projekt_2747_Pristup_k_projektu_detailny

V súlade s Vyhláškou 401/2023 Z.z. je dokument I-03 Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu, budúceho stavu a navrhovaného riešenia.

105

106

Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky a požiadaviek výzvy: Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni – verejná správa, číslo výzvy: PSK-MIRRI-611-2024-DV-EFRR (ďalej len „výzva“) bude obsahovať opis navrhovaného riešenia, architektúru riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov, prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.

107

108

V zmysle usmernenia MIRRI SR sa v projektovej dokumentácii (ani v žiadosti) nešpecifikujú detailne konkrétne riziká a dopady a nezverejňuje sa podrobná dokumentácia toho, kde sú najväčšie riziká IT systémov a uvádzajú sa iba oblasti identifikovaných rizík a dopadov. Zároveň je možné manažérske produkty napísať všeobecne.

109

110

== {{id name="projekt_2747_Pristup_k_projektu_detailny-2.1Použitéskratkyapojmy"/}}2.1 Použité skratky a pojmy ==

111

112

113

Z hľadiska formálneho sú použité skratky a pojmy rámci celého dokumentu definované priebežne, štandardne pri prvom použití v zátvorke označením „ďalej len“).

== {{id name="projekt_2747_Pristup_k_projektu_detailny-2.2Konvenciepretypypožiadaviek(príklady)"/}}2.2 Konvencie pre typy požiadaviek (príklady) ==

118

119

120

V rámci projektu budú definované tri základné typy požiadaviek:

121

122

**Funkčné (používateľské) požiadavky **majú nasledovnú konvenciu:

**Fxx**

* F – funkčná požiadavka

127

* xx – číslo požiadavky

128

129

**Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky** majú nasledovnú konvenciu:

**Nxx**

* N – nefunkčná požiadavka (NFR)

134

* xx – číslo požiadavky

135

136

137

**Technické požiadavky** majú nasledovnú konvenciu:

**Txx**

* T – technická požiadavka

142

* xx – číslo požiadavky

143

144

145

= {{id name="projekt_2747_Pristup_k_projektu_detailny-3.Popisnavrhovanéhoriešenia"/}}3. Popis navrhovaného riešenia =

146

147

148

Navrhované riešenie vychádza z aktuálnych zistení posledného auditu kybernetickej bezpečnosti Mesta Prešov. Ten definuje aktuálny stav a potreby, ktoré je nevyhnuté riešiť pre dosiahnutie súladu úrovne kybernetickej a informačnej bezpečnosti (ďalej len KIB) so zákonom č. 69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov (ďalej len “zákon o kybernetickej bezpečnosti), Zákonom č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov (ďalej len “zákon o ISVS”), vyhláškou 362/2018 Z.z. o obsahu bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení (ďalej len vyhláška č. 362/2018 Z. z.) a ďalšími súvisiacimi predpismi.

149

150

V rámci projektového zámeru boli stanovené nasledovné ciele a spôsob ich riešenia:

|(((

**ID**

)))|(((

**~ **

**~ **

**Názov cieľa**

)))|(((

**Názov strategického cieľa***

163

)))|(((

164

**Spôsob realizácie strategického cieľa**

)))

|(((

1

)))|(((

Zvýšenie kvality organizácie KIB

170

171

172

Cieľ realizovaný v zmysle oprávnenej podaktivity: Organizácia kybernetickej a informačnej bezpečnosti

)))|(((

Dôveryhodný štát pripravený na hrozby

177

178

179

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

)))|(((

Revízia a aktualizácia existujúcej bezpečnostnej dokumentácie, interných aktov, bezpečnostného projektu ISVS a zavedenie procesov a činností na podporu KIB v zmysle týchto dokumentov.

)))

|(((

2.

)))|(((

Zvýšenie kvality riadenia rizík KIB

189

190

191

Cieľ realizovaný v zmysle oprávnenej podaktivity: Riadenie rizík kybernetickej a informačnej bezpečnosti

)))|(((

Dôveryhodný štát pripravený na hrozby

196

197

198

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

199

)))|(((

200

Revízia a aktualizácia inventarizácie aktív, vypracovanie a implementácia potrebných dokumentov vrátane vypracovania a implementácie interného riadiaceho aktu riadenia rizík kybernetickej a informačnej bezpečnosti

201

202

203

Zavedenie nástroja pre procesno-organizačné riadenie kybernetickej bezpečnosti.

)))

|(((

3.

)))|(((

Zavedenie riadenia personálnej bezpečnosti

211

212

213

Cieľ realizovaný v zmysle oprávnenej podaktivity: Personálna bezpečnosť

214

)))|(((

215

Dôveryhodný štát pripravený na hrozby

216

217

218

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

219

)))|(((

220

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie interného nástroja na bezpečnostné testovanie zamestnancov formou phishingových kampaní vrátnane iniciálneho testovania zamestnancov a  zaškolenie administrátorov

)))

|(((

4.

