Zmeny dokumentu projekt_2710_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/07 10:21

From 5.1 to 4.1

Z verzie 4.1

upravil milan_derco
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil milan_derco
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,1697 +1,0 @@
--**~  **
--
--**PROJEKTOVÝ ZÁMER**
--
--**manažérsky výstup  I-02**
--
--**podľa vyhlášky MIRRI č. 401/2023 Z. z.**
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Povinná osoba
--)))|(((
--Národný ústav reumatických chorôb
--)))
--(% class="" %)|(((
--Názov projektu
--)))|(((
--Realizácia opatrení kybernetickej a informačnej bezpečnosti Národného ústavu reumatických chorôb
--)))
--(% class="" %)|(((
--Zodpovedná osoba za projekt
--)))|(((
--Milan Derco, riaditeľ ústavu
--)))
--(% class="" %)|(((
--Realizátor projektu
--)))|(((
--Národný ústav reumatických chorôb
--)))
--(% class="" %)|(((
--Vlastník projektu
--)))|(((
--Milan Derco, riaditeľ ústavu
--)))
--
--**~ **
--
--**Schvaľovanie dokumentu**
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Položka
--)))|(((
--Meno a priezvisko
--)))|(((
--Organizácia
--)))|(((
--Pracovná pozícia
--)))|(((
--Dátum
--)))|(((
--Podpis
--
--(alebo elektronický súhlas)
--)))
--(% class="" %)|(((
--Schválil
--)))|(((
--Milan Derco
--)))|(((
--//Národný ústav reumatických chorôb//
--)))|(((
--Riaditeľ ústavu
--)))|(((
--10.6.2024
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-1.HistóriaDOKUMENTU"/}}1.    História DOKUMENTU =
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Verzia
--)))|(((
--Dátum
--)))|(((
--Zmeny
--)))|(((
--Meno
--)))
--(% class="" %)|(((
--Ver.6
--)))|(((
--10.6.2024
--)))|(((
--Finálna verzia dokumentácie
--)))|(((
--\\
--)))
--
--**~ **
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =
--
--V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.
--
--\\
--
--Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1       Použité skratky a pojmy ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--SKRATKA/POJEM
--)))|(((
--POPIS
--)))
--(% class="" %)|(((
--BEZP
--)))|(((
--Bezpečnosť/Bezpečnostný
--)))
--(% class="" %)|(((
--EDR
--)))|(((
--Endpoint Detection & Response
--)))
--(% class="" %)|(((
--EPP
--)))|(((
--Endpoint protection
--)))
--(% class="" %)|(((
--FW
--)))|(((
--Firewall
--)))
--(% class="" %)|(((
--HW
--)))|(((
--Hardvér
--)))
--(% class="" %)|(((
--IKT
--)))|(((
--Informačno-komunikačné technológie
--)))
--(% class="" %)|(((
--IRA
--)))|(((
--Interný riadiaci akt
--)))
--(% class="" %)|(((
--IS
--)))|(((
--Informačný systém
--)))
--(% class="" %)|(((
--ISVS
--)))|(((
--Informačný systém verejnej správy
--)))
--(% class="" %)|(((
--IT
--)))|(((
--Informačné technológie
--)))
--(% class="" %)|(((
--KB
--)))|(((
--Kybernetická bezpečnosť
--)))
--(% class="" %)|(((
--MKB
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))
--(% class="" %)|(((
--NGFW
--)))|(((
--Next Generation Firewall
--)))
--(% class="" %)|(((
--NURCH
--)))|(((
--Národný ústav reumatických chorôb
--)))
--(% class="" %)|(((
--PZS
--)))|(((
--Poskytovateľ zdravotnej starostlivosti
--)))
--(% class="" %)|(((
--RACI
--)))|(((
--responsible, accountable, consulted, and informed
--)))
--(% class="" %)|(((
--R OIT
--)))|(((
--Riaditeľ odboru IT (vedúci zamestnanec na úseku IT)
--)))
--(% class="" %)|(((
--SIEM
--)))|(((
--Security Information and Event Management
--)))
--(% class="" %)|(((
--SOC
--)))|(((
--Security Operations Center
--)))
--(% class="" %)|(((
--SPoF
--)))|(((
--Single Point of Failure
--)))
--(% class="" %)|(((
--SW
--)))|(((
--Softvér
--)))
--(% class="" %)|(((
--UTM
--)))|(((
--Unified Threat Management
--)))
--(% class="" %)|(((
--VS
--)))|(((
--Verejná správa
--)))
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2       Konvencie pre typy požiadaviek (príklady) ==
--
--\\
--
--**Funkcionálne (používateľské) požiadavky **majú nasledovnú konvenciu:
--
--**FRxx**
--
--* U – užívateľská požiadavka
--* R – označenie požiadavky
--* xx – číslo požiadavky
--
--**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:
--
--**NRxx**
--
--* N – nefukčná požiadavka (NFR)
--* R – označenie požiadavky
--* xx – číslo požiadavky
--
--Ostatné typy požiadaviek môžu byť ďalej definované PM.
--
--**// //**
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3.    DEFINOVANIE PROJEKTU =
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1       Manažérske zhrnutie ==
--
--Projektová dokumentová dokumentácia je koncipovaná s ohľadom na Cieľ a politiky súdržnosti 1 Konkurencieschopnejšia a inteligentnejšia Európa, ŠC RSO1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy (EFRR), opatrenie 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Kybernetická a informačná bezpečnosť).
--
--Jedným zo strategických cieľov koncepcie kybernetickej bezpečnosti schválenej vládou Slovenskej republiky je otvorený, bezpečný a chránený národný kybernetický priestor, ktorý zabezpečí vybudovanie dôvery v spoľahlivosť a bezpečnosť štátu a to najmä kritickej infraštruktúry a komunikačnej infraštruktúry, ako aj istoty, že táto bude plniť svoje funkcie a slúžiť národným záujmom aj v prípade kybernetického útoku. Prostredie poskytovateľov zdravotnej starostlivosti (PZS) ako súčasti verejnej správy je súčasťou kybernetického ekosystému štátu a poskytovania služieb občanom. Kybernetická bezpečnosť IKT prostredia PZS je z pohľadu občana a poskytovaných služieb významnou súčasťou prostredia eGovernmentu s priamym dopadom na práva, poplatky a elektronické služby.
--
--Projektom sú adresované problémy súčasného stavu vyplývajúce z doterajšieho vývoja IKT Národného ústavu reumatických chorôb, prevádzkových požiadaviek a externých determinantov vývoja budúceho stavu.
