projekt_2730_Projektovy_zamer_detailny

= {{id name="projekt_2730_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

119

120

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a ľudských zdrojov.

\\

Dokument Projektový zámer v zmysle vyššie uvedenej vyhlášky má obsahovať manažérske zhrnutie, rozsah, ciele a motiváciu na realizáciu projektu, zainteresované strany, alternatívy, návrh merateľných ukazovateľov, detailný opis požadovaných projektových výstupov, detailný opis obmedzení, predpokladov, tolerancií a návrh organizačného zabezpečenia projektu, detailný opis rozpočtu projektu a jeho prínosov, náhľad architektúry a harmonogram projektu so zoznamom rizík a závislostí.

\\

**~ **

== {{id name="projekt_2730_Projektovy_zamer_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

\\

(% class="wrapped" %)

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

AR

)))|(((

Analýza rizík

)))

(% class="" %)|(((

IS

)))|(((

Informačný systém

)))

(% class="" %)|(((

IS VS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

(% class="" %)|(((

MCA

)))|(((

Multikriteriálna analýza

)))

(% class="" %)|(((

MIRRI

)))|(((

Ministerstvo investícií, regionálneho rozvoja a informatizácie Slovenskej republiky

)))

(% class="" %)|(((

NFP

)))|(((

Nenávratný finančný príspevok

)))

(% class="" %)|(((

RV

)))|(((

Riadiaci výbor projektu

)))

(% class="" %)|(((

VO

)))|(((

Verejné obstarávanie

)))

(% class="" %)|(((

ZoKB

)))|(((

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

)))

(% class="" %)|(((

ZoITVS

)))|(((

Zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení

194

195

niektorých zákonov v znení neskorších predpisov

)))

(% class="" %)|(((

Zákon o VO

)))|(((

Zákon č. 343/2015 Z.z. o verejnom obstarávaní a o zmene a doplnení niektorých zákonov v znení neskorších predpisov

)))

(% class="" %)|(((

SOC

)))|(((

Pracovisko pre riadenie bezpečnosti (Security Operation Center)

)))

(% class="" %)|(((

OR

)))|(((

Orgán riadenia podľa zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplneníniektorých zákonov v znení neskorších predpisov

)))

(% class="" %)|(((

HW

)))|(((

Hardvér

)))

(% class="" %)|(((

SW

)))|(((

Softvér

)))

(% class="" %)|(((

SLA

)))|(((

Zmluva o podpore prevádzky IS Servis level agreement

)))

(% class="" %)|(((

PSK

)))|(((

Program Slovensko na roky 2021-2027

)))

== {{id name="projekt_2730_Projektovy_zamer_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

\\

**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:

**NREQ_X_Y_xx:**

* X - nefunkčná požiadavka (NFR)

244

** B – Bezpečnostná požiadavka

245

** K- Kapacitná požiadavka

246

** P- Prevádzková požiadavka

247

* Y - označenie požiadavky (legislatíva, aktívum, skratka IS atď.)

248

* xx - číslo požiadavky

249

250

Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.

**// //**

= {{id name="projekt_2730_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.1Manažérskezhrnutie"/}}3.1 Manažérske zhrnutie ==

Na základe publikovanej výzvy č. PSK-MIRRI-611-2024-DV-EFRR na predkladanie Žiadostí o poskytnutie nenávratného finančného príspevku so zameraním na „Podporu v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa“ v rámci PSK, žiadateľ MČ Bratislava – Podunajské Biskupice predkladá tento dopytovo-orientovaný projekt s názvom „Podpora v oblasti kybernetickej a informačnej bezpečnosti - Mestská časť Bratislava – Podunajské Biskupice“ (ďalej len „projekt“).

Cieľom projektu je zabezpečenie súladu s legislatívnymi požiadavkami v oblasti kybernetickej a informačnej bezpečnosti (ďalej len „KIB“).

Predmetom a obsahom projektu je podpora KIB definovaná najmä v zákonoch ZoKB a ZoITVS v oblastiach definovaných vo výzvy č. PSK-MIRRI-611-2024-DV-EFRR.

Žiadateľ Mestská časť Bratislava – Podunajské Biskupice je subjektom zaradeným v registri prevádzkovateľov základných služieb podľa zákona o kybernetickej bezpečnosti č. 69/2018 Z. z. v sektore Verejná správa ([[https:~~/~~/www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/>>url:https://www.nbu.gov.sk/7276-sk/zoznam-zakladnych-sluzieb/||shape="rect"]]).

V zmysle Vyhlášky Národného bezpečnostného úradu č. 362/2018 Z. z. ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení v znení vyhlášky č. 264/2023 Z. z. Žiadateľ deklaruje, že ku dňu predloženia ŽoNFP nemá zrealizované nasledujúce aktivity:

* vytvorenú stratégiu kybernetickej bezpečnosti,

283

* vytvorené bezpečnostné politiky kybernetickej bezpečnosti,

284

* vykonanú inventarizáciu aktív, klasifikáciu informácií a kategorizáciu sietí a informačných systémov,

285

* realizovanú analýzu rizík a analýzu dopadov spolu, vrátane riadenia rizík.

Pričom vyššie uvedené aktivity žiadateľ zrealizuje v rámci implementácie tohto projektu, keďže predmetom projektu môže byť aj financovanie nákladov spojených s auditom kybernetickej bezpečnosti podľa § 29 zákona č. 69/2018 Z. z. zrealizovaným v čase od vyhlásenia výzvy do jej ukončenia.