)))|(((

Zabezpečenie riadenia prístupov

226

227

228

Cieľ realizovaný v zmysle oprávnenej podaktivity: Riadenie prístupov a Riadenie kybernetickej a informačnej bezpečnosti vo vzťahoch s tretími stranami

229

)))|(((

230

Dôveryhodný štát pripravený na hrozby

231

232

233

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

234

)))|(((

235

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie MFA (Multi-faktorovej autentifikácie) na všetky VPN pripojenia a na prístup „power users“ k správe IS

)))

|(((

5.

)))|(((

Zabezpečenie bezpečnosti prevádzky IS a sietí

241

242

243

Cieľ realizovaný v zmysle oprávnenej podaktivty: Sieťová a komunikačná bezpečnosť

)))|(((

Dôveryhodný štát pripravený na hrozby

249

250

251

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

252

)))|(((

253

Obstaranie New Generation Firewall (NGFW) na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie vrátane implementačných, konzultačných konfiguračných prác a zaškolenie administrátorov.

)))

|(((

6.

)))|(((

Upgrade existujúceho SIEM riešenia a zabezpečenie služby SOC

259

260

261

Cieľ realizovaný v zmysle oprávnených podaktivít: Bezpečnosť pri prevádzke informačných systémov a sietí, Ochrana proti škodlivému kódu, Zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

262

)))|(((

263

Dôveryhodný štát pripravený na hrozby

264

265

266

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

267

)))|(((

268

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre upgrade existujúceho SIEM riešenia na systém so SOAR

269

270

271

Rozvoj o nasledujúce funkcionality:

272

273

274

● zber a vyhodnocovanie sieťovej komunikácie pre zabezpečnenie komplexného monitoringu a možnosti vyhodncovania bezpečnostých udalostí,

275

276

● SIEM riešenie s automatizačným workflow a funkcionalitou plnej automatizácie bez nutnosti ľudského rozhodovania (SOAR),

277

278

● tvorba workflow v grafickom rozhraní bez nutnosti učenia sa programovacieho jazyka,

279

280

● podpora vstavaných out-of-the-box šablón s automatizačným workflow aj bez nutnosti vývoja aplikácie, alebo použitia API rozhrani,

281

282

● manažment SOAR súčasťou jednej konzoly s existujúcim SIEM riešením

283

284

285

Zabezpečenie služby bezpečnostného monitoringu od externého subjektu (SOC as a service) a zladenie interných procesov riešenia bezpečnostných incidentov s procesmi SOC

)))

|(((

7.

)))|(((

Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov

291

292

293

Cieľ realizovaný v zmysle oprávnených podaktivít: Bezpečnosť pri prevádzke informačných systémov a sietí, Hodnotenie zraniteľností a bezpečnostných aktualizácií, Ochrana proti škodlivému kódu, zaznamenávanie udalostí a monitorovanie, Riešenie kybernetických bezpečnostných incidentov

294

)))|(((

295

Dôveryhodný štát pripravený na hrozby

296

297

298

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

299

)))|(((

300

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov (serverov) vrátane funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam

301

302

303

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie HelpDesk nástroja.

304

305

306

Dodanie licencií, implementačných, konzultačných a konfiguračných prác pre zavedenie nástroja na change management CMDB.

)))

|(((

8.

)))|(((

Zabezpečenie kontinuity prevádzky

312

313

314

Cieľ realizovaný v zmysle oprávnených podaktivít: Zaznamenávanie udalostí a monitorovanie a Riešenie kybernetických bezpečnostných incidentov

315

)))|(((

316

Dôveryhodný štát pripravený na hrozby

317

318

319

(Realizovanie opatrení kybernetickej a informačnej bezpečnosti)

320

)))|(((

321

Realizácia dokumentácie

)))

= {{id name="projekt_2747_Pristup_k_projektu_detailny-4.Architektúrariešeniaprojektu"/}}4. Architektúra riešenia projektu =

327

328

329

Architektúra celého riešenia je v zmysle usmernenia MIRRI SR rámcová tak, aby bolo z projektu zrejmé, ktoré komponenty v rámci realizácie projektu budú vytvorené (a budú realizovať opatrenia KIB).

330

331

332

Primárne opatrenia kybernetickej bezpečnosti chránia IS Mesta Prešov, ktoré sú určené na prevádzkovanie základnej služby Mesta Prešov. Z vyššie definovaných spôsobov realizácie cieľov (viď kapitola 3 Popis navrhovaného riešenia) je zrejmé, o aké komponenty zabezpečenia pôjde - firewall, nástroje na riadenie personálnej bezpečnosti, upgrade riešenia SIEM a poskytovanie služieb SOC.

333

334

335

//[[image:attach:image-2024-6-25_7-48-59.png]]//

336

337

== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.1Biznisvrstva"/}}4.1 Biznis vrstva ==

338

339

340

Predmetom realizácie projektu bude zavedenie a IT podpora nasledovných business procesov:

341

342

343

* Organizácia a riadenie rizík KIB

344

* Klasifikácia informácií a kategorizácia sietí a informačných systémov

345

* Riadenie aktív, hrozieb a rizík

346

* Riadenie prístupov

347

* Riadenie prevádzky siete a informačného systému

348

* Zaznamenávanie, monitorovanie a riešenie incidentov kybernetickej bezpečnosti

349

* Zabezpečovanie kontinuity prevádzky

350

351

352

Okrem samotného zabezpečenia opatrení KIB v zmysle zákona o kybernetickej bezpečnosti a zákona o ISVS sa projekt bude dotýkať prakticky všetkých biznis procesov, ktoré sú vykonávané Mestom Prešov ako PZS, a ktoré sú realizované prostredníctvom informačných systémov Mesta Prešov za účelom poskytovania základnej služby.