--
--Motivácia a rozsah projektu vyplývajú z analýzy IKT prostredia Národného ústavu reumatických chorôb a prevádzkových udalostí, ktoré korešpondujú s celkovým trendom v subjektoch verejnej správy, a to nedostatočnou úrovňou kybernetickej bezpečnosti vo verejnej správe, obzvlášť v časti PZS. Príčiny aktuálneho stavu vyplývajú z kombinácie interných a externých faktorov. Medzi hlavné možno zaradiť:
--
--1. Nekoncepčný prístup k problematike kybernetickej bezpečnosti v sektore verejnej správy aj medzi samotnými subjektami VS;
--1. Nevyhovujúce, nevhodne aplikované alebo neexistujúce bezpečnostné nástroje, technológie alebo opatrenia, ktoré nereflektujú aktuálne požiadavky na kybernetickú bezpečnosť;
--1. Dlhodobý nedostatok finančných zdrojov alokovaných pre oblasť kybernetickej bezpečnosti;
--1. Nízka dostupnosť špecialistov na kybernetickú bezpečnosť na pracovnom trhu spojená s nedostatočnou konkurencieschopnosťou sektora VS v porovnaní s komerčným sektorom;
--1. Nedostatočné povedomie u zamestnancov o kybernetických hrozbách a možných dopadoch kybernetických bezpečnostných incidentov;
--1. Rýchly vývoj v oblasti kybernetických hrozieb a reaktívne správanie sa subjektov na tieto hrozby.
--
--\\
--
--Jednotlivé subjekty verejnej správy a PZS ako jej súčasti si sami zodpovedajú za zabezpečenie primeranej úrovne informačnej a kybernetickej bezpečnosti podľa platnej legislatívy a sú povinné na tieto účely prijímať opatrenia v rámci interných preventívnych činností. Zabezpečenie funkčného bezpečnostného monitoringu je v zodpovednosti každého prevádzkovateľa osobitne, a to až na úroveň interných sietí, serverov, služieb informačných systémov a samotných používateľov. Primárnym cieľom zlepšovania úrovne kybernetickej bezpečnosti je priblížiť sa stavu, v ktorom sú siete a informačné systémy schopné odolávať kybernetickým hrozbám na primeranom stupni spoľahlivosti. Ústav napriek svojim výrazným odborným a finančným limitom je sám zodpovedný za definovanie vlastnej úrovne informačnej a kybernetickej bezpečnosti. Zároveň, zavedenie kvalitných bezpečnostných procesov a technológií si vyžaduje významné personálne a časové nároky.
--
--Projekt je v súlade s intervenčnou stratégiou programu Slovensko 2021-2027 v nasledovných oblastiach:
--
--1) súlad projektu so špecifickým cieľom: RSO1.2 (opatrenie 1.2.1)
--
--2) súlad s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.26
--
--3) súlad s definovanými typmi oprávnených aktivít v rámci výzvy.
--
--\\
--
--Aktivita Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti k splneniu KPI „PO095 - Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov“ v počte 1 a „PR017 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov“ v počte 50 tým, že sa implementuje do prostredia Národného ústavu reumatických chorôb riešenie  v oblasti, sieťovej a komunikačnej bezpečnosti, kontinuity prevádzky, sieťovej a komunikačnej bezpečnosti, bezpečnosti pri prevádzke informačných systémov a sietí, zaznamenávaní udalostí a monitorovaní, riešení kybernetických bezpečnostných incidentov, hodnotení zraniteľností a bezpečnostné aktualizácie, ochrane proti škodlivému kódu.
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2       Motivácia a rozsah projektu ==
--
--\\
--
--**Realizované aktivity z množiny oprávnených aktivít výzvy:**
--
--Národný ústav reumatických chorôb deklaruje v procese realizácie projektu dodať nasledovné aktivity a dodržať tak súlad s vyhláškou NBÚ č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z.:
--
--1. vytvorenú stratégiu kybernetickej bezpečnosti,
--1. vytvorené bezpečnostné politiky kybernetickej bezpečnosti,
--1. vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
--1. realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.
--
--\\
--
--Národný ústav reumatických chorôb má vypracovaný dokument bezpečnostnej politiky kybernetickej bezpečnosti. V zmysle samohodnotenia prevádzkovateľa základnej služby (ústavu) vykonanej manažérom kybernetickej bezpečnosti bola konštatovaná vzájomne aktívna komunikácia a prístup medzi manažérom KB a štatutárom ústavu, no s výsledkom čiastočne naplnenej stratégie KB a jej cieľov.
--
--\\
--
--**Realizované podaktivity z množiny oprávnených podaktivít výzvy:**
--
--1. Ochrana proti škodlivému kódu
--1. Implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov;
--1. Sieťová a komunikačná bezpečnosť
--1. Zavedenie bezpečnostných opatrení na bezpečné mobilné pripojenie do siete a vzdialený prístup, napríklad implementáciou dvojfaktorovej autentizácie alebo kryptografických prostriedkov;
--1. Realizácia/aktualizácia segmentácie sietí v súlade s pravidlami klasifikácie a kategorizácie;
--1. Implementácia automatizovaného nástroja na identifikáciu neoprávnených sieťových spojení na hranici s vonkajšou sieťou, na blokovanie neoprávnených spojení, na monitorovanie bezpečnosti, na detekciu prienikov a prevenciu prienikov identifikáciou nezvyčajných mechanizmov útokov alebo proaktívneho blokovania škodlivej sieťovej prevádzky a ďalších povinností alebo vo forme funkcionalít, prípadne licencií iných už existujúcich nástrojov.
--1. Kontinuita prevádzky
--1. Implementácia systému zálohovania;
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**P.č.**
--)))|(((
--**Názov hodnotiaceho kritéria**
--)))|(((
--**Parametre v projekte**
--)))|(((
--**Zdroj**
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Miera rizík ohrozujúcich úspešnú realizáciu projektu
--)))|(((
--V rámci projektu bolo identifikovaných menej ako 10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú realizáciu projektu.
--)))|(((
--viď príloha č. 1 projektového zámeru I_01_PRILOHA_1_REGISTER_RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Administratívne, odborné a prevádzkové kapacity žiadateľa
--)))|(((
--Žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) dostatočné odborné kapacity s náležitou odbornou spôsobilosťou a know-how na riadenie a implementáciu projektu v danej oblasti. Popis zabezpečenia prevádzky  riešenia je reálny, t. j. žiadateľ disponuje a plánuje (v súlade s podmienkami výzvy) personálne kapacity pre zabezpečenie prevádzky riešenia.