Realizácia tohto projektu je plne v súlade:

294

295

* so Strategickým cieľom Národnej stratégie kybernetickej bezpečnosti SR na roky 2021 až 2025, ktorej jedným z cieľov je posilňovanie a vytvorenie otvoreného, slobodného a bezpečného kybernetického priestoru, pretože v kybernetickom priestore sa vyskytuje veľké množstvo hrozieb, ktoré prechádzajú do reálneho útoku a ohrozujú vysoko citlivé informačné aktíva štátu (t.j. aj OR);

296

* so špecifickým cieľom RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy a opatrením 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť) PSK;

297

* s očakávanými výsledkami definovanými v Partnerskej dohode pre špecifický cieľ RSO 1.2 ([[https:~~/~~/www.eurofondy.gov.sk/dokumenty-a-publikacie/dokumenty/>>url:https://www.eurofondy.gov.sk/dokumenty-a-publikacie/dokumenty/||shape="rect"]] ([[https:~~/~~/www.eurofondy.gov.sk/wp-content/uploads/2022/07/220713_SK_Partnersk%C3%A1-dohoda-SR_21_27_do-SFC.pdf>>url:https://www.eurofondy.gov.sk/wp-content/uploads/2022/07/220713_SK_Partnersk%C3%A1-dohoda-SR_21_27_do-SFC.pdf||shape="rect"]])

298

* s definovanými typmi oprávnených aktivít v rámci výzvy PSK-MIRRI-611-2024-DV-EFRR;

299

* s typom akcie: „ Zlepšovanie technologického, procesného, infraštruktúrneho, vedomostného a organizačného zabezpečenia zručností a kapacít pre plnenie úloh v oblasti KIB v prostredí orgánov štátnej a verejnej správy.“

Projekt obsahuje nižšie uvedené štandardné projektové aktivity, ktoré vychádzajú z Vyhlášky Ministerstva investícií, regionálneho rozvoja a informatizácie Slovenskej republiky č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy.

**__ __**

* **Analýza a dizajn;**

308

* **Nákup HW a krabicového SW pozostáva z nákupu hardvérového a softvérového vybavenia;**

309

* **Implementácia a Testovanie;**

310

* **Nasadenie a PIP;**

**Podporné aktivity projektu vychádzajú z PSK:**

315

316

* **Projektové riadenie**

317

* **Publicita a informovanosť**

Indikatívny harmonogram realizácie projektu je 12 mesiacov.

Celková výška finančných prostriedkov projektu predstavuje sumu **401 012,89 EUR**.

Hlavnou aktivitou projektu v súlade výzvou č. PSK-MIRRI-611-2024-DV-EFRR je **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti.**

Výsledkom projektu bude implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB, zrealizovaná klasifikácia a kategorizácia a AR/BIA, a zavedený formalizovaný proces riadenia rizík, vrátane podpory SW nástrojom. Okrem toho projekt zabezpečí nasadenie potrebných bezpečnostných nástrojov napr. pre riešenie zálohovania, preventívnej ochrany proti škodlivým kódom a DLP riešenia pod.

Po implementácii projektu bude proces už zavedený a vykonávaný internými kapacitami žiadateľa, predovšetkým manažérom kybernetickej bezpečnosti.

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.2Motiváciaarozsahprojektu"/}}3.2 Motivácia a rozsah projektu ==

\\

Realizáciou tohto projektu eliminujeme nasledovné špecifické problémy v oblasti KIB:

350

351

* Nová legislatíva v oblasti KIB je náročne implementovateľná bez značných investícií a najmä bez potrebných expertných ľudských zdrojov.

352

* Absencia metodických usmernení a inštrukcií.

353

* Žiadateľ nemá vykonanú inventarizáciu informačných aktív, klasifikáciu a kategorizáciu IS a sietí, analýzu rizík a analýzu dopadov, zabezpečený formalizovaný a opakovaný proces riadenia identifikovaných rizík (ich mitigácie). Ide o aktivity, ktoré sú nevyhnutným a nutným predpokladom pre efektívne riadenie KIB a ďalší rozvoj v tejto oblasti.

354

* Inventarizácia aktív a riadenie rizík je vykonávaná zväčša neformalizovaným spôsobom bez IKT podpory.

355

* Nie je zadefinovaný dizajn bezpečnostných opatrení pre jednotlivé klasifikačné stupne a kategórie IS a chýba aj základná sada ZoKB požadovanej dokumentácie a základných interných smerníc pre výkon procesov riadenia KIB v rámci jednotlivých oblastí riadenia.

356

* Absencia bezpečnostných funkcií v oblasti:

357

** evidencie aktív a podpory AR/BIA

358

** automatického a kontinuálneho preverovania zraniteľností jednotlivých systémov

359

* Absencia ľudského kapitálu pre celkové riadenie KIB pre oblasti:

360

** konsolidácie logov a auditných záznamov,

361

** analyzovanie bezpečnostných udalostí a incidentov v režime 24/7 a ich vyhodnocovanie,

362

** riešenie bezpečnostných incidentov,

363

** obnova systémov do pôvodného stavu v prípade výskytu incidentu alebo poruchy systémov.

364

365

Biznis procesy projektu:

\\

* Riadenie aktív a riadenie.

370

* Riadenie prístupov.

371

* Hodnotenie zraniteľností.

372

* Ochrana proti škodlivému kódu.

373

* Zaznamenávanie udalostí a monitorovanie.

* Ochrana dát.

* Zálohovanie.

Cieľom biznis procesov je:

380

381

1. Implementácia základných dokumentov a nastavenie základného rámca a procesov riadenia KIB.

382

1. Klasifikácia a kategorizácia a AR/BIA a zavedený formalizovaný proces riadenia rizík, vrátane podpory IKT nástrojom.

383

1. Nasadenie potrebných bezpečnostných nástrojov, najmä pre účely bezpečnostného monitoringu, ale napr. aj pre riešenie zálohovania, preventívnej ochrany proti škodlivým kódom, ochrana proti úniku dát a pod.

\\

Žiadateľ Mestská časť Bratislava – Podunajské Biskupice je správcom ISVS „webové sídlo mestská čast Bratislava – Podunajské

388

389

Biskupice“, kód MetaIS: isvs_12018. Webová stránka zabezpečujúca prístup občanov k informáciám a službám Mestskej časti

390

391

Brastislava – Podunajské Biskupice.