// //

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.1.1Prehľadkoncovýchslužieb–budúcistav:"/}}4.1.1 Prehľad koncových služieb – budúci stav: ===

357

358

359

Projekt nerealizuje koncové služby pre občanov a podnikateľov. Realizáciou projektu dochádza k zavedeniu opatrení kybernetickej a informačnej bezpečnosti (ďalej len KIB), ktoré zabraňujú kybernetickým útokom a na základe toho chránia prevádzku ostatných koncových služieb.

360

361

**Z toho vyplýva, že v rámci projektu nevznikne žiadna nová koncová služba v zmysle zákona o ISVS.**

362

363

364

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.1.2Jazykovápodporaalokalizácia"/}}4.1.2 Jazyková podpora a lokalizácia ===

365

366

367

Projekt bude realizovaný v podobe dokumentov (politiky, plány, stratégie atď.), ktoré budú akceptované výhradne v slovenskom jazyku. Implementované softvérové riešenia budú akceptované v slovenskej, českej alebo na základe súhlasu Mesta Prešov v anglickej mutácií. Dodané softvérové riešenia alebo hardvérové komponenty musia mať návod v slovenskom jazyku. Projektová dokumentácia bude vyhotovovaná v slovenskom alebo českom jazyku. Výstupy z prevádzky systémov budú akceptované v slovenskom, vo výnimočných prípadoch anglickom jazyku, niektoré čiastkové výstupy (napr. logy incidendov) sú akceptované v podobe skriptov, ktoré musí byť možné transformovať do používateľsky zrozumiteľného jazyka resp. zabezpečiť ich vhodnú interpretáciu.

368

369

370

== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2Aplikačnávrstva"/}}4.2 Aplikačná vrstva ==

371

372

373

Aplikačná vrstva bude realizovaná súborom opatrení KIB, ktoré budú ochraňovať IS zabezpečujúce primárne prevádzku základnej služby. V aplikačnej vrstve je potrebné uvažovať o FrontEnd (verejných) častiach základnej služby a Back-Office (neverejných častiach) základnej služby.

374

375

Implementované komponenty - v prípade Mesta Prešov - budú rozdelené do dvoch veľkých celkov - opatrenia, ktoré budú inštalované in situ v rámci Mesta Prešov a opatrenia, ktoré budú poskytované formou služby.

376

377

In Situ budú nasadené nasledovné opatrenia:

378

379

* Firewall (vrátane jeho implementácie a nasadenia)

380

* Switche (vrátane prístupových bodov) – nie sú predmetom dodávky, projekt využije existujúce

381

* Softvér na testovanie zamestnancov

382

* Nástroj na riadenie prístupov a MFA

383

* SIEM vrátane upgradu, ktorý bude realizovaný v rámci projektu

384

* Nástroje ochrany kritických infraštruktúrnych prvkov, a to vrátane helpdesk a change management systému

385

386

387

Formou služby budú implementované

* SOC

Špecifickým opatrením, ktoré nie je zobrazené ako súčasť architektúry sú potom dokumentačné náležitosti, politiky, stratégie a pod., ktoré budú súčasťou realizácie projektu, majú však administratívny a procesný charakter.

393

394

395

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.1Rozsahinformačnýchsystémov–ASIS"/}}4.2.1 Rozsah informačných systémov – AS IS ===

396

397

398

V nasledujúcej tabuľke uvádzame ISVS, ktoré zabezpečujú prevádzku základnej služby Mesta Prešov a budú chránené proti incidentom KIB po ukončení projektu:

|(((

**Kód ISVS **//(z MetaIS)//

)))|(((

**Názov ISVS**

)))|(((

**Modul ISVS**

//(zaškrtnite ak ISVS je modulom)//

)))|(((

**Stav IS VS**

(AS IS)

)))|(((

**Typ IS VS**

)))|(((

**Kód nadradeného ISVS**

418

419

//(v prípade zaškrtnutého checkboxu pre modul ISVS)//

)))

|(((

isvs_12770

)))|(((

Webové sídlo mesta Prešov

)))|(((

☐

)))|(((

Prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10252

)))|(((

Notifikačný systém SMS Info

)))|(((

☐

)))|(((

prevádzkovaný a neplánujem rozvoj

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10251

)))|(((

Elektronické formuláre

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10250

)))|(((

Modul Jednotnej ekonomiky a registratúry organizácií mesta

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

468

)))|(((

469

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

|(((

isvs_10244

)))|(((

Elektronický právny systém

)))|(((

☐

)))|(((

prevádzkovaný a neplánujem rozvoj

481

)))|(((

482

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

|(((

isvs_10243

)))|(((

CMS (redakčný systém) webového sídla mesta

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10241

)))|(((

Dochádzkový systém

)))|(((

☐

)))|(((

prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

isvs_10239

)))|(((

Modul Mestské zastupiteľstvo

)))|(((

☐

)))|(((

prevádzkovaný a neplánujem rozvoj

)))|(((

Agendový

)))|(((

)))