--)))|(((
--Informácie o projektovom tíme sú uvedené v kapitole 9 projektového zámeru.
--
--Prílohou ŽoNFP sú:
--
--- Životopisy členov projektového tímu
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Miera oprávnenosti výdavkov projektu.
--)))|(((
--Všetky oprávnené aktivity vychádzajú z bodu 2 Výzvy a prílohy 8 Výzvy, ktorá definuje oprávnené podaktivity.
--)))|(((
--V rámci projektu budú realizované nasledovné oprávnené podaktivity:
--
--\\
--
---           Ochrana proti škodlivému kódu
--
---           Sieťová a komunikačná bezpečnosť
--
---           Kontinuita prevádzky
--
--\\
--
--Ceny jednotlivých výdavkov premietnutých do rozpočtu boli získané na základe prieskumov trhu.
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Dôležitosť kybernetickej bezpečnosti u žiadateľa a potenciálny dopad kybernetických incidentov.
--)))|(((
--V zmysle kapitoly 3.2.5 PODPORA V OBLASTI KIB NA REGIONÁLNEJ ÚROVNI uvedenej v prílohe 2 Výzvy boli identifikované jednotlivé kategórie.
--)))|(((
--§ 24 ods. 2 písm. a) – kategória: III.
--
--§ 24 ods. 2 písm. b) a c) – kategória: III.
--
--§ 24 ods. 2 písm. d) – kategória: III.
--
--§24 ods. 2 písm. e) – kategória: II,
--)))
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Dopad kybernetického bezpečnostného incidentu v závislosti**
--)))|(((
--**Kategória**
--)))|(((
--**Vysvetlenie**
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. a) zákona 69/2018 Z.z.
--
--Počet používateľov základnej služby zasiahnutých kybernetickým bezpečnostným incidentom.
--)))|(((
--III.
--)))|(((
--Počet interných zamestnancov:
--
--150
--
--Počet klientov:
--
--Vzhľadom na celonárodný charakter ústavu je obslužnosť tvorená celou populáciou SR 5 424 687 obyvateľov (zdroj Štatistický úrad k 31.12.2023)
--
--Celkom dotknutých osôb: 5 424 737
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. b) zákona 69/2018 Z.z.
--
--Dĺžka trvania kybernetického bezpečnostného incidentu (čas pôsobenia kybernetického bezpečnostného incidentu)
--
--a/alebo
--
--§ 24 ods. 2 písm. c) zákona
--
--Geografické rozšírenie kybernetického bezpečnostného incidentu.
--)))|(((
--III.
--)))|(((
--Národný ústav reumatických chorôb má 4 ISVS, ktoré sú technicky realizované pre účely základnej služby. V prípade kybernetického incidentu predpokladáme nedostupnosť IS na 10 pracovných dní (sedem a pol hodiny), čo by v praxi znamenalo obmedzenie alebo narušenie prevádzky základnej služby v rozsahu 45 000 hodín z pohľadu zamestnancov, nedostupnosť základnej služby pre obyvateľov ústavu a právnické osoby v celkovom rozsahu 1 627 421 100 (4x10x7,5x5 424 737) (10 dní, 8 pracovných hodín).
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. d) zákona 69/2018 Z.z.
--
--Stupeň narušenia fungovania základnej služby.
--)))|(((
--III.
--)))|(((
--Incident spôsobí úplnú nedostupnosť druhu služby, pre ktorú nie je možné zabezpečiť náhradné riešenie. V prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.
--)))
--(% class="" %)|(((
--§ 24 ods. 2 písm. e) zákona 69/2018 Z.z.
--
--Rozsah vplyvu kybernetického bezpečnostného incidentu na hospodárske alebo spoločenské činnosti štátu.
--)))|(((
--II.
--)))|(((
--V prípade nefunkčnosti budú zasiahnutí zamestnanci ústavu, občania a podnikateľské subjekty, či iné organizácie. Incident môže spôsobiť hospodársku stratu alebo hmotnú škodu najmenej jednému užívateľovi viac ako 1 000 000 eur, či narušenie verejného poriadku, alebo verejnej bezpečnosti vo významnej časti Slovenskej republiky.
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3       Zainteresované strany/Stakeholderi ==
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--AKTÉR / STAKEHOLDER
--)))|(((
--SUBJEKT
--
--(názov / skratka)
--)))|(((
--ROLA
--
--(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)
--)))|(((
--Informačný systém
--
--(MetaIS kód a názov ISVS)
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Ministerstvo investícií, regionálneho rozvoja a informatizácie SR
--)))|(((
--MIRRI
--)))|(((
--Orgán vedenia
--)))|(((
--Isvs_63 MetaIS
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Občan / podnikateľ
--)))|(((
--G2B/G2C
--)))|(((
--Konzument elektronických služieb
--)))|(((
--\\
--)))
--(% class="" %)|(((
--3.
--)))|(((
--Zamestnanec ústavu
--)))|(((
--G2E
--)))|(((
--Spracovateľ elektronických služieb
--)))|(((
--\\
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Ústav
--)))|(((
--OVM PZS Národný ústav reumatických chorôb
--)))|(((
--Orgán riadenia v roli prijímateľa
--)))|(((
--ISVS a infraštruktúra
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4       Ciele projektu ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--\\
--
--\\
--
--Názov cieľa
--)))|(((
--Názov strategického cieľa
--)))|(((
--Spôsob realizácie strategického cieľa
--)))
--(% class="" %)|(((
--ID01
--)))|(((
--RSO 1.2, kat. MRR,
--)))|(((
--Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))|(((
--Komplexné zvýšenie úrovne kybernetickej bezpečnosti implementáciou aplikačného a technologického vybavenia.
--)))
--
--**~ **
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5       Merateľné ukazovatele (KPI) ==
--
--Žiadateľ je povinný stanoviť cieľové hodnoty merateľných ukazovateľov projektu pre každú vybranú hlavnú aktivitu projektu, špecifický cieľ a kategóriu regiónu osobitne v závislosti od výberu príkladov oprávnených hlavných aktivít projektu.
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--\\
--
--\\
--
--ID/Názov cieľa
--)))|(((
--Názov
--ukazovateľa (KPI)
--)))|(((
--Popis
--ukazovateľa
--)))|(((
--Merná jednotka
--\\
--)))|(((
--AS IS
--merateľné hodnoty
--(aktuálne)
--)))|(((
--TO BE
--Merateľné hodnoty
--(cieľové hodnoty)
--)))|(((
--Spôsob ich merania
--)))|(((
--Pozn.
