja na sledovanie a detekciu prevádzky a neoprávnených spojení na hranici s vonkajšou sieťou
++)))|(((
++1 komplet
++)))|(((
++022 – HW
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++013 – Softvér
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++518 – Ostatné služby
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++XII. Zálohovacie systémy – diskové polia, nástroj na zálohovanie
++)))|(((
++1 komplet
++)))|(((
++022 – HW
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++\\
++)))|(((
++1 komplet
++)))|(((
++518 – Ostatné služby
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach
++)))|(((
++7%
++)))|(((
++907 - Paušálna sadzba
++)))|(((
++EUR
++)))
++(% class="" %)|(((
++**Celková suma**
++)))|(((
++**~ **
++)))|(((
++**~ **
++)))|(((
++**EUR**
++)))
++
++\\
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1       Sumarizácia nákladov a prínosov ==
++
++\\
++
++(% class="" %)|(((
++Náklady
++)))|(((
++Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
++)))
++(% class="" %)|(((
++**Všeobecný materiál**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++**IT - CAPEX**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Služby
++)))|(((
++// //
++)))
++(% class="" %)|(((
++SW
++)))|(((
++// //
++)))
++(% class="" %)|(((
++HW
++)))|(((
++// //
++)))
++(% class="" %)|(((
++**IT - OPEX- prevádzka**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Aplikácie
++)))|(((
++\\
++)))
++(% class="" %)|(((
++SW
++)))|(((
++// //
++)))
++(% class="" %)|(((
++HW
++)))|(((
++// //
++)))
++(% class="" %)|(((
++**Prínosy**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++**Finančné prínosy**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Administratívne poplatky
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Ostatné daňové a nedaňové príjmy
++)))|(((
++\\
++)))
++(% class="" %)|(((
++**Ekonomické prínosy**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Občania (€)
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Úradníci (€)
++)))|(((
++\\
++)))
++(% class="" %)|(((
++Úradníci (FTE)
++)))|(((
++\\
++)))
++(% class="" %)|(((
++**Kvalitatívne prínosy**
++)))|(((
++\\
++)))
++(% class="" %)|(((
++\\
++)))|(((
++// //
++)))
++
++\\
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
++
++\\
++
++Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.
++
++(% class="" %)|(((
++ID
++)))|(((
++FÁZA/AKTIVITA
++)))|(((
++ZAČIATOK
++
++(odhad termínu)
++)))|(((
++KONIEC
++
++(odhad termínu)
++)))|(((
++POZNÁMKA
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Prípravná fáza a Iniciačná fáza
++)))|(((
++01/2024
++)))|(((
++12/2024
++)))|(((
++\\
++)))
++(% class="" %)|(((
++2.
++)))|(((
++Realizačná fáza
++)))|(((
++01/2025
++)))|(((
++12/2025
++)))|(((
++\\
++)))
++(% class="" %)|(((
++2a
++)))|(((
++Analýza a Dizajn
++)))|(((
++01/2025
++)))|(((
++03/2025
++)))|(((
++\\
++)))
++(% class="" %)|(((
++2b
++)))|(((
++Nákup technických prostriedkov, programových prostriedkov a služieb
++)))|(((
++01/2025
++)))|(((
++12/2025
++)))|(((
++Je potrebné obstarať dodávateľa IS riešenia/ licencie[[~[2~]>>path:#_ftn2||name="_ftnref2" shape="rect"]]/ konzultačné služby
++)))
++(% class="" %)|(((
++2c
++)))|(((
++Implementácia a testovanie
++)))|(((
++04/2025
++)))|(((
++09/2025
++)))|(((
++Tvorba dokumentácie výstupov
++)))
++(% class="" %)|(((
++2d
++)))|(((
++Nasadenie a PIP
++)))|(((
++10/2025
++)))|(((
++12/2025
++)))|(((
++PIP - 2 mesiace po nasadení
++)))
++(% class="" %)|(((
++4.
++)))|(((
++Podpora prevádzky (SLA)
++)))|(((
++01/2026
++)))|(((
++12/2028
++)))|(((
++\\
++)))
++
++\\
++
++Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9.    PROJEKTOVÝ TÍM =
++
++\\
++
++Zostavuje sa Riadiaci výbor (RV)**,** v minimálnom zložení:
++
++* Predseda RV
++* Biznis vlastník
++* Zástupca prevádzky
++* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
++* Projektový manažér objednávateľa (PM)
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++Meno a Priezvisko
++)))|(((
++Pozícia
++)))|(((
++Oddelenie
++)))|(((
++Rola v projekte
++)))
++(% class="" %)|(((
++1.
++)))|(((
++Milan Derco
++)))|(((
++Riaditeľ ústavu
++)))|(((
++Riaditeľ ústavu
++)))|(((
++Predseda RV
++)))
++(% class="" %)|(((
++2.
++)))|(((
++**~ **TBD
++)))|(((
++TBD
++)))|(((
++TBD
++)))|(((
++Biznis vlastník
++)))
++(% class="" %)|(((
++3.
++)))|(((
++TBD
++)))|(((
++TBD
++)))|(((
++TBD
++)))|(((
++Zástupca prevádzky
++)))
++(% class="" %)|(((
++4.
++)))|(((
++TBD
++)))|(((
++TBD
++)))|(((
++TBD
++)))|(((
++Zástupca dodávateľa
++)))
++
++\\
++
++Zostavuje sa Projektový tím objednávateľa
++
++* kľúčový používateľ,
++* biznis vlastník
++* manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)
++
++\\
++
++(% class="" %)|(((
++ID
++)))|(((
++Meno a Priezvisko
++)))|(((
++Pozícia
++)))|(((
++Oddelenie
++)))|(((
++Rola v projekte
++)))
++(% class="" %)|(((
++1.
++)))|(((
++TBD
++)))|(((
++Referent
++)))|(((
++TBD
++)))|(((
++Kľúčový používateľ
++)))
++(% class="" %)|(((
++4.
++)))|(((
++TBD
++)))|(((
++Manažér kybernetickej bezpečnosti
++)))|(((
++TBD
++)))|(((
++MKB
++)))
++(% class="" %)|(((
++5.
++)))|(((
++TBD
++)))|(((
++Projektový manažér
++)))|(((
++TBD
++)))|(((
++Projektový manažér
++)))
++
++\\
++
++== {{id name="projekt_2710_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1        PRACOVNÉ NÁPLNE ==
++
++\\
++
++**Kľúčový používateľ**
++
++* Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.
++* Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.
++* Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.
++* plní pokyny PM a dohody zo stretnutí projektového tímu.
++
++**~ **
++
++**Manažér kybernetickej bezpečnosti**
++
++* Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).
++* Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.
++* Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.
++* Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.
++* Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
++* Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.
++
++\\
++
++**Projektový manažér**
++
++* Zodpovedá za riadenie projektu počas celého životného cyklu projektu.
++* Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.
++* Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
++* Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.
++* Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
++* Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je  hlavnou kontaktnou osobou pre zákazníka.
++
++\\
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =
++
++Bez odkazov
++
++= {{id name="projekt_2710_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =
++
++\\
++
++Príloha 1: Zoznam rizík a závislostí
++
++\\
++
++Koniec dokumentu
++
++\\
++
++\\
++
++[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013  e-Governmente
++
++[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]
++
++\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155323117
++155323123

Zmeny dokumentu projekt_2710_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?