\\

\\

**__Rozsah projektu:__**

**__ __**

* **Organizácia kybernetickej a informačnej bezpečnosti**

402

** Vypracovanie alebo aktualizácia bezpečnostnej dokumentácie vrátane rozsahu a spôsobu plnenia všeobecných bezpečnostných opatrení;

403

** vypracovanie a implementácia špecifických interných riadiacich aktov pre vybrané oblasti kybernetickej a informačnej bezpečnosti;

404

** vypracovanie štatútu bezpečnostného výboru;

405

** vypracovanie bezpečnostného projektu informačného systému verejnej správy.

406

* **Riadenie rizík**

407

** Identifikácia všetkých aktív súvisiacich so zariadeniami na spracovanie informácií a centrálne zaznamenávanie inventáru týchto aktív podľa ich hodnoty vrátane určenia ich vlastníka, ktorý definuje požiadavky na ich dôvernosť, dostupnosť a integritu;

408

** implementáciu systému pre inventarizáciu aktív;

409

** riadenie rizík pozostávajúce z identifikácie zraniteľností, identifikácie hrozieb, identifikácie a analýzy rizík s ohľadom na aktívum, určenie vlastníka rizika, implementácie organizačných a technických bezpečnostných opatrení, analýzy funkčného dopadu a pravidelného preskúmavania identifikovaných rizík v závislosti od aktualizácie prijatých bezpečnostných opatrení;

410

** vypracovanie a implementácia interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti.

411

* **Personálna bezpečnosť**

412

** Vypracovanie postupov pri zaradení osoby do niektorých z bezpečnostných rolí, zavedenie plánu rozvoja bezpečnostného povedomia a vzdelávania, vypracovanie spôsobov hodnotenia účinnosti plánu rozvoja bezpečnostného povedomia, určenie pravidiel a postupov na riešenie prípadov porušenia bezpečnostnej politiky, zavedenie postupov pri skončení pracovnoprávneho vzťahu alebo iného obdobného vzťahu, zavedenie postupov pri porušení bezpečnostných politík;

413

** vypracovanie alebo aktualizácia interného riadiaceho aktu s bezpečnostnými zásadami pre koncových používateľov;

414

** vypracovanie a implementácia postupov a procesov upravujúcich personálnu bezpečnosť organizácie prostredníctvom interného riadiaceho aktu.

415

* **Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami**

416

** Vypracovanie analýzy rizík tretích strán a celého dodávateľského reťazca, vrátane analýzy politických rizík;

417

** analýza a posúdenie súladu všetkých aktuálnych zmlúv s tretími stranami so zákonom o KB a dobrou praxou;

418

** vypracovanie návrhov dodatkov zmlúv s treťou stranou spolu s návrhom potrebných úprav na zabezpečenie súladu so ZoKB;

419

** vypracovanie a implementácia interného riadiaceho aktu upravujúceho zásady kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami.

420

* **Bezpečnosť pri prevádzke informačných systémov a sietí**

421

** Zavedenie opatrení a interného riadiaceho aktu v oblasti riadenia zmien, riadenia kapacít, inštalácie softvéru v sieťach a informačných systémoch, inštalácia zariadení v sieťach a informačných systémoch, zaznamenávanie bezpečnostných záznamov a zaznamenávanie a vyhodnocovanie prevádzkových záznamov;

422

** implementácia technických riešení podporujúcich riadenie bezpečnosti pri prevádzke, napr. nástroj pre riadenie, evidenciu a schvaľovanie zmien, evidenciu bezpečnostných incidentov, konfiguračný manažment bezpečnostných nastavení;

423

** obstaranie služieb pre potreby správy prevádzkovej zálohy, kópie archivačnej zálohy a kópie inštalačných médií, vrátane určenia spôsobu ich ukladania, testov funkcionality dátových nosičov, testov obnovy, fyzického uloženia druhej kópie archivačnej zálohy v inom objekte a minimalizovania rizika poškodenia alebo zničenia dátových nosičov archivačných záloh vplyvom prírodných živlov alebo havárie.

424

* **Ochrana proti škodlivému kódu**

425

** Vypracovanie interného riadiaceho aktu s požiadavkami na určenie zodpovednosti používateľov, pravidiel pre inštaláciu a monitorovania potenciálnych ciest prieniku škodlivého kódu;

426

** implementácia alebo aktualizácia nástrojov na ochranu, ktoré okrem iného vykonávajú kontrolu prístupu k digitálnemu obsahu, pravidelné kontroly úložísk vrátane cloudových riešení, zabraňujú prístupu neoprávnených používateľov filtrovaním obsahu a zamedzením odinštalovať alebo zakázať funkcie systému na ochranu proti škodlivému kódu;

427

** vypracovanie a implementácia pravidiel súvisiace s ochranou proti škodlivému kódu;

428

** implementácia centralizovaného systému riešenia ochrany pred škodlivým kódom s pravidelným monitorovaním vrátane detekcie inštalácie nelegálneho obsahu alebo škodlivého softvéru prostredníctvom automatizovaných nástrojov.

429

* **Riešenie kybernetických bezpečnostných incidentov**

430

** Vypracovanie štandardov a postupov riešenia kybernetických bezpečnostných incidentov, vrátane definovania zodpovedností zamestnancov a ďalších povinností;

431

** implementácia nástroja na detekciu, nástroja na zber a nepretržité vyhodnocovanie a evidenciu kybernetických bezpečnostných udalostí;

432

** vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho povinnosti týkajúce sa riešenia kybernetických bezpečnostných incidentov;

433

** vypracovanie plánov a spôsobov riešenia kybernetických bezpečnostných incidentov.

434

* **Kryptografické opatrenia**

435

** Implementácia opatrení za účelom zabezpečenia autenticity a integrity súborov;

436

** implementácia kryptografických opatrení nad zálohami systémov a dát;

437

** vypracovanie a implementácia interného riadiaceho aktu upravujúceho používanie kryptografických prostriedkov a šifrovania;

438

** definovanie pravidiel využitia kryptografických prostriedkov používajúcich dostatočne odolné kryptografické mechanizmy na ochranu údajov pri ich prenose alebo uložení v rámci sietí a informačných systémov;

439

** vypracovanie a dokumentácia systému správy kryptografických kľúčov a certifikátov;

440

** implementácia systému správy kryptografických kľúčov a certifikátov a pod.

441

* **Kontinuita prevádzky**

442

** Vypracovanie stratégie a krízových plánov prevádzky na základe analýzy vplyvov kybernetického bezpečnostného incidentu na základnú službu;

443

** vypracovanie plánov kontinuity prevádzky a ich prvotné otestovanie v reálnom prostredí organizácie a zapracovanie nedostatkov z výsledkov testovania;