--)))
--(% class="" %)|(((
--ID01
--)))|(((
--Výstup PO095 / PSKPSOI12
--)))|(((
--Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov
--)))|(((
--Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a  modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.
--)))|(((
--Počet verejných inštitúcií
--)))|(((
--0
--)))|(((
--1
--)))|(((
--
--Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS
--)))|(((
--...
--)))
--(% class="" %)|(((
--ID02
--)))|(((
--Výsledok PR017 / PSKPRCR11
--)))|(((
--PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
--)))|(((
--Ukazovateľ PR017 uvádza počet všetkých zamestnancov Národného ústavu reumatických chorôb, ktorí budú primárnou skupinou používateľov nových/vylepšených produktov a procesov realizovaných v rámci projektu
--)))|(((
--používatelia / rok
--)))|(((
--0
--)))|(((
--150
--)))|(((
--Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov, Databázou používateľov v oblasti KIB.
--
--V prípade Národného ústavu reumatických chorôb ide o počet zamestnancov, ktorí využívajú IS Národného ústavu reumatických chorôb alebo akékoľvek elektronické zariadenia v správe Národného ústavu reumatických chorôb SR.
--
--Čas plnenia merateľného ukazovateľa projektu:
--
--v rámci udržateľnosti projektu
--)))|(((
--PR017 / PSKPRCR11 - Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6       Špecifikácia potrieb koncového používateľa ==
--
--Realizáciou projektu sa rieši zvýšenie úrovne zabezpečenia informačných systémov v prostredí verejnej správy. Projektom sa neimplementujú žiadne koncové služby pre obyvateľov a podnikateľov, ani koncové služby pre zamestnancov verejnej správy. Zmeny implementované projektom spočívajú v riadení bezpečnostných politík, obnovy IKT vybavenia a zmeny backendových procesov. Z tohto dôvodu nie je potrebné definovať potreby koncového  používateľa samostatným používateľským prieskumom. Vyššie uvedené rozširovanie a doplnenie služieb bezpečnostného monitoringu  bude poskytované aj organizáciám v zriaďovateľskej pôsobnosti žiadateľa. Zo zvýšeného zabezpečenia IKT prostredia Národného ústavu reumatických chorôb budú priamo profitovať subjekty využívajúce elektronické služby PZS, ktorú budú bezpečnejšie a zároveň bude zabezpečená ich vysoká dostupnosť.
--
--.
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7       Riziká a závislosti ==
--
--\\
--
--Riziká a závislostí sú spracované v Prílohe č. 1 – Zoznam RIZÍK a ZÁVISLOSTI.
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8       Stanovenie alternatív v biznisovej vrstve architektúry ==
--
--\\
--
--V rámci biznisovej vrstvy architektúry sme porovnávali variantné alternatívy riešenia súčasného stavu. Na základe identifikovaného rozsahu problému v projektovom zámere boli stanovené 3 rôzne riešenia. Ako najefektívnejšia bola vybraná Alternatíva č. 2, taká, ktorá pokrýva procesy a požiadavky všetkých stakeholderov a k oblasti kybernetickej bezpečnosti v N pristupuje v takej granularite, ktorá zodpovedá hodnote chránených aktív.
--
--// [[image:attach:image-2024-6-14_11-22-58.png||height="250"]]//
--
--// //
--
--Alternatíva 1 spočíva v tom, že by neboli prijaté žiadne zmeny v oblasti monitoringu, spracovania a vyhodnocovania údajov z pohľadu kybernetickej bezpečnosti a realizácie preventívnych opatrení. V súčasnom stave by to znamenalo nedostatočné poznanie komunikácie v infraštruktúrnom prostredí ústavu, kumulovanie rizika vzniku bezpečnostného incidentu, tvorbu investičného dlhu na IKT a ohrozenie budúcej funkčnosti zdravotníckych systémov, či poskytovania služieb občanom.
--
--\\
--
--Alternatíva 2 spočíva v simultánnom nasadení viacerých softvérových a hardvérových nástrojov na plošné zvýšenie úrovne kybernetickej bezpečnosti v krátkodobom časovom horizonte. Nakoľko je softvérové, hardvérové a infraštruktúrne prostredie z hľadiska KB bezpečné len do takej miery, do akej je zabezpečená jeho najzraniteľnejšia časť, považujeme centrálne plánovaný a komplexný prístup za najefektívnejší ako na biznis, aplikačnej aj technologickej vrstve.
--
--\\
--
--Alternatíva 3 spočíva v tom, že by nedošlo k zásadným skokovým zmenám v oblasti zberu, spracovania a vyhodnocovania bezpečnostných údajov a v oblasti preventívnych opatrení, rýchlosti detekcie a riešenia incidentov. Avšak jednotlivé riešenia, nástroje a technológie by boli budované postupne a agendy v oblasti KB a jednotlivé oblasti by boli zefektívňované postupnými krokmi, viacerými projektami rozloženými v čase.
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9       Multikriteriálna analýza ==
--
--\\
--
--Výber alternatív prebieha prostredníctvom MCA zostavenej na základe kapitoly Motivácia a rozsah projektu, ktorá obsahuje ciele stakeholderov, ich požiadavky a obmedzenia pre dosiahnutie uvedených cieľov. Niektoré (nie všetky) kritériá, môžu byť označené ako KO kritériá. KO kritériá označujú biznis požiadavky na riešenie, ktoré sú z hľadiska rozsahu identifikovaného problému a motivácie nevyhnutné pre riešenie problému a všetky akceptovateľné alternatívy ich tak musia naplniť. Alternatívy, ktoré nesplnia všetky KO kritériá, môžu byť vylúčené z ďalšieho posudzovania. KO kritériá nesmú byť technologické (preferovať jednu formu technologickej implementácie voči druhej)
--
--\\
--
--Spracovanie MCA
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**// //**
--)))|(((
--KRITÉRIUM
--)))|(((
--ZDÔVODNENIE KRIÉRIA
--)))|(((
--STAKEHOLDER
--
--MIRRI
--)))|(((
--STAKEHOLDER
--
--G2B/G2C
--)))|(((
--STAKEHOLDER
--
--G2E
--)))|(((
--STAKEHOLDER
--
--PZS
--)))
--(% class="" %)|(% rowspan="4" %)(((
--BIZNIS VRSTVA
--
--// //
--)))|(((
--Kritérium A (KO) Nasadenie firewall do celého prostredia infraštruktúry
--)))|(((
--Nasadenie nového firewallu tak, aby chránil celé prostredie, nie len jeho vybranú časť.
