PROJEKTOVÝ ZÁMER

 Manažérsky výstup  I-02

 podľa vyhlášky MIRRI č. 401/2023 Z. z. 

Schvaľovanie dokumentu

1.    HISTÓRIA DOKUMENTU

2.    ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

2.1        Použité skratky a pojmy

2.2        Konvencie pre typy požiadaviek (príklady)

Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:

NREQ_X_Y_xx:

• X - nefunkčná požiadavka (NFR)
  • B – Bezpečnostná požiadavka
  • K- Kapacitná požiadavka
  • P- Prevádzková požiadavka
• Y - označenie požiadavky (legislatíva, aktívum, skratka IS atď.)
• xx - číslo požiadavky

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

3.    DEFINOVANIE PROJEKTU

3.1        Manažérske zhrnutie

Na základe publikovanej výzvy č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podporu v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“ v rámci PSK, žiadateľ MČ Bratislava – Podunajské Biskupice predkladá tento dopytovo-orientovaný projekt s názvom „Podpora v oblasti kybernetickej a informačnej bezpečnosti - Mestská časť Bratislava – Podunajské Biskupice“ (ďalej len „projekt“).

Cieľom projektu je zabezpečenie súladu s legislatívnymi požiadavkami v oblasti kybernetickej a informačnej bezpečnosti (ďalej len „KIB“).

Predmetom a obsahom projektu je podpora KIB definovaná najmä v zákonoch ZoKB a ZoITVS v oblastiach definovaných vo výzvy č. PSK-MIRRI-611-2024-DV-EFRR.

Žiadateľ Mestská časť Bratislava – Podunajské Biskupice je subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa (https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/).

V zmysle Vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z. Žiadateľ deklaruje, že ku dňu predloženia ŽoNFP nemá zrealizované nasledujúce aktivity:

• vytvorenú stratégiu kybernetickej bezpečnosti,
• vytvorené bezpečnostné politiky kybernetickej bezpečnosti,
• vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,
• realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

Pričom vyššie uvedené aktivity žiadateľ zrealizuje v rámci implementácie tohto projektu, keďže predmetom projektu môže byť aj financovanie nákladov spojených s auditom kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z. zrealizovaným v čase od vyhlásenia výzvy do jej ukončenia.

Realizácia tohto projektu je plne v súlade:

• so Strategickým cieľom Národnej stratégie kybernetickej bezpečnosti SR na roky 2021 až 2025, ktorej jedným z cieľov je posilňovanie a vytvorenie otvoreného, slobodného a bezpečného kybernetického priestoru, pretože v kybernetickom priestore sa vyskytuje veľké množstvo hrozieb, ktoré prechádzajú do reálneho útoku a ohrozujú vysoko citlivé informačné aktíva štátu (t.j. aj OR);
• so špecifickým cieľom RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a opatrením 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť) PSK;
• s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.2 (https://www.eurofondy.gov.sk/dokumenty-a-publikacie/dokumenty/ (https://www.eurofondy.gov.sk/wp-content/uploads/2022/07/220713_SK_Partnersk%C3%A1-dohoda-SR_21_27_do-SFC.pdf)
• s definovanými typmi oprávnených aktivít v rámci výzvy PSK-MIRRI-611-2024-DV-EFRR;
• s typom akcie: „ Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.“

Projekt obsahuje nižšie uvedené štandardné projektové aktivity, ktoré vychádzajú z Vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

• Analýza a dizajn;
• Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia;
• Implementácia a Testovanie;
• Nasadenie a PIP;

Podporné aktivity projektu vychádzajú z PSK:

• Projektové riadenie
• Publicita a informovanosť

Indikatívny harmonogram realizácie projektu je 12 mesiacov.

Celková výška finančných prostriedkov projektu predstavuje sumu 401 012,89 EUR.

Hlavnou aktivitou projektu v súlade výzvou č. PSK-MIRRI-611-2024-DV-EFRR je Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.

Výsledkom projektu bude implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB, zrealizovaná klasifikácia a kategorizácia a AR/BIA, a zavedený formalizovaný proces riadenia rizík, vrátane podpory SW nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov napr. pre riešenie zálohovania, preventívnej ochrany proti škodlivým kódom a DLP riešenia pod.

 Po implementácii projektu bude proces už zavedený a vykonávaný internými kapacitami žiadateľa, predovšetkým manažérom kybernetickej bezpečnosti.