444

** vypracovanie interného riadiaceho aktu obsahujúceho a upravujúceho kontinuitu prevádzky následkom kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

445

** vypracovanie postupov zálohovania na obnovu siete a informačného systému po jeho narušení alebo zlyhaní v dôsledku kybernetického bezpečnostného incidentu alebo inej krízovej situácie;

446

** implementácia systému zálohovania.

447

* **Audit a kontrolné činnosti**

448

** Vypracovanie programu posúdenia bezpečnosti na definované informačné technológie verejnej správy, hodnotenia zraniteľností a penetračných testov;

449

** obstaranie prvého alebo opakovaného auditu kybernetickej bezpečnosti v súlade so zákonom o KB;

450

** obstaranie externých testov zraniteľností, penetračných testov a pod.

\\

Nerealizácia projektu by mohla závažný kybernetický bezpečnostný incident, ktorý ma dopad na nasledujúce počty

postihnutých osôb:

* Nedostupnosť isvs_12018 webová stránka zabezpečujúca prístup občanov k informáciám a službám Mestskej časti

459

460

Brastislava – Podunajské Biskupice pre 23 464 obyvateľov ([[https:~~/~~/www.biskupice.sk/zverejnovanie/oznamy/vysledky-scitania-obyvatelov-domov-a-bytov-2021-1021sk.html>>url:https://www.biskupice.sk/zverejnovanie/oznamy/vysledky-scitania-obyvatelov-domov-a-bytov-2021-1021sk.html||shape="rect"]])

461

462

* Žiadateľ je prevádzkovateľom základnej služby pre svojich obyvateľov. Výpadok základnej služby resp. ISVS a jej obmedzenie alebo narušenie prevádzky má dopad v rozsahu viac ako 10 000 hodín.

463

* V rámci súčasného stavu v prípade nefunkčnosti informačných systémov nie je k dispozícii náhradné riešenie.

464

465

Na základe vyššie uvedeného vyplýva, že potenciálny incident by viedol ku konaniu, ktoré ohrozuje dostupnosť, pravosť, integritu alebo dôvernosť uchovávaných, prenášaných alebo spracúvaných údajov alebo súvisiacich služieb organizácie poskytovaných alebo prístupných prostredníctvom týchto sietí a informačných systémov, ktorá postihuje najmenej 23 464 osôb.

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.3Zainteresovanéstrany/Stakeholderi"/}}3.3 Zainteresované strany/Stakeholderi ==

\\

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Mestská časť Bratislava – Podunajské Biskupice

)))|(((

Žiadateľ

)))|(((

Poskytovateľ základnej služby

)))|(((

isvs_12018

)))

\\

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.4Cieleprojektu"/}}3.4 Ciele projektu ==

\\

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

\\

\\

Názov cieľa

)))|(((

Názov strategického cieľa

526

)))|(((

527

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1.

)))|(((

RSO 1.2 Využívanie prínosov

533

534

digitalizácie pre občanov, podniky,

výskumn

)))|(((

Zlepšovanie technologického,

539

540

procesného, infraštruktúrneho,

541

542

vedomostného a organizačného

543

544

zabezpečenia zručností a kapacít pre

545

546

plnenie úloh v oblasti KIB v prostredí

547

548

orgánov štátnej a verejnej správy.

549

)))|(((

550

Implementácia tohto projektu

)))

**~ **

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.5Merateľnéukazovatele(KPI)"/}}3.5 Merateľné ukazovatele (KPI) ==

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

(% class="" %)|(((

VÝSTUP

PO095 /

PSKPSO

I12

)))|(((

RSO 1.2

Využívanie prínosov digitalizácie pre občanov,

podniky,

výskumné

organizácie a orgány

verejnej

správy

)))|(((

Verejné

inštitúcie

podporované v

rozvoji

kybernetických

služieb,

produktov a

procesov

)))|(((

Počet verejných inštitúcií, ktoré sú podporované za

630

631

účelom rozvoja a modernizácie kybernetických

632

633

služieb, produktov, procesov a zvyšovania

634

635

vedomostnej úrovne napríklad v kontexte opatrení

636

637

smerujúcich k elektronickej bezpečnosti verejnej

správy.

)))|(((

Verejná inštitúcia

)))|(((

0

)))|(((

1

)))|(((

MetaIS

)))|(((

n/a

)))

(% class="" %)|(((

VÝSLEDO

K

PR017 /

PSKPRCR

11

)))|(((

RSO 1.2

Využívanie prínosov digitalizácie pre občanov,

podniky,

výskumné

organizácie a orgány

verejnej

správy

)))|(((

Používatelia

nových a

vylepšených

verejných

digitálnych

služieb,

produktov a

procesov

)))|(((

Počet

používateľov,

pre ktoré budú

doručené

zlepšené procesy

ako výstupy

projektu

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

50

)))|(((

MetaIS

)))|(((

n/a

)))

\\

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.6Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6 Špecifikácia potrieb koncového používateľa ==

722

723

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

.

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.7Rizikáazávislosti"/}}3.7 Riziká a závislosti ==

728

729

Príloha č. 1 tohto projektového zámeru I_01_PRILOHA_1_REGISTER_ RIZIK-a-ZAVISLOSTI.xlsx, ktorý tvorí aj prílohu ŽoNFP.

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.8Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8 Stanovenie alternatív v biznisovej vrstve architektúry ==

// //

Stanovenie alternatív v biznisovej vrstve architektúry je nasledovný:

738

739

1. Alternatíva 1: „nulový variant“ – ponechanie súčasného stavu bez realizácie akýchkoľvek aktivít smerujúcich k zvýšenie KIB podľa ZoKB a ZoITVS.

\\

1. Alternatíva 2: „minimalistický variant“ – realizácia aktivít k zvýšeniu KIB podľa ZoKB a ZoITVS rámci zdrojov, kapacít a rozpočtu organizácie, čo predstavuje realizáciu za veľmi dlhý čas a najmä aktuálny nedostatok ľudských zdrojov na implementáciu všetkých potrebných bezpečnostných riešení.