--)))|(((
--X
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--
--\\
--
--X
--)))
--(% class="" %)|(((
--Kritérium B
--
--Plošné zabezpečenie prostredia bez SPoF
--)))|(((
--Komplexné zlepšenie ochrany bez vytvorenia rizikovej oblasti s vysokou zraniteľnosťou.
--)))|(((
--X
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--
--\\
--
--X
--)))
--(% class="" %)|(((
--Kritérium C
--
--Zabezpečenie zvýšenia úrovne KB nad HW aj SW časťou infraštruktúry
--)))|(((
--Zvýšenie úrovne KB je potrebné realizovať holisticky bez preferencie jednotlivých prostredí.
--)))|(((
--X
--)))|(((
--\\
--)))|(((
--\\
--)))|(((
--\\
--
--\\
--
--X
--)))
--(% class="" %)|(((
--Kritérium D
--
--Kontinuálne poskytovanie elektronických služieb s vysokou dostupnosťou
--)))|(((
--Implementácia projektu bez narušenia poskytovania elektronických služieb.
--)))|(((
--\\
--)))|(((
--X
--)))|(((
--X
--)))|(((
--\\
--
--\\
--
--X
--)))
--
--\\
--
--Vyhodnotenie MCA
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Zoznam kritérií
--)))|(((
--Alternatíva
--
--1
--)))|(((
--Spôsob
--
--dosiahnutia
--)))|(((
--Alternatíva 2
--)))|(((
--Spôsob
--
--dosiahnutia
--)))|(((
--Alternatíva
--
--3
--)))|(((
--Spôsob dosiahnutia
--)))
--(% class="" %)|(((
--Kritérium A
--)))|(((
--Nie
--)))|(((
--N/A
--)))|(((
--Áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB zahŕňa rozšírenie Firewallu na všetky aktíva.
--)))|(((
--Áno
--)))|(((
--V alternatíve 3 sa síce implementujú všetky navrhované nástroje, ale sú neefektívne rozložené v čase
--)))
--(% class="" %)|(((
--Kritérium B
--)))|(((
--Nie
--)))|(((
--N/A
--)))|(((
--Áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB eliminuje riziko vzniku nepomerne zraniteľnej časti aktív.
--)))|(((
--Nie
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--Kritérium C
--)))|(((
--Nie
--)))|(((
--N/A
--)))|(((
--Áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB vychádza z pokrytia SW aj HW časti aktív.
--)))|(((
--Nie
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--Kritérium D
--)))|(((
--Nie
--)))|(((
--N/A
--)))|(((
--Áno
--)))|(((
--Systematické a plošné zvýšenie úrovne KB vytvorí základný predpoklad pre neohrozenie poskytovania elektronických služieb.
--)))|(((
--Čiastočne
--)))|(((
--Vzhľadom na rizikový harmonogram vyplývajúci z povahy alternatívy nemožno výpadok služieb vylúčiť.
--)))
--
--\\
--
--// //
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10    Stanovenie alternatív v aplikačnej vrstve architektúry ==
--
--\\
--
--Alternatívy na úrovni aplikačnej architektúry reflektujú alternatívy vypracované na základe „nadradenej" architektonickej biznis vrstvy, pričom vďaka uplatneniu nasledujúcich princípov aplikačná vrstva architektúry dopĺňa informácie k alternatívam stanoveným pomocou biznis architektúry. Alternatíva 1 nerieši problémy definované pre východiskovú situáciu, Alternatíva 3 vytvára predpoklad naručenia kontinuity poskytovania elektronických služieb a súvisiacej zdravotnej starostlivosti ako aj predpoklady zraniteľnosti prostredia v podobe SPoF. Ako najvýhodnejšiu z danej analýzy považujeme Alternatívu 2. Výber Aplikačnej architektúry reflektuje výber nadradenej biznis architektúry.
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11    Stanovenie alternatív v technologickej vrstve architektúry ==
--
--\\
--
--Výber alternatívy na úrovni technologickej a bezpečnostnej vrstvy architektúry kopíruje výber alternatívy č. 2 na základe MCA. Riešenie predstavuje minimálny rozsah technologického a softvérového zlepšenia prostredia pre splnenie predpokladov kybernetického auditu a zabezpečenie dostatočnej ochrany prostredia s ohľadom na hodnotu chránených aktív.
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU) =
--
--\\
--
--Dokumenty a metodické materiály vytvorené v oblasti bezpečnosti informačných technológií verejnej správy pre minimálne bezpečnostné opatrenia kategórie II. v súlade so Zákonom č. 95/2019 Z. z. o ITVS a zároveň so Zákonom č. 69/2018 Z. z. o KB a prislúchajúcich vyhlášok. Rozvetvené okruhy zákonmi požadovaných dokumentácií, ktoré budú po nasadení projektu aktualizované:
--
--\\
--
--Oblasť organizácia kybernetickej bezpečnosti:
--
--* Bezpečnostná stratégia kybernetickej bezpečnosti (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
--* Smernica - Bezpečnostná politika kybernetickej bezpečnosti a informačnej bezpečnosti redukovaná, TYP B (tzv. veľká politika, analytický vstup pre danú kategóriu), (Klasifikačný stupeň Interné),
--* Štatút bezpečnostného výboru, rokovací poriadok.
--
--\\
--
--Oblasť aktíva:
--
--* Smernica pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov, 5 príloh (Klasifikačný stupeň Interné),
--* Metodika pre klasifikáciu informačných aktív, informácií a kategorizáciu sietí a informačných systémov (Klasifikačný stupeň Interné).
--
--\\
--
--Oblasť incidenty:
--
--* Smernica - Riešenie bezpečnostných incidentov, 2 prílohy (Klasifikačný stupeň Interné),
--* Metodika - Riešenie bezpečnostných incidentov (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení zamestnanci pre riešenie bezpečnostných incidentov (vybraní administrátori, bezpečnostní špecialisti, audit, poverené ext. subjekty pre riešenie KBI).
--
--\\
--
--Oblasť Riadenie bezpečnosti prevádzky IS a IT, riadenie bezpečnosti sietí
--
--* Smernica - Pravidlá pre používanie informačných systémov a služieb (Klasifikačný stupeň Interné).