|(((

isvs_10237

)))|(((

Grafický informačný systém - CG GISam

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10235

)))|(((

Modul Open dáta mesta

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_10234

)))|(((

Registratúrny systém CG DISS

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

559

)))|(((

560

Ekonomický a administratívny chod inštitúcie

)))|(((

)))

|(((

isvs_10233

)))|(((

Informačný systém samosprávy - CG ISS

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

|(((

isvs_6311

)))|(((

IS Elektronizácie služieb mesta - CG eGOV

)))|(((

☐

)))|(((

prevádzkovaný a plánujem rozvíjať

)))|(((

Prezentačný

)))|(((

)))

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.2Rozsahinformačnýchsystémov–TOBE"/}}4.2.2 Rozsah informačných systémov – TO BE ===

// //

V rámci projektu nevznikne nový ISVS v zmysle definície zákona o ISVS. Vznikne súbor opatrení, ktorý bude chrániť existujúce ISVS (ich zoznam viď predchádzajúca kapitola) – k nim je vytvorený vzťah realizovaného projektu.

597

598

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.3VyužívanienadrezortnýchaspoločnýchISVS–ASIS"/}}4.2.3 Využívanie nadrezortných a spoločných ISVS – AS IS ===

599

600

601

Projekt nebude využívať nadrezortné a spoločne ISVS .

602

603

604

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.4PrehľadplánovanýchintegráciíISVSnanadrezortnéISVS–spoločnémodulypodľazákonač.305/2013e-Governmente–TOBE"/}}4.2.4 Prehľad plánovaných integrácií ISVS na nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 e-Governmente – TO BE ===

605

606

607

Projekt nebude integrovaný na ISVS a nadrezortné ISVS – spoločné moduly podľa zákona č. 305/2013 o e-Governmente.

608

609

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.5PrehľadplánovanéhovyužívaniainýchISVS(integrácie)–TOBE"/}}4.2.5 Prehľad plánovaného využívania iných ISVS (integrácie) – TO BE ===

610

611

612

Projekt nebude integrovaný na iné ISVS.

613

614

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.6Aplikačnéslužbyprerealizáciukoncovýchslužieb–TOBE"/}}4.2.6 Aplikačné služby pre realizáciu koncových služieb – TO BE ===

615

616

617

V rámci projektu nevznikne žiadna nová aplikačná služba.

618

619

620

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.7Aplikačnéslužbynaintegráciu–TOBE"/}}4.2.7 Aplikačné služby na integráciu – TO BE ===

621

622

623

Predmetom realizácie nebudú žiadne služby určené na integráciu v rámci TO BE stavu.

624

625

626

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.8PoskytovanieúdajovzISVSdoISCSRÚ–TOBE"/}}4.2.8 Poskytovanie údajov z ISVS do IS CSRÚ – TO BE ===

627

628

629

Projekt nebude poskytovať údaje z ISVS do IS CSRÚ.

630

631

632

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.2.9KonzumovanieúdajovzISCSRU–TOBE"/}}4.2.9 Konzumovanie údajov z IS CSRU – TO BE ===

633

634

635

Projekt nebude konzumovať údaje z IS CSRU.

636

637

638

== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3Dátovávrstva"/}}4.3 Dátová vrstva ==

639

640

641

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.1Údajevspráveorganizácie"/}}4.3.1 Údaje v správe organizácie ===

642

643

644

Projekt resp. ním realizovaný ISVS nebude priamo zabezpečovať správu údajov Mesta Prešov, bude spravovať iba údaje nevyhnutné na zabezpečenie KIB Mesta Prešov ako PZS (napríklad údaje logov zo SIEM, informácie o riešení incidentov KIB, zoznam oprávnení a pod.).

645

646

Z toho dôvodu neuvádzame namapovanú štruktúru údajov v správe Mesta Prešov.

647

648

649

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.2Dátovýrozsahprojektu-Prehľadobjektovevidencie-TOBE"/}}4.3.2 Dátový rozsah projektu - Prehľad objektov evidencie - TO BE ===

650

651

652

V rámci realizovaného projektu nevzniknú nové objekty evidencie tak, ako vznikajú v prípade štandardných informačných systémov. Predmetom evidencie nebudú napríklad občania resp. informácie o nich atď. Systém bude viesť evidenciu prístupov a oprávnení, v rámci služby SIEM budú vznikať záznamy o incidentoch a tieto budú vyhodnocované a na základe nich budú prebiehať priamo reakcie na kybernetické incidenty - poskytovateľom služby SOC v súčinnosti so zástupcami Mesta Prešov.

653

654

655

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.3Referenčnéúdaje"/}}4.3.3 Referenčné údaje ===

656

657

658

V rámci projektu nebudú využívané referenčné údaje ani projekt nebude poskytovať referenčné údaje.