\\

1. Alternatíva 3: „preferovaný variant“ – realizácia aktivít k zvýšeniu KIB podľa ZoKB a ZoITVS prostredníctvom implementácie tohto projektu

\\

(% class="wrapped" %)

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

STAKEHOLDER

1

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A (KO)

)))|(((

Implementácia súladu KIB s legislatívnymi požiadavkami ZoKB a ZoITVS v organizácií žiadateľa

)))|(((

X

)))

(% class="" %)|(((

Kritérium B

)))|(((

Efektivita implementácie KIB

)))|(((

X

)))

(% class="" %)|(((

Kritérium C

)))|(((

Menší dopad na rozpočet žiadateľa

)))|(((

X

)))

\\

\\

\\

\\

\\

\\

\\

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.9Multikriteriálnaanalýza"/}}3.9 Multikriteriálna analýza ==

\\

\\

**__Vyhodnotenie MCA:__**

\\

(% class="wrapped" %)

(% class="" %)|(((

**// //**

)))|(((

KRITÉRIUM

)))|(((

ZDÔVODNENIE KRIÉRIA

)))|(((

STAKEHOLDER

1

)))

(% class="" %)|(% rowspan="3" %)(((

BIZNIS VRSTVA

// //

)))|(((

Kritérium A (KO)

)))|(((

Implementácia súladu KIB s legislatívnymi požiadavkami ZoKB a ZoITVS v organizácií žiadateľa

)))|(((

X

)))

(% class="" %)|(((

Kritérium B

)))|(((

Efektivita implementácie KIB

)))|(((

X

)))

(% class="" %)|(((

Kritérium C

)))|(((

Menší dopad na rozpočet žiadateľa

)))|(((

X

)))

\\

\\

(% class="wrapped" %)

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva

1

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Kritérium A

)))|(((

Nie

)))|(((

Ponechanie AS IS stavu

)))|(((

Áno

)))|(((

Áno, žiadateľ implementuje požiadavky KIB vyplývajúce z legislatívy do svojej organizácie na vlastné náklady

)))

(% class="" %)|(((

Kritérium B

)))|(((

Nie

)))|(((

Ponechanie AS IS stavu

)))|(((

Nie

)))|(((

Nie, z dôvodu rozpočtu organizácie implementácia požiadaviek KIB bude realizovaná vlastnými kapacitami, čo má dopad na dlhšiu implementáciu.

)))

(% class="" %)|(((

Kritérium C

)))|(((

Nie

)))|(((

Ponechanie AS IS stavu

)))|(((

Nie

)))|(((

Nie, implementácia KIB by mala byť financovaná vlastnými zdrojmi,

)))

\\

\\

(% class="wrapped" %)

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva

3

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Kritérium A

)))|(((

Áno

)))|(((

Áno, žiadateľ implementuje požiadavky vyplývajúce z legislatívy do svojej organizácie prostredníctvom projektu financovaného z PSK.

)))

(% class="" %)|(((

Kritérium B

)))|(((

Áno

)))|(((

Áno, implementácia KIB prostredníctvom outsourcingu, ktoré by bolo financované prostredníctvom PSK.

)))

(% class="" %)|(((

Kritérium C

)))|(((

Áno

)))|(((

Áno, v prípade schválenia ŽoNFP, žiadateľ môže čerpať finančné prostriedky prostredníctvom PSK a tým pádom je menši dopad na rozpočet organizácie.

)))

**__ __**

**__Na základe vyhodnotenia vyššie uvedenej multikriterálnej analýzy je najvhodnejším variantom alternatíva 3.__**

// //

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.10Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10 Stanovenie alternatív v aplikačnej vrstve architektúry ==

// //

\\

Aplikačná architektúra bude pre jednotlivé biznis funkcie, uvedené v časti biznis architektúry, tvorená nasledovnými aplikačnými modulmi:

960

961

* Riadenie aktív a riadenie rizík.

962

** Implementácia nástroja na evidenciu aktív a realizáciu AR/BIA.

963

* Riadenie prístupov.

964

** Implementácia VPN a 2FA.

965

** Zavedenie 2FA pre administrátorov pre prístup k IS a zariadeniam.

966

* Hodnotenie zraniteľností.

967

** Implementácia nástroja na skenovanie zraniteľností.

968

* Ochrana proti škodlivému kódu.

969

** Rozšírenie aktuálnej AV ochrany aj o EDR/XDR ochranu.

970

* Zaznamenávanie udalostí a monitorovanie.

971

** Implementácia LMS a SIEM.

972

* Riešenie kybernetických bezpečnostných incidentov.

973

* Ochrana dát

974

** Implementácia DLP nástroja.

975

* Zálohovanie

976

** Implementácia nástroja pre automatizované zálohovanie kritických dát na viacerých miestach a technológie (% style="letter-spacing: 0.0px;" %)rýchlej obnovy dát v prípade zlyhania alebo útoku.

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-3.11Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11 Stanovenie alternatív v technologickej vrstve architektúry ==

\\

Z pohľadu TO-BE stavu bude finálna technologická vrstva závislá od výsledkov verejného obstarávania a technológie, ktorú ponúkne víťazný uchádzač. Predpokladom však je, že väčšina bezpečnostných riešení bude nasadená do virtuálneho prostredia organizácie a niektoré riešenia budú nasadené ako samostatný́ HW appliance, prípadne budú nasadení rôzni agenti do infraštruktúry organizácie.

\\

= {{id name="projekt_2730_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

989

990

Požadované výstupy projektu sú:

991

992

1. Manažérske a špecializované výstupy podľa Vyhlášky č. 401/2023 Z.z. o riadení projektov.

993

1. Produkty projektu:

994

995

(% class="wrapped" %)

(% class="" %)|(((

**__ID__**

)))|(((

**__Produkt__**

)))|(((

**__Popis__**

)))

(% class="" %)|(((

1.1

)))|(((

Vypracovanie smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti

1007

)))|(((

1008

Výstupom aktivity budú vytvorené/aktualizované nasledovné smernice a dokumenty:

1009

1010

· Stratégia kybernetickej bezpečnosti.

1011

1012

· Bezpečnostná politika.

1013

1014

· Bezpečnostná smernica pre používateľov.

1015

1016

· Smernica o bezpečnej prevádzke IS pre administrátorov.

1017

1018

· Smernica pre riadenie informačnej bezpečnosti.