--* Smernica riadenie prístupových práv (Klasifikačný stupeň Interné), Prílohy vzory a formuláre pre schválenie prístupových práv a nástupné a výstupné formuláre zamestnanca a administrátora a pod.,
--* Vzor RACI matica (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci, Poverení vybraní zamestnanci RĽZ/HR),
--* Smernica správa a prevádzka informačných systémov a služieb, 2 prílohy redukovaná, TYP B (pohľad administrátora, Klasifikačný stupeň Interné),
--* Smernica pre riadenie zmien (Klasifikačný stupeň Interné).
--
--\\
--
--Oblasť tretie strany:
--
--* Smernica riadenie tretích strán (smernica pre zamestnancov, Klasifikačný stupeň Interné),
--* Smernica požiadavky pre tretie strany (smernica pre dodávateľov a zamestnancov zazmluvnených tretích strán, táto Smernica sa po úprave – spresnení požiadaviek na bezpečnosť oboma zmluvnými stranami - špecifikuje ako príloha ku Zmluve o zabezpečení plnenia bezpečnostných opatrení, Klasifikačný stupeň Interné),
--* Vzor zmluvy pre tretie strany podľa ZoKB Zmluva o zabezpečení plnenia bezpečnostných opatrení (táto zmluva buď nie je predmetom zverejnenia na CRZ, alebo jej príloha/prílohy týkajúce sa špecifických bezpečnostných opatrení (napr. vychádzajúcich z metodiky pre riadenie cloudových služieb, metodiky pre SSDLC, resp. smernice Požiadavky pre tretie strany (viď. vyššie)) sa nezverejňuje.
--
--\\
--
--Oblasť riadenie rizík:
--
--* Smernica Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
--* Metodika Riadenie bezpečnostných rizík (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
--* Metodika Riadenie bezpečnostných rizík tretích strán (Klasifikačný stupeň Chránené, okruh oprávnených osôb), riadenie bezpečnostných rizík tretích strán, dotazník pre tretie strany (Klasifikačný stupeň Chránené, okruh oprávnených osôb).
--
--\\
--
--Oblasť špecifické (riadenie súladu a audit):
--
--* Smernica - Riadenie súladu a audit (Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, BEZP Výbor, Poverení riadiaci zamestnanci),
--* Audit checklist redukovaný, TYP B (Kontrolné checklisty pre jednotlivé prípady, s ktorými sa pracuje pri vyhodnocovaní plnenia bezpečnostných opatrení – či už v rámci prostredia verejného obstarávateľa, alebo vyhodnocovania plnenia požiadaviek tretími stranami a pod., Klasifikačný stupeň Chránené, okruh oprávnených osôb – MKB, R OIT, zamestnanci OIT, BEZP Výbor, Poverení riadiaci zamestnanci).
--
--\\
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5.    NÁHĽAD ARCHITEKTÚRY =
--
--Služby a funkcie uvedené v tejto kapitole poskytujú z dôvodu, že sa jedná o projekt kybernetickej bezpečnosti len základné informácie a základný architektonický rámec riešenia, ktoré by malo byť implementované projektom. Budúce riešenie zabezpečenia informačnej a kybernetickej bezpečnosti sa bude skladať najmä z nasledovných funkcií a realizovaných činností:
--
--\\
--
--**Ochrana proti škodlivému kódu**
--
--* Implementácia centralizovaného systému ochrany pred škodlivým kódom s monitorovaním detekcie inštalácie nelegálneho obsahu, vrátane automatizovaných nástrojov na detekciu škodlivej komunikácie na koncových staniciach a serveroch - Implementácia a konfigurácia EDR/XDR/MDR riešenia na všetky existujúce koncové stanice a servery vrátane správy administrácie nasadeného systému.
--
--**Sieťová a komunikačná bezpečnosť**
--
--* Multifaktorové overovania vzdialených prístupov (2FA) do internej infraštruktúry pre dodávateľov a pre interných zamestnancov. Predmetom projektu bude implementácia bezpečnej perimetrovej ochrany, ktorá zabezpečí jednoduché nasadenie multifaktorového overovania vzdialených prístupov a taktiež reporting externých prístupov do siete za dlhšie obdobie.
--* Návrh a konfigurácia segmentácie siete s prihliadnutím primárne na bezpečnosť a kategorizáciu využívaných informačných systémov. Obstaranie lokálnych sieťových prvkov pre tie časti siete, v ktorých nie je možné implementovať segmentáciu na v súčasnosti využívaných lokálnych prepínačoch.
--* Nástroj na orchestráciu bezpečnostných nástrojov, sledovanie a detekciu prevádzky, platforma na správu logov, analýzu a reportovanie, ktorá poskytuje organizáciám orchestráciu, automatizáciu a reakciu z jedného miesta pre zjednodušené bezpečnostné operácie, proaktívnu identifikáciu a nápravu rizík a kompletnú viditeľnosť celého povrchu útoku.
--
--**Kontinuita prevádzky**
--
--* Zálohovacie systémy – diskové polia, nástroj na zálohovanie - Implementácia zabezpečeného systému zálohovania za účelom zabezpečenia kópie dôležitých systémov a dát v prípade zlyhania alebo zničenia primárnej serverovne. Systém zálohovania by mal mať ochranu pred zmazaním a prepísaním uložených dát a mal by uchovávať zálohy v šifrovanej podobe.