3.2        Motivácia a rozsah projektu

Realizáciou tohto projektu eliminujeme nasledovné špecifické problémy v oblasti KIB:

• Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.
• Absencia metodických usmernení a inštrukcií.
• Žiadateľ nemá vykonanú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti.
• Inventarizácia aktív a riadenie rizík je vykonávaná zväčša neformalizovaným spôsobom bez IKT podpory.
• Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada ZoKB požadovanej dokumentácie a základných interných smerníc pre výkon procesov riadenia KIB v rámci jednotlivých oblastí riadenia.
• Absencia bezpečnostných funkcií v oblasti:
  • evidencie aktív a podpory AR/BIA
  • automatického a kontinuálneho preverovania zraniteľností jednotlivých systémov
• Absencia ľudského kapitálu pre celkové riadenie KIB pre oblasti:
  • konsolidácie logov a auditných záznamov,
  • analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,
  • riešenie bezpečnostných incidentov,
  • obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.

Biznis procesy projektu:

• Riadenie aktív a riadenie.
• Riadenie prístupov.
• Hodnotenie zraniteľností.
• Ochrana proti škodlivému kódu.
• Zaznamenávanie udalostí a monitorovanie.
• Ochrana dát.
• Zálohovanie.

Cieľom biznis procesov je:

1. Implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB.
2. Klasifikácia a kategorizácia a AR/BIA a zavedený formalizovaný proces riadenia rizík, vrátane podpory IKT nástrojom.
3. Nasadenie potrebných bezpečnostných nástrojov, najmä pre účely bezpečnostného monitoringu, ale napr. aj pre riešenie zálohovania, preventívnej ochrany proti škodlivým kódom, ochrana proti úniku dát a pod.

Žiadateľ Mestská časť Bratislava – Podunajské Biskupice je správcom ISVS „webové sídlo mestská čast Bratislava – Podunajské

Biskupice“, kód MetaIS: isvs_12018. Webová stránka zabezpečujúca prístup občanov k informáciám a službám Mestskej časti

Brastislava – Podunajské Biskupice.

Rozsah projektu:

• Organizácia kybernetickej a informačnej bezpečnosti
  • Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;
  • vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;
  • vypracovanie štatútu bezpečnostného výboru;
  • vypracovanie bezpečnostného projektu informačného systému verejnej správy.
• Riadenie rizík
  • Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;
  • implementáciu systému pre inventarizáciu aktív;
  • riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;
  • vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.
• Personálna bezpečnosť
  • Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;
  • vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;
  • vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.
• Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami
  • Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;
  • analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;
  • vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so ZoKB;
  • vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.
• Bezpečnosť pri prevádzke informačných systémov a sietí
  • Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;
  • implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;
  • obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.
• Ochrana proti škodlivému kódu
  • Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;
  • implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;
  • vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;
  • implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.
• Riešenie kybernetických bezpečnostných incidentov
  • Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;
  • implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;
  • vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;
  • vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.
• Kryptografické opatrenia
  • Implementácia opatrení za účelom zabezpečenia autenticity a integrity súborov;
  • implementácia kryptografických opatrení nad zálohami systémov a dát;
  • vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;
  • definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;
  • vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;
  • implementácia systému správy kryptografických kľúčov a certifikátov a pod.
• Kontinuita prevádzky
  • Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;
  • vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;
  • vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
  • vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;
  • implementácia systému zálohovania.
• Audit a kontrolné činnosti
  • Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov;
  • obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;
  • obstaranie externých testov zraniteľností, penetračných testov a pod.

Nerealizácia projektu by mohla spôsobiť závažný kybernetický bezpečnostný incident, ktorý by mohol mať nasledujúci dopad:

3.3        Zainteresované strany/Stakeholderi

3.4        Ciele projektu

3.5        Merateľné ukazovatele (KPI)

3.6        Špecifikácia potrieb koncového používateľa

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

.

3.7        Riziká a závislosti

Príloha č. 1 tohto projektového zámeru I_01_PRILOHA_1_REGISTER_ RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.

3.8        Stanovenie alternatív v biznisovej vrstve architektúry

Stanovenie alternatív v biznisovej vrstve architektúry je nasledovný:

1. Alternatíva 1: „nulový variant“ – ponechanie súčasného stavu bez realizácie akýchkoľvek aktivít smerujúcich k zvýšenie KIB podľa ZoKB a ZoITVS.

1. Alternatíva 2: „minimalistický variant“ – realizácia aktivít k zvýšeniu KIB podľa ZoKB a ZoITVS rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.

1. Alternatíva 3: „preferovaný variant“ – realizácia aktivít k zvýšeniu KIB podľa ZoKB a ZoITVS prostredníctvom implementácie tohto projektu

3.9        Multikriteriálna analýza

Vyhodnotenie MCA:

Na základe vyhodnotenia vyššie uvedenej multikriterálnej analýzy je najvhodnejším variantom alternatíva 3.