1019

1020

· Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej a v súlade s NBÚ metodikou a prispôsobenej podmienkam organizácie.

1021

1022

· Smernica klasifikácie a kategorizácie IS a sietí.

1023

1024

· Smernica riadenia prístupových práv.

1025

1026

· Smernica pre riadenie dodávateľských služieb a 3tich strán.

1027

1028

· Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS.

1029

1030

· Smernica o monitorovaní a riešení bezpečnostných incidentov.

)))

(% class="" %)|(((

1.2

)))|(((

Identifikácia a evidencia aktív

1036

)))|(((

1037

Vykonanie identifikácie a evidencie všetkých informačných aktív organizácie.

)))

(% class="" %)|(((

1.3

)))|(((

Vykonanie klasifikácie informácií a kategorizácia sietí a informačných systémov

1043

)))|(((

1044

Vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy.

1045

1046

Na klasifikácii sa budú podieľať aj interní zamestnanci, cieľom projektu je aj transfer know- how, aby si bola organizácia schopná klasifikáciu následne realizovať aj vlastnými silami.

)))

(% class="" %)|(((

1.4

)))|(((

Realizácia AR/BIA

)))|(((

Zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA vytvorenou v bode 1.1 a zaevidovanie výsledkov do nástroja na evidenciu aktív a aktualizáciu AR/BIA uvedeného v bode 2.1. Predmetom dodávky bude aj vytvorenie katalógu rizík a podpora pri procese jeho formálneho schvaľovania vedením organizácie.

)))

(% class="" %)|(((

2.1

)))|(((

Nástroj na udržiavanie aktív a aktualizáciu AR/BIA

1059

)))|(((

1060

Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív a pravidelné vykonávanie aktualizácie AR/BIA.

)))

(% class="" %)|(((

2.2

)))|(((

Nasadenie EDR/XDR a rozšírenie existujúcej AV ochrany

1066

)))|(((

1067

Prevencia, detekcia a reakcia na bezpečnostné incidenty využívajúca technológiu XDR, ktorá poskytuje zvýšenú viditeľnosť a prehľad na všetkých úrovniach v kombinácii s threat-hunting schopnosťami, s kompletnou viacvrstvovou ochranou vrátane koncových staníc a dát (EDR).

1068

1069

Súčasťou riešenia bude aj rozšírenie analytických a detekčných schopností existujúceho AV riešenia.

)))

(% class="" %)|(((

2.3

)))|(((

Zavedenie procesov riadenia kontinuity (BCM)

1075

)))|(((

1076

V rámci aktivity bude vytvorená politika riadenia kontinuity. Následne na základe výsledkov AR/BIA budú spracované nasledovné výstupy:

1077

1078

· Určená stratégia obnovy pre každý jeden IS (na základe výsledkov AR/BIA - RTO).

1079

1080

· Plány a postupy zálohovania IS resp. webového sídla (na základe výsledkov AR/BIA - RPO).

1081

1082

· BCP pre najkritickejšie biznis procesy.

1083

1084

DRP pre systém a podporné a infraštruktúrne IS, bez ktorých nie je možné plne prevádzkovať IS (napr. základná sieťová infraštruktúra, FW, AD, DC, autentifikačný server a pod.).

)))

(% class="" %)|(((

2.4

)))|(((

Zálohovanie

)))|(((

Implementáciou pokročilých zálohovacích riešení sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

)))

(% class="" %)|(((

2.5

)))|(((

DLP (ochrana dát)

)))|(((

Implementácia DLP riešenia pre ochranu pred únikom citlivých informácií. Riešenie ochrany pred únikom informácií, ktoré identifikuje nebezpečné alebo nevhodné zdieľanie, prenos alebo používanie citlivých údajov a pomáha im predchádzať.

)))

(% class="" %)|(((

3.1

)))|(((

Audit KB

)))|(((

Pre-financovanie auditu kybernetickej bezpečnosti v zmysle §29 zákona č. 69/2018 Z. z. o kybernetickej bezpečnosti, ktorý bude zrealizovaný tesne pred ukončením projektu.

)))

(% class="" %)|(((

3.2

)))|(((

Aktualizácia AR/BIA

)))|(((

Vzhľadom na odhadované trvanie projektu približne 1 rok, a značné zmeny, ktoré implementácie projektu prinesie, je žiadúce tesne pred ukončením projektu vykonať aj aktualizáciu AR/BIA. Prvotná AR/BIA bude zrealizovaná hneď na začiatku projektu.

)))

\\

\\

\\

= {{id name="projekt_2730_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1122

1123

Náhľad architektúry sa nachádza v dokumente Prístup k projektu.

\\

// //

== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1Prehľade-Governmentkomponentov"/}}5.1 Prehľad e-Government komponentov ==

1130

1131

**__Ak bude vytváraný aj výstup I-03 Prístup k projektu, môže byť táto kapitola z dokumentu I-02 Projektový zámer vypustená, pretože jej obsah bude spracovaný vo výstupe I-03 Prístup k projektu.__**

**__ __**

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}5.1.1 Prehľad koncových služieb – budúci stav: ===

1136

1137

Irelevantné. Projekt nevytvára koncové služby.

1138

1139

(% class="wrapped" %)

(% class="" %)|(((

Kód KS

//(z MetaIS)//

)))|(((

Názov KS

)))|(((

Používateľ KS //(G2C/G2B/G2G/G2A)//

)))|(((

Životná situácia

//(+ kód z MetaIS)//

)))|(((

Úroveň elektronizácie KS

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

)))|(((

Vyberte jednu z možností

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

)))|(((

Vyberte jednu z možností

)))

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.2Prehľadbudovaných/rozvíjanýchISVSvprojekte–budúcistav:"/}}5.1.2 Prehľad budovaných/rozvíjaných ISVS v projekte – budúci stav: ===

1181

1182

Irelevantné. Projekt nevytvára/nerozvíja ISVS.

1183

1184

(% class="wrapped" %)

1185

(% class="" %)|(((

1186

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

1199

1200

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

☐

)))|(((

Vyberte jednu z možností

1210

)))|(((

1211

Vyberte jednu z možností

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

☐

)))|(((

Vyberte jednu z možností

1223

)))|(((

1224

Vyberte jednu z možností

)))|(((

\\

)))

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.3Prehľadbudovanýchaplikačnýchslužieb–budúcistav:"/}}5.1.3 Prehľad budovaných aplikačných služieb – budúci stav: ===

1232

1233

Irelevantné. Projekt nevytvára aplikačné služby.