--
--\\
--
--Náhľad aplikačnej to be vrstvy architektúry
--
--[[image:attach:image-2024-6-14_11-23-24.png||height="250"]]
--
--Náhľad technologickej to be vrstvy architektúry
--
--[[image:attach:image-2024-6-14_11-23-35.png||height="400"]]
--
--\\
--
--Aplikačné prostredie z pohľadu informačných systémov verejnej správy Národného ústavu reumatických chorôb pozostáva z nasledovných komponentov:
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Kód ISVS **//(z MetaIS)//
--)))|(((
--**Názov ISVS**
--)))|(((
--**Modul ISVS**
--
--//(zaškrtnite ak ISVS je modulom)//
--)))|(((
--**Stav IS VS**
--)))|(((
--**Typ IS VS**
--)))|(((
--**Kód nadradeného ISVS**
--
--//(v prípade zaškrtnutého checkboxu pre modul ISVS)//
--)))
--(% class="" %)|(((
--isvs_14333
--)))|(((
--NIS FONS
--)))|(((
--☐
--)))|(((
--Prevádzkovaný a plánujem rozvoj
--)))|(((
--  Agendový
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--isvs_14334
--)))|(((
--NIS MEDEA
--)))|(((
--☐
--)))|(((
--Prevádzkovaný a plánujem rozvoj
--)))|(((
--  Agendový
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--isvs_14335
--)))|(((
--winLSS
--)))|(((
--☐
--)))|(((
--Prevádzkovaný a neplánujem rozvoj
--)))|(((
--  Agendový
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--isvs_14336
--)))|(((
--Účtovníctvo
--)))|(((
--☐
--)))|(((
--  Prevádzkovaný a neplánujem rozvoj
--)))|(((
--  Ekonomický a administratívny chod inštitúcie
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--isvs_14337
--)))|(((
--Vema personalistika
--)))|(((
--☐
--)))|(((
--Prevádzkovaný a plánujem rozvoj
--)))|(((
--  Ekonomický a administratívny chod inštitúcie
--)))|(((
--N/A
--)))
--(% class="" %)|(((
--isvs_14338
--)))|(((
--Webový portál
--)))|(((
--☐
--)))|(((
--Prevádzkovaný a plánujem rozvoj
--)))|(((
--  Prezentačný
--)))|(((
--N/A
--)))
--
--// //
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1       Prehľad e-Government komponentov ==
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1       Prehľad koncových služieb – budúci stav: ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na koncové služby.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2       Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===
--
--Vzhľadom na charakter a rozsah projektu nebudú budované ani rozvíjané informačné systémy ako také. Budú nepriamo rozvíjané implementáciou licenčných riešení s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3       Prehľad budovaných aplikačných služieb – budúci stav: ===
--
--Vzhľadom na charakter a rozsah projektu nebudú budované aplikačné služby ako také. Počas realizácie projektu bude dopĺňaná hardvérová infraštruktúra poskytovateľa základnej služby ako aj doplnené licenčné proprietárne softvéry s pozitívnym dopadom na úroveň kybernetickej bezpečnosti a prevádzku systémov poskytovateľa základnej služby.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4       Prehľad integrácii ISVS na spoločné ISVS[[^^**~[1~]**^^>>path:#_ftn1||name="_ftnref1" shape="rect"]] a ISVS iných OVM alebo IS tretích strán ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na integrácie na spoločné ISVS či ISVS iných OVM a tretích strán.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5       Aplikačné služby na integráciu ===
--
--\\
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na budované aplikačné služby a ich využitie na integráciu na spoločné moduly a iné ISVS alebo ich poskytovanie na externú integráciu ani nie je plánované vybudovanie cloudových služieb “softvér ako služba“ (SaaS).
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6       Poskytovanie údajov z ISVS do IS CSRÚ ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na poskytovanie údajov do CSRÚ.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7       Konzumovanie údajov z IS CSRÚ ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na konzumovanie údajov z CSRÚ.
--
--\\
--
--=== {{id name="projekt_2710_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8       Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===
--
--Vzhľadom na charakter a rozsah projektu nebudú výsledkom projektu nové požiadavky na využívanie kapacít ktorejkoľvek časti vládneho cloudu.
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6.    LEGISLATÍVA =
--
--Z pohľadu rozsahu projektu nie je pre jeho implementáciu potrebná úprava legislatívnych noriem na úrovni zákonov, vyhlášok alebo všeobecne záväzných nariadení. Naopak, výstupom projektu je viacero interných smerníc a riadiacich aktov popísaných v ostatných kapitolách, upravujúcich vnútorné procesy organizácie vo vzťahu k zvýšeniu úrovne kybernetickej bezpečnosti a povedomia o nej.
--
--\\
--
--Projekt sa v čase príprave a implementácie riadi príslušnou legislatívou, z ktorej je možné zdôrazniť najmä:
--
--Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z. ktorou sa ustanovuje spôsob  kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy v znení neskorších predpisov; Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov; Vyhláška Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra  bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení neskorších predpisov;
--
--Vyhláška 401/2023 Z.z. Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7.    ROZPOČET A PRÍNOSY =
--
--(% class="wrapped" %)
--(% class="" %)|(((
--**Názov položky**
--)))|(((
--**Počet**
--)))|(((
--**Skupina nákladov**
--)))|(((
--**Cena celkom s DPH**
--)))
--(% class="" %)|(((
--VI. Implementácia centralizovaného systému ochrany pred škodlivým kódom s monitorovaním detekcie inštalácie nelegálneho obsahu, vrátane automatizovaných nástrojov na detekciu škodlivej komunikácie na koncových staniciach a serveroch
--)))|(((
--1 komplet
--)))|(((
--013 - Softvér
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--VIII. implementácia MFA pre vzdialený prístup do siete
--)))|(((
--1 komplet
--)))|(((
--013 – Softvér
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--IX. Implementácia segmentácie siete – obnova prepínačov v sieti
--)))|(((
--1 komplet
--)))|(((
--022 – HW
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--X. Implementácia nástroja na sledovanie a detekciu prevádzky a neoprávnených spojení na hranici s vonkajšou sieťou
--)))|(((
--1 komplet
--)))|(((
--022 – HW
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--013 – Softvér
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--XII. Zálohovacie systémy – diskové polia, nástroj na zálohovanie
--)))|(((
--1 komplet
--)))|(((
--022 – HW
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--\\
--)))|(((
--1 komplet
--)))|(((
--518 – Ostatné služby
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--Paušálna sadzba vo výške 7 % na nepriame výdavky podľa článku 54 písm. a) nariadenia o spoločných ustanoveniach
--)))|(((
--7%
--)))|(((
--907 - Paušálna sadzba
--)))|(((
--EUR
--)))
--(% class="" %)|(((
--**Celková suma**
--)))|(((
--**~ **
--)))|(((
--**~ **
--)))|(((
--**EUR**
--)))
--
--\\
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-7.1Sumarizácianákladovaprínosov"/}}7.1       Sumarizácia nákladov a prínosov ==
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--Náklady
--)))|(((
--Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti
--)))
--(% class="" %)|(((
--**Všeobecný materiál**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**IT - CAPEX**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Služby
--)))|(((
--// //
--)))
--(% class="" %)|(((
--SW
--)))|(((
--// //
--)))
--(% class="" %)|(((
--HW
--)))|(((
--// //
--)))
--(% class="" %)|(((
--**IT - OPEX- prevádzka**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Aplikácie
--)))|(((
--\\
--)))
--(% class="" %)|(((
--SW
--)))|(((
--// //
--)))
--(% class="" %)|(((
--HW
--)))|(((
--// //
--)))
--(% class="" %)|(((
--**Prínosy**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**Finančné prínosy**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Administratívne poplatky
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Ostatné daňové a nedaňové príjmy
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**Ekonomické prínosy**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Občania (€)
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Úradníci (€)
--)))|(((
--\\
--)))
--(% class="" %)|(((
--Úradníci (FTE)
--)))|(((
--\\
--)))
--(% class="" %)|(((
--**Kvalitatívne prínosy**
--)))|(((
--\\
--)))
--(% class="" %)|(((
--\\
--)))|(((
--// //
--)))
--
--\\
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =
--
--\\
--
--Projekt bude dodávaný v 1 Inkremente z tohoto dôvodu uvádzame Harmonogram na úrovni 1 Etapy/ 1 Inkrementu.