3.10     Stanovenie alternatív v aplikačnej vrstve architektúry

Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

• Riadenie aktív a riadenie rizík.
  • Implementácia nástroja na evidenciu aktív a realizáciu AR/BIA.
• Riadenie prístupov.
  • Implementácia VPN a 2FA.
  • Zavedenie 2FA pre administrátorov pre prístup k IS a zariadeniam.
• Hodnotenie zraniteľností.
  • Implementácia nástroja na skenovanie zraniteľností.
• Ochrana proti škodlivému kódu.
  • Rozšírenie aktuálnej AV ochrany aj o EDR/XDR ochranu.
• Zaznamenávanie udalostí a monitorovanie.
  • Implementácia LMS a SIEM.
• Riešenie kybernetických bezpečnostných incidentov.
• Ochrana dát
  • Implementácia DLP nástroja.
• Zálohovanie
  • Implementácia nástroja pre automatizované zálohovanie kritických dát na viacerých miestach a technológie rýchlej obnovy dát v prípade zlyhania alebo útoku.

3.11     Stanovenie alternatív v technologickej vrstve architektúry

Z pohľadu TO-BE stavu bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia organizácie a niektoré riešenia budú nasadené ako samostatný́ HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry organizácie.

4.    POŽADOVANÉ VÝSTUPY  (PRODUKT PROJEKTU)

Požadované výstupy projektu sú:

1. Manažérske a špecializované výstupy podľa Vyhlášky č. 401/2023 Z.z. o riadení projektov.
2. Produkty projektu:

5.    NÁHĽAD ARCHITEKTÚRY

Náhľad architektúry sa nachádza v dokumente Prístup k projektu.

5.1        Prehľad e-Government komponentov

Ak bude vytváraný aj výstup I-03 Prístup k projektu, môže byť táto kapitola z dokumentu I-02 Projektový zámer vypustená, pretože jej obsah bude spracovaný vo výstupe I-03 Prístup k projektu.

5.1.1        Prehľad koncových služieb – budúci stav:

Irelevantné. Projekt nevytvára koncové služby.

5.1.2        Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav:

Irelevantné. Projekt nevytvára/nerozvíja ISVS.

5.1.3        Prehľad budovaných aplikačných služieb – budúci stav:

Irelevantné. Projekt nevytvára aplikačné služby.

5.1.4        Prehľad integrácii ISVS na spoločné ISVS^[1] a ISVS iných OVM alebo IS tretích strán

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

5.1.5        Aplikačné služby na integráciu

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

5.1.6        Poskytovanie údajov z ISVS do IS CSRÚ

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

5.1.7        Konzumovanie údajov z IS CSRÚ

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

5.1.8        Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav:

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

V súlade s NKIVS by technologická architektúra mala byť založená na cloudových službách uvedených v katalógu služieb, ktoré prešli procesom klasifikácie, hodnotenia, registrácie a zaradenia do katalógu služieb zverejnenom na stránke MIRRI: https://www.mirri.gov.sk/sekcie/informatizacia/egovernment/vladny-cloud/katalog-cloudovych-sluzieb.

6.    LEGISLATÍVA

Irelevantné. Projekt nevyvoláva legislatívne zmeny. Projekt implementuje bezpečnostné opatrenia vyplývajúce zo ZoKB a ZoITVS.

7.    ROZPOČET A PRÍNOSY

Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený́ spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cenových ponúk. Výsledkom cenového prieskumu je zistená priemerná cena s DPH za jednotlivé položky:

Podporné aktivity (t.j. Projektové riadenie a Publicita projektu) budú realizované v rozpočte projektu do maximálnej výšky 7%.

8.    HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA

Projekt bude realizovaný metódou Waterfall:

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

9.    PROJEKTOVÝ TÍM

Zostavuje sa Riadiaci výbor (RV), v minimálnom zložení:

• Predseda RV
• Biznis vlastník
• Zástupca prevádzky
• Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

Zostavuje sa Projektový tím objednávateľa

• Projektový manažér objednávateľa (PM)
• Manažér KIB
• kľúčový používateľ,
• IT analytik alebo biznis analytik,
• IT architekt,
• biznis vlastník

9.1         PRACOVNÉ NÁPLNE

Podrobné pracovné náplne, povinnosti projektového tímu:

• Projektový manažér
  • zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.
  • zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.
  • zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

• Manažér KIB
  • zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.
  • koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

• Kľúčový používateľ
  • zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

• zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.
• Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov.

• Biznis vlastník
  • zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.
  • zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

• IT analytik
  • zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.
  • analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.
  • Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.
  • Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.
  • Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

• IT Architekt

• zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.
• vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.
• zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

10. ODKAZY

n/a

11. PRÍLOHY

Príloha :

1. Zoznam rizík a závislostí (Excel): https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html
2. Katalóg požiadaviek

[1] Spoločné moduly podľa zákona č. 305/2013  e-Governmente