1234

1235

(% class="wrapped" %)

(% class="" %)|(((

Kód AS

//(z MetaIS)//

)))|(((

Názov AS

)))|(((

ISVS/modul ISVS

//(kód z MetaIS)//

)))|(((

Aplikačná služba realizuje KS

1248

1249

//(kód KS z MetaIS)//

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

)))

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.4PrehľadintegráciiISVSnaspoločnéISVS[1]aISVSinýchOVMaleboIStretíchstrán"/}}5.1.4 Prehľad integrácii ISVS na spoločné ISVS^^**[1]**^^ a ISVS iných OVM alebo IS tretích strán ===

1273

1274

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

(% class="wrapped" %)

(% class="" %)|(((

Kód ISVS

//(z MetaIS)//

)))|(((

Názov ISVS

)))|(((

Kód integrovaného ISVS

//(z MetaIS)//

)))|(((

Názov integrovaného ISVS

)))

(% class="" %)|(((

)))|(((

\\

)))|(((

// //

)))|(((

// //

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

// //

)))|(((

// //

)))

\\

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.5Aplikačnéslužbynaintegráciu"/}}5.1.5 Aplikačné služby na integráciu ===

1318

1319

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

\\

(% class="wrapped" %)

(% class="" %)|(((

AS

(Kód MetaIS)

)))|(((

Názov AS

)))|(((

Realizuje ISVS

(kód MetaIS)

)))|(((

Poskytujúca alebo Konzumujúca

)))|(((

Integrácia cez CAMP

)))|(((

Integrácia s IS tretích strán

)))|(((

SaaS

)))|(((

Integrácia na AS poskytovateľa

(kód MetaIS)

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

Poskytovaná / Konzumujúca

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

Poskytovaná / Konzumujúca

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

)))

(% class="" %)|(((

)))|(((

)))|(((

)))|(((

Poskytovaná / Konzumujúca

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

Áno/Nie

)))|(((

)))

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.6PoskytovanieúdajovzISVSdoISCSRÚ"/}}5.1.6 Poskytovanie údajov z ISVS do IS CSRÚ ===

1404

1405

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

\\

(% class="wrapped" %)

(% class="" %)|(((

ID OE

)))|(((

Názov (poskytovaného) objektu evidencie

1416

)))|(((

1417

Kód ISVS poskytujúceho OE

1418

)))|(((

1419

Názov ISVS poskytujúceho OE

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.7KonzumovanieúdajovzISCSRÚ"/}}5.1.7 Konzumovanie údajov z IS CSRÚ ===

1452

1453

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

\\

\\

__ __

(% class="wrapped" %)

(% class="" %)|(((

ID OE

)))|(((

Názov (konzumovaného) objektu evidencie

1468

)))|(((

1469

Kód a názov ISVS konzumujúceho OE z IS CSRÚ

1470

)))|(((

1471

Kód zdrojového ISVS v MetaIS

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

\\

=== {{id name="projekt_2730_Projektovy_zamer_detailny-5.1.8Prehľadplánovanéhovyužívaniainfraštruktúrnychslužieb(cloudovýchslužieb)–budúcistav:"/}}5.1.8 Prehľad plánovaného využívania infraštruktúrnych služieb (cloudových služieb) – budúci stav: ===

1506

1507

Irelevantné. Projekt implementuje bezpečnostné opatrenia.

\\

(% class="wrapped" %)

(% class="" %)|(((

Kód infraštruktúrnej služby

//(z MetaIS)//

)))|(((

Názov infraštruktúrnej služby

1522

)))|(((

1523

**Kód využívajúceho ISVS**

//(z MetaIS)//

)))|(((

**Názov využívajúceho ISVS**

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

// //

)))|(((

// //

)))

(% class="" %)|(((

\\

)))|(((

\\

)))|(((

// //

)))|(((

// //

)))

\\

V súlade s NKIVS by technologická architektúra mala byť založená na cloudových službách uvedených v katalógu služieb, ktoré prešli procesom klasifikácie, hodnotenia, registrácie a zaradenia do katalógu služieb zverejnenom na stránke MIRRI: [[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/egovernment/vladny-cloud/katalog-cloudovych-sluzieb>>url:https://www.mirri.gov.sk/sekcie/informatizacia/egovernment/vladny-cloud/katalog-cloudovych-sluzieb||shape="rect"]]//.//

\\

= {{id name="projekt_2730_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1555

1556

Irelevantné. Projekt nevyvoláva legislatívne zmeny. Projekt implementuje bezpečnostné opatrenia vyplývajúce zo ZoKB a ZoITVS.

= {{id name="projekt_2730_Projektovy_zamer_detailny-7.ROZPOČETAPRÍNOSY"/}}7. ROZPOČET A PRÍNOSY =

1561

1562

Pre účely výpočtu predpokladanej hodnoty zákazky bol uplatnený́ spôsob na základe údajov získaných prieskumom trhu výzvou/oslovením minimálne troch potenciálnych dodávateľov a ich následného predloženia cenových ponúk. Výsledkom cenového prieskumu je zistená priemerná cena s DPH za jednotlivé položky:

1563

1564

(% class="wrapped" %)

(% class="" %)|(((

**__ID__**

)))|(((

**__Položka__**

)))|(((

**__Počet__**

)))|(((

**__Suma v EUR s DPH__**

)))

(% class="" %)|(((

1.1

)))|(((

Vypracovanie smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti

1578

)))|(% rowspan="4" %)(((

1 komponent

)))|(% rowspan="4" %)(((

15 920,00 EUR

)))

(% class="" %)|(((

1.2

)))|(((

Identifikácia a evidencia aktív

)))

(% class="" %)|(((

1.3

)))|(((

Vykonanie klasifikácie informácií a kategorizácia sietí a informačných systémov

)))

(% class="" %)|(((

1.4

)))|(((

Realizácia AR/BIA

)))