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--FÁZA/AKTIVITA
--)))|(((
--ZAČIATOK
--
--(odhad termínu)
--)))|(((
--KONIEC
--
--(odhad termínu)
--)))|(((
--POZNÁMKA
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Prípravná fáza a Iniciačná fáza
--)))|(((
--01/2024
--)))|(((
--12/2024
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2.
--)))|(((
--Realizačná fáza
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2a
--)))|(((
--Analýza a Dizajn
--)))|(((
--01/2025
--)))|(((
--03/2025
--)))|(((
--\\
--)))
--(% class="" %)|(((
--2b
--)))|(((
--Nákup technických prostriedkov, programových prostriedkov a služieb
--)))|(((
--01/2025
--)))|(((
--12/2025
--)))|(((
--Je potrebné obstarať dodávateľa IS riešenia/ licencie[[~[2~]>>path:#_ftn2||name="_ftnref2" shape="rect"]]/ konzultačné služby
--)))
--(% class="" %)|(((
--2c
--)))|(((
--Implementácia a testovanie
--)))|(((
--04/2025
--)))|(((
--09/2025
--)))|(((
--Tvorba dokumentácie výstupov
--)))
--(% class="" %)|(((
--2d
--)))|(((
--Nasadenie a PIP
--)))|(((
--10/2025
--)))|(((
--12/2025
--)))|(((
--PIP - 2 mesiace po nasadení
--)))
--(% class="" %)|(((
--4.
--)))|(((
--Podpora prevádzky (SLA)
--)))|(((
--01/2026
--)))|(((
--12/2028
--)))|(((
--\\
--)))
--
--\\
--
--Projekt bude realizovaný metódou Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9.    PROJEKTOVÝ TÍM =
--
--\\
--
--Zostavuje sa Riadiaci výbor (RV)**,** v minimálnom zložení:
--
--* Predseda RV
--* Biznis vlastník
--* Zástupca prevádzky
--* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)
--* Projektový manažér objednávateľa (PM)
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--Meno a Priezvisko
--)))|(((
--Pozícia
--)))|(((
--Oddelenie
--)))|(((
--Rola v projekte
--)))
--(% class="" %)|(((
--1.
--)))|(((
--Milan Derco
--)))|(((
--Riaditeľ ústavu
--)))|(((
--Riaditeľ ústavu
--)))|(((
--Predseda RV
--)))
--(% class="" %)|(((
--2.
--)))|(((
--**~ **TBD
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--Biznis vlastník
--)))
--(% class="" %)|(((
--3.
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--Zástupca prevádzky
--)))
--(% class="" %)|(((
--4.
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--TBD
--)))|(((
--Zástupca dodávateľa
--)))
--
--\\
--
--Zostavuje sa Projektový tím objednávateľa
--
--* kľúčový používateľ,
--* biznis vlastník
--* manažér kybernetickej a informačnej bezpečnosti (nepovinný člen)
--
--\\
--
--(% class="wrapped" %)
--(% class="" %)|(((
--ID
--)))|(((
--Meno a Priezvisko
--)))|(((
--Pozícia
--)))|(((
--Oddelenie
--)))|(((
--Rola v projekte
--)))
--(% class="" %)|(((
--1.
--)))|(((
--TBD
--)))|(((
--Referent
--)))|(((
--TBD
--)))|(((
--Kľúčový používateľ
--)))
--(% class="" %)|(((
--4.
--)))|(((
--TBD
--)))|(((
--Manažér kybernetickej bezpečnosti
--)))|(((
--TBD
--)))|(((
--MKB
--)))
--(% class="" %)|(((
--5.
--)))|(((
--TBD
--)))|(((
--Projektový manažér
--)))|(((
--TBD
--)))|(((
--Projektový manažér
--)))
--
--\\
--
--== {{id name="projekt_2710_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1        PRACOVNÉ NÁPLNE ==
--
--\\
--
--**Kľúčový používateľ**
--
--* Reprezentuje záujmy budúcich koncových používateľov projektových produktov alebo projektových výstupov.
--* Poskytuje súčinnosť pri spracovaní interného riadiaceho aktu upravujúceho prevádzku, servis a podporu IT.
--* Aktívne sa zúčastňuje stretnutí projektového tímu a spolupracuje na vypracovaní manažérskej a špecializovanej dokumentácie a produktov.
--* plní pokyny PM a dohody zo stretnutí projektového tímu.
--
--**~ **
--
--**Manažér kybernetickej bezpečnosti**
--
--* Zodpovedá za dodržanie princípov a štandardov v oblasti informačnej a kybernetickej bezpečnosti a za kontrolu a audit implementovaných bezpečnostných opatrení (technológií, procesov atď.).
--* Koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení.
--* Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti.
--* Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov.
--* Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT.
--* Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.
--
--\\
--
--**Projektový manažér**
--
--* Zodpovedá za riadenie projektu počas celého životného cyklu projektu.
--* Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA/TCO) a predkladá vstupy na rokovanie Riadiaceho výboru.
--* Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tímu objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
--* Zodpovedá za riadenie prideleného projektu – stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík.
--* Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
--* Zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je  hlavnou kontaktnou osobou pre zákazníka.
--
--\\
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =
--
--Bez odkazov
--
--= {{id name="projekt_2710_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =
--
--\\
--
--Príloha 1: Zoznam rizík a závislostí
--
--\\
--
--Koniec dokumentu
--
--\\
--
--\\
--
--[[~[1~]>>path:#_ftnref1||name="_ftn1" shape="rect"]] Spoločné moduly podľa zákona č. 305/2013  e-Governmente
--
--[[~[2~]>>path:#_ftnref2||name="_ftn2" shape="rect"]] EUPL licencie: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]
--
--\\

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155323220
++155323117

Zmeny dokumentu projekt_2710_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?