659

660

661

==== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.3.1Identifikáciaúdajovprekonzumovaniealeboposkytovanieúdajovdo/zCSRU"/}}4.3.3.1 Identifikácia údajov pre konzumovanie alebo poskytovanie údajov do/z CSRU ====

662

663

664

V rámci projektu nebudú spravované údaje určené na konzumovanie alebo poskytovanie do/z CSRU.

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.4Kvalitaačistenieúdajov"/}}4.3.4 Kvalita a čistenie údajov ===

669

670

671

==== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.4.1Zhodnotenieobjektovevidenciezpohľadudátovejkvality"/}}4.3.4.1 Zhodnotenie objektov evidencie z pohľadu dátovej kvality ====

672

673

674

Predmetom projektu nebude hodnotenie kvality ani čistenie údajov.

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.5Otvorenéúdaje"/}}4.3.5 Otvorené údaje ===

679

680

681

V rámci projektu nebudú vytvárané otvorené údaje.

682

683

684

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.6Analytickéúdaje"/}}4.3.6 Analytické údaje ===

685

686

687

V rámci projektu nebudú vytvárané analytické údaje.

688

689

690

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.7Mojeúdaje"/}}4.3.7 Moje údaje ===

691

692

693

V rámci projektu nebudú vytvárané moje údaje.

694

695

696

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.3.8Prehľadjednotlivýchkategóriíúdajov"/}}4.3.8 Prehľad jednotlivých kategórií údajov ===

697

698

699

Predmetom realizácie projektu nebudú žiadne údaje, ktoré by boli referenčnými, spadali by do kategórie “Moje údaje”, “Otvorené údaje” a tiež nebudú poskytované ako analytické údaje.

== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.4Technologickávrstva"/}}4.4 Technologická vrstva ==

704

705

706

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.4.1Prehľadtechnologickéhostavu-ASIS"/}}4.4.1 Prehľad technologického stavu - AS IS ===

707

708

709

S ohľadom na inštrukcie MIRRI SR neuvádzame podrobný prehľad technologického stavu AS IS.

710

711

Konštatujeme, že z pohľadu zabezpečenia KIB je potrebné AS IS stav doplniť tak, aby bol zabezpečený súlad opatrení KIB s požiadavkami zákona o kybernetickej bezpečnosti.

// //

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.4.2Požiadavkynavýkonnostnéparametre,kapacitnépožiadavky–TOBE"/}}4.4.2 Požiadavky na výkonnostné parametre, kapacitné požiadavky – TO BE ===

// //

|(((

**Parameter**

)))|(((

**Jednotky**

)))|(((

**Predpokladaná hodnota**

)))|(((

**Poznámka**

)))

|(((

Počet interných používateľov

)))|(((

Počet

)))|(((

340

)))|(((

)))

|(((

Počet súčasne pracujúcich interných používateľov v špičkovom zaťažení

)))|(((

Počet

)))|(((

340

)))|(((

)))

|(((

Počet externých používateľov (internet)

)))|(((

Počet

)))|(((

85 000

)))|(((

)))

|(((

Počet externých používateľov používajúcich systém v špičkovom zaťažení

)))|(((

Počet

)))|(((

85 000

)))|(((

Maximálny počet používateľov – interných aj externých, ktorí sa môžu prihlásiť naraz k základnej služby či už ako poskytovatelia (zamestnanci) alebo ako konzumenti (občania Mesta Prešov a podnikatelia)

764

)))

765

|(((

766

Počet transakcií (podaní, požiadaviek) za obdobie

)))|(((

Počet/obdobie

)))|(((

Irelevantné

)))|(((

)))

|(((

Objem údajov na transakciu

)))|(((

Objem/transakcia

)))|(((

1 MB/transakcia

)))|(((

Maximálna predpokladaná hodnota

782

)))

783

|(((

784

Objem existujúcich kmeňových dát

)))|(((

Objem

)))|(((

irelevantné

)))|(((

)))

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.4.3Návrhriešeniatechnologickejarchitektúry"/}}4.4.3 Návrh riešenia technologickej architektúry ===

// //

**__Technologicky pôjde o realizáciu nasledovných opatrení:__**

**__ __**

1. **Zvýšenie úrovne kybernetickej a informačnej bezpečnosti Mesta Prešov**

803

804

Realizáciou tejto zákazky sledujeme splnenie nasledovných cieľov:

805

806

* Zvýšenie kvality organizácie KIB

807

* Zvýšenie kvality riadenia rizík KIB

808

* Kontinuita prevádzky

809

810

811

Predmetom zákazky je realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, v nadväznosti na výsledky auditu organizácie, ktoré budú naplnené nasledujúcimi pod-aktivitami:

812

813

* Aktivity ohľadom vypracovania dokumentácie a nastavenia procesov riadenia KIB:

814

** aktualizácia stratégie kybernetickej bezpečnosti,

815

** aktualizácia bezpečnostnej politiky kybernetickej bezpečnosti,

816

** vytvorenie / aktualizácia ďalších interných smerníc a politík pre všetky relevantné oblasti riadenia KIB:

817

*** Smernica pre riadenie informačnej bezpečnosti

818

*** Klasifikácia informácií a kategorizácia sietí a informačných systémov

819

*** Smernica o bezpečnej prevádzke IS a sietí

820

*** Smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov

821

*** Smernica používateľa

822

*** Smernica administrátora

823

*** Smernica riadenia bezpečnostných rizík

824

*** Smernica riadenia dodávateľských služieb

825

*** Smernica audity a vykonávanie kontrolných činností

* Analytické aktivity:

830

** aktualizácia identifikácie a evidencie informačných aktív,

831

** detailná klasifikácia informácií a kategorizácia IS a sietí,

832

** analýza rizík a analýza dopadov (AR/BIA) aj so zapojením vlastníkov aktív,

833

** zavedenie procesu formálneho rozhodovania ohľadom riadenia identifikovaných rizík,

834

835

836

Požadované výstupy realizácie zákazky:

|(((

**ID**

)))|(((

**Aktivita/prevádzková dokumentácia (výstup)**

)))|(((

**Poznámka**

)))

|(((

1.1

)))|(((

Vypracovanie smerníc a prevádzkovej dokumentácie riadenia informačnej bezpečnosti a kybernetickej bezpečnosti

850

)))|(((

851

Výstupom aktivity budú vytvorené / aktualizované nasledovné smernice a dokumenty:

852

853

● Stratégia kybernetickej bezpečnosti.

854

855

● Bezpečnostná politika.

856

857

● Bezpečnostná smernica pre používateľov.

858

859

● Smernica o bezpečnej prevádzke IS pre administrátorov.

860

861

● Smernica pre riadenie informačnej bezpečnosti.

862

863

● Smernica pre riadenie aktív a rizík, vrátane AR/BIA metodiky vytvorenej v súlade s NBÚ metodikou a prispôsobenej podmienkam Mesta Prešov.

864

865

● Smernica klasifikácie a kategorizácie IS a sietí.

866

867

● Smernica riadenia prístupových práv.

868

869

● Smernica pre riadenie dodávateľských služieb a 3tich strán.

870

871

● Smernica ohľadom bezpečnostných požiadaviek pre obstarávanie nových IS (SSDLC).

)))

|(((

1.2

)))|(((

Aktualizácia identifikácie a evidencie aktív

879

)))|(((

880

Vykonanie aktualizácie identifikácie a evidencie informačných aktív Mesta Prešov a ich následné navstupovanie do nástroji na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti.

)))

|(((

1.3

)))|(((

Vykonanie detailnej aktualizácie klasifikácie informácií a kategorizácie sietí a informačných systémov

886

)))|(((

887

Vykonanie klasifikácie informácií a následne kategorizácie IS a sietí podľa požiadaviek aktuálnej legislatívy.

888

889

Na klasifikácii sa budú podieľať aj interní zamestnanci, cieľom projektu je aj transfer know-how, aby si bola organizácia schopná klasifikáciu následne realizovať aj vlastnými silami.

)))

|(((

1.4

)))|(((

Realizácia detailnej aktualizácie AR/BIA

895

)))|(((

896

Spolu s vlastníkmi aktív zrealizovanie analýzy rizík a analýzy dopadov nad identifikovanými informačnými aktívami v súlade s metodikou AR/BIA vytvorenou v bode 1.1 a zaevidovanie výsledkov do nástroja na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti uvedeného v bode 2.1. Predmetom dodávky bude aj vytvorenie katalógu rizík.

)))

|(((

1.5

)))|(((

Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti

902

)))|(((

903

Informačný nástroj na efektívne udržiavanie aktuálneho zoznamu informačných aktív ,pravidelné vykonávanie aktualizácie AR/BIA a nadväzujúcich bezpečnostných opatrení.

904

905

Vrátane nákladov spojených s licenčnými poplatkami po dobu trvania projektu, implementačnými a konfiguračnými prácami.

906

907

908

**Bližšie špecifikovaný v časti: Základné požiadavky pre nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti**

**~ **

)))

**Základné požiadavky pre nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti**

916

917

Nástroj na procesno-organizačné riadenie informačnej a kybernetickej bezpečnosti musí spĺňať najmenej nasledovné:

918

919

* Centrálna konzola pre používateľov systému prístupná cez web prehliadače (Chrome, Firefox, Safari alebo Edge).

920

* Centrálna konzola lokalizovaná v Slovenskom jazyku.

921

* Centrálna správa musí byť prevádzkovaná ako SaaS.

922

* Podpora požiadaviek legislatívy SR.

923

* Centrálny dashboard pre rýchle vyhodnotenie aktív (primárne a podporné), rizík podľa kategórie, rizík podľa hrozieb a zraniteľností, aktuálne dosahovaná úroveň súladu s požiadavkami zákona č. 69/2018 Z. z. a vyhlášky č. 362/2018, ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení.

924

* Podpora prihlásenia prostredníctvom multi-faktorovej autentifikácie.