(% class="" %)|(((

2.1

)))|(((

Nástroj na udržiavanie aktív a aktualizáciu AR/BIA

)))|(((

1 komponent

)))|(((

33 360,00 EUR

)))

(% class="" %)|(((

2.2

)))|(((

Nasadenie EDR/XDR a rozšírenie existujúcej AV ochrany

)))|(((

1 komponent

)))|(((

84 880,00 EUR

)))

(% class="" %)|(((

2.3

)))|(((

Zavedenie procesov riadenia kontinuity (BCM)

)))|(((

1 komponent

)))|(((

35 680,00 EUR

)))

(% class="" %)|(((

2.4

)))|(((

Zálohovanie

)))|(((

1 komponent

)))|(((

14 580,00 EUR

)))

(% class="" %)|(((

2.5

)))|(((

DLP (ochrana dát)

)))|(((

1 komponent

)))|(((

119 200,00 EUR

)))

(% class="" %)|(((

3.1

)))|(((

Audit KB

)))|(((

1 komponent

)))|(((

9 720,00 EUR

)))

(% class="" %)|(((

3.2

)))|(((

Aktualizácia AR/BIA

)))|(((

1 komponent

)))|(((

2 708,00 EUR

)))

(% class="" %)|(((

4.1

)))|(((

Interní zamestnanci organizácie

1685

)))|(((

1686

1,5 FTE x 12 mesiacov

)))|(((

58 730,40 EUR

)))

(% class="" %)|(((

5.

)))|(((

Nepriame výdavky 7%

)))|(((

Projekt

)))|(((

26 234,49 EUR

)))

(% class="" %)|(% colspan="3" %)(((

**CELKOM**

)))|(((

**401 012,89 EUR**

)))

Podporné aktivity (t.j. Projektové riadenie a Publicita projektu) budú realizované v rozpočte projektu do maximálnej výšky 7%.

= {{id name="projekt_2730_Projektovy_zamer_detailny-8.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUAMETÓDAJEHORIADENIA"/}}8. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA =

1718

1719

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

06/2024

)))|(((

12/2024

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))

(% class="" %)|(((

2a

)))|(((

Analýza a Dizajn

)))|(((

01/2025

)))|(((

03/2025

)))

(% class="" %)|(((

2b

)))|(((

Nákup technických prostriedkov, programových prostriedkov a služieb

)))|(((

01/2025

)))|(((

12/2025

)))

(% class="" %)|(((

2c

)))|(((

Implementácia a testovanie

)))|(((

04/2025

)))|(((

09/2025

)))

(% class="" %)|(((

2d

)))|(((

Nasadenie a PIP

)))|(((

10/2025

)))|(((

11/2025

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

01/2031

)))

\\

\\

**Projekt bude realizovaný metódou Waterfall:**

1811

1812

Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný postup a rozdelenie prác.

\\

// //

// //

\\

\\

= {{id name="projekt_2730_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

1825

1826

Zostavuje sa **Riadiaci výbor (RV),** v minimálnom zložení:

* Predseda RV

* Biznis vlastník

* Zástupca prevádzky

* Zástupca dodávateľa (dopĺňa sa až po VO / voliteľný člen)

1832

1833

Zostavuje sa **Projektový tím objednávateľa**

1834

1835

* Projektový manažér objednávateľa (PM)

1836

* Manažér KIB

1837

* kľúčový používateľ,

1838

* IT analytik alebo biznis analytik,

* IT architekt,

* biznis vlastník

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

2.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

3.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

4.

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))

\\

(% class="wrapped" %)

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

1.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

2.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

3.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

4.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

5.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

(% class="" %)|(((

6.

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))|(((

TBD

)))

**~ **

**~ **

\\

\\

== {{id name="projekt_2730_Projektovy_zamer_detailny-9.1PRACOVNÉNÁPLNE"/}}9.1 PRACOVNÉ NÁPLNE ==

\\

Podrobné pracovné náplne, povinnosti projektového tímu:

\\

* **Projektový manažér**

1997

** zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1998

** zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1999

** zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

// //

* **Manažér KIB**

** zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

2005

** koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti.

\\

* **Kľúčový používateľ**

2010

** zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

\\

* zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

2015

* Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov.

// //

* **Biznis vlastník**

2020

** zodpovedá za proces - jeho výstupy i celkový priebeh poskytnutia služby alebo produktu konečnému užívateľovi. Kľúčová rola na strane zákazníka (verejného obstarávateľa), ktorá schvaľuje biznis požiadavky a zodpovedá za výsledné riešenie, prínos požadovanú hodnotu a naplnenie merateľných ukazovateľov. Úlohou tejto roly je definovať na užívateľa orientované položky (user-stories), ktoré budú zaradzované a prioritizované v produktovom zásobníku. Zodpovedá za priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane DNR z pohľadu analýzy a návrhu riešenia aplikácii IS.

2021

** zodpovedný za schválenie funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu. Definuje očakávania na kvalitu projektu, kvalitu projektových produktov, prínosy pre koncových používateľov a požiadavky na bezpečnosť. Definuje merateľné výkonnostné ukazovatele projektov a prvkov. Vlastník procesov schvaľuje akceptačné kritériá, rozsah a kvalitu dodávaných projektových výstupov pri dosiahnutí platobných míľnikov, odsúhlasuje spustenie výstupov projektu do produkčnej prevádzky a dostupnosť ľudských zdrojov alokovaných na realizáciu projektu.

// //

* **IT analytik**

** zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

2027

** analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

2028

** Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

2029

** Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

2030

** Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

\\

* **IT Architekt**

**~ **

* zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

2039

* vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

2040

* zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

2041

2042

= {{id name="projekt_2730_Projektovy_zamer_detailny-10.ODKAZY"/}}10. ODKAZY =

n/a

= {{id name="projekt_2730_Projektovy_zamer_detailny-11.PRÍLOHY"/}}11. PRÍLOHY =

\\

**Príloha :**

1. Zoznam rizík a závislostí (Excel): [[//https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html//>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]]

2055

1. Katalóg požiadaviek

\\

[1] Spoločné moduly podľa zákona č. 305/2013 e-Governmente

Wiki zdrojový kód pre projekt_2730_Projektovy_zamer_detailny