925

* Podpora tvorby klasifikácie informácií a kategorizácie sietí a informačných systémov podľa zákona č. 69/2018 Z.z. a doporučení vyhlášky č. 362/2018, vytváranie registrov aktív, hrozieb.

926

* Parametrizácia systému:

927

* Definovanie metódy na výpočet hodnotenie aktív,

928

* Definovanie metódy na kategorizáciu rizík,

929

* Definovanie bezpečnostnej štruktúry spoločnosti (osoby, organizačné jednotky, role),

930

* Definovanie druhov aktív,

931

* Definovanie typov aktív,

932

* Definovanie vlastných atribútov aktív,

933

* Definovanie stupnice pre hodnotenie dôvernosti, dostupnosti, integrity, dopadov, hrozieb a zraniteľností,

934

* Definovanie bezpečnostných opatrení ,

935

* Register dodávateľov,

936

* Definovanie kritérií na hodnotenie dodávateľov.

937

* Register rizík prostredníctvom, ktorého je možné definovať kombinácie hrozba/zraniteľnosť na konkrétne typy aktív.

938

* Evidencia aktív (manuálne alebo prostredníctvom importu z dátového súboru):

939

** Všeobecné (druh, typ, lokalita, garant, administrátor, dodávateľ, prevádzkovateľ, závislosť aktíva na iných aktívach)

940

** Hodnotenie aktíva (dôvernosť, dostupnosť a integrita),

941

** Identifikácia hrozieb/zraniteľnosti manuálne alebo priamo z registra rizík,

942

** Spôsob používania a manipulácie,

943

** Vlastné atribúty.

944

* Mapa aktív pre grafické zobrazenie závislostí medzi jednotlivými aktívami:

945

** Zobrazenie priameho vzťahu aktíva a jeho podriadených a nadriadených aktív,

946

** Komplexné zobrazenie mapy všetkých aktív,

947

** Filtrácia zobrazených aktív (druh alebo kategória aktíva).

948

* Hodnotenie rizík:

949

** Možnosť stiahnuť súbor pdf s identifikovanými rizikami pre jedno alebo viaceré aktíva,

950

** Hodnotenie dopadu identifikovaných rizík,

951

** Návrh bezpečnostných opatrení pre zníženie rizika na úrovni aktíva,

952

** Výpočet rizika pred a po opatrení bezpečnostného opatrenia,

953

** Rozhodnutie o akceptovaní alebo neakceptovaní rizika.

954

* Hodnotenie opatrení:

955

** Zoznam rizík, ktoré bezpečnostné opatrenie rieši,

956

** Aplikovateľnosť bezpečnostného opatrenia,

957

** Zavedenie bezpečnostného opatrenia a jeho riadenie

958

* ľudské a finančné zdroje, časový harmonogram

959

* evidencia komunikácie riešiteľského tímu

960

* Plán zvládania rizík pre riadenie implementácie bezpečnostných opatrení:

961

* Evidencia požiadaviek na ľudské a finančné zdroje,

962

* Dátum začatia a ukončenie implementácie,

963

* Diskusný priestor pre riešiteľský tím.

964

* Hodnotenie dodávateľov:

965

* Hodnotenie atribútov dodávateľov aktív,

966

* Mapovanie dodávateľov na konkrétne aktíva,

967

* Možnosť evidencie podpornej dokumentácie k dodávateľov (zmluvy, SLA,..).

968

* Evidencia plnenia požiadaviek legislatívy

969

* ZoKB (zákon č.69/2018 Z. z. a vyhláška č.362/2018 Z. z)

970

* ITVS (zákon č.95/2019 Z. z. a vyhláška č. 179/2020 Z. z.)

971

* Jednotlivé požiadavky môžu byť v stave zavedené, v procese zavádzania, neaplikované alebo nezavedené,

972

* Ku každej požiadavke je možné pripojiť komentár a záznam zo zoznamu bezpečnostných opatrení,

973

* Hodnotenie je možné exportovať do súboru pdf.

974

* Plán kontinuity:

975

* Všeobecné údaje o pláne kontinuity (názov, popis, dotknuté aktíva),

976

* Definovanie členov analytického, výkonného a riadiaceho tímu,

977

* Popis procesu a dokumentácia,

978

* Export plánu obnovy do súboru.

979

* Auditný log pre zaznamenávanie aktivít v systéme:

980

* Systém zaznamenáva aktivitu používateľa (pridanie, zmena, vymazanie) pre konkrétne časti systému (aktívum, atribút aktíva, riziko, ..),

981

* Možnosť pozrieť stav pred vykonanou zmenou a po zmene.

982

983

984

**2. Zvýšenie úrovne kybernetickej bezpečnosti - Mesto Prešov**

**~ **

Realizáciou tejto zákazky sledujeme splnenie nasledovných cieľov:

989

990

* Zavedenie riadenia personálnej bezpečnosti

991

* Zabezpečenie riadenia prístupov

992

* Zabezpečenie bezpečnosti prevádzky IS a sietí

993

* Upgrade existujúceho SIEM riešenia a zabezpečenie služby SOC

994

* Zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov

995

996

997

Predmetom zákazky bude dodávka hardvéru (HW), softvéru (SW) a služieb pre zabezpečenie opatrení kybernetickej bezpečnosti v súlade so zákonom o kybernetickej bezpečnosti a vyhláškou NBÚ č. 362/2018 Z. Z. Realizácia predmetu zákazky bude pozostávať z nasledovných súčastí:

998

999

1000

1. dodanie licencií, implementačných, konzultačných a konfiguračných prác pre **__zavedenie bezpečnostného riešenia pre ochranu kritických infraštruktúrnych prvkov__** (serverov) vrátane funkcionality „virtual patching“ pre tzv. „legacy“ systémy, na ktoré už nie sú vydávané bezpečnostné záplaty a ochrany voči tzv. „zero-day“ zraniteľnostiam a zaškolenie administrátorov,

1001

1. dodanie licencií, implementačných, konzultačných a konfiguračných práce pre **__upgrade existujúceho SIEM riešenia na systém SOAR__** pri zachovaní existujúcich funkcionalit a rozvoj o nasledujúce funkcionality:

1002

1003

* zber a vyhodnocovanie sieťovej komunikácie pre zabezpečnenie komplexného monitoringu a možnosti vyhodncovania bezpečnostých udalostí

1004

* SIEM riešenie s automatizačným workflow a funkcionalitou plnej automatizácie bez nutnosti ľudského rozhodovania (SOAR)

1005

* tvorba workflow v grafickom rozhraní bez nutnosti učenia sa programovacieho jazyka

1006

* podpora vstavaných out-of-the-box šablón s automatizačným workflow aj bez nutnosti vývoja aplikácie, alebo použitia API rozhraní,

1007

* manažment SOAR súčasťou jednej konzoly s existujúcim SIEM riešením

1008

1009

1. obstaranie **__New Generation Firewall (NGFW)__** na správu sieťovej prevádzky a blokovanie nebezpečnej sieťovej komunikácie vrátane implementačných, konzultačných konfiguračných prác a zaškolenie administrátorov,

1010

1. dodanie licencií, implementačných, konzultačných a konfiguračných práce pre **__zavedenie MFA__** (Multi-faktorovej autentifikácie) na všetky VPN pripojenia a na prístup „power users“ k správe IS a zaškolenie administrátorov,

1011

1. **__zabezpečenie služby bezpečnostného monitoringu od externého subjektu (SOC as a service)__** a zladenie interných procesov riešenia bezpečnostných incidentov s procesmi SOC,

1012

1. dodanie licencií, implementačných, konzultačných a konfiguračných práce pre **__zavedenie interného nástroja na bezpečnostné testovanie zamestnancov__** formou phishingových kampaní vrátane iniciálneho testovania zamestnancov a  zaškolenie administrátorov,

1013

1. dodanie licencií, implementačných, konzultačných a konfiguračných práce pre **__zavedenie HelpDesk nástroja__** vrátane zaškolenia administrátorov.

1014

1015

1016

[[image:attach:image-2024-6-25_7-49-56.png]]

// //

=== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.4.4Využívanieslužiebzkatalóguslužiebvládnehocloudu"/}}4.4.4 Využívanie služieb z katalógu služieb vládneho cloudu ===

1021

1022

1023

Projekt nebude využívať služby vládneho cloudu.

// //

== {{id name="projekt_2747_Pristup_k_projektu_detailny-4.5Bezpečnostnáarchitektúra"/}}4.5 Bezpečnostná architektúra ==

// //

V súčasnosti - ako vyplýva z projektového zámeru - nie sú opatrenia KIB Mesta Prešov - v súlade s požiadavkami príslušných predpisov. Navrhovaná architektúra riešenia t.j. dosiahnutie TO BE stavu bude znamenať dosiahnutie súladu opatrení s nasledovnou legislatívou:

1033

1034

* Zákon č. 95/2019 Z.z. o informačných technológiách vo verejnej správe

1035

* Zákon č. 69/2018 Z.z. o kybernetickej bezpečnosti

1036

* Zákon č. 45/2011 Z.z. o kritickej infraštruktúre

1037

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 78/2020 Z. z. o štandardoch pre informačné technológie verejnej správy

1038

* vyhláška Úradu podpredsedu vlády Slovenskej republiky pre investície a informatizáciu č. 179/2020 Z. z., ktorou sa ustanovuje spôsob kategorizácie a obsah bezpečnostných opatrení informačných technológií verejnej správy

1039

* vyhláška Úradu na ochranu osobných údajov Slovenskej republiky č. 158/2018 Z. z. o postupe pri posudzovaní vplyvu na ochranu osobných údajov

1040

* Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov, ktorým sa zrušuje smernica 95/46/ES (všeobecné nariadenie o ochrane údajov)

1041

* Zákon č. 18/2018 Z. z. o ochrane osobných údajov a o zmene a doplnení niektorých zákonov.

// //

= {{id name="projekt_2747_Pristup_k_projektu_detailny-5.ZávislostinaostatnéISVS/projekty"/}}5. Závislosti na ostatné ISVS / projekty =

1048

1049

1050

Projekt nie je závislý od iných ISVS alebo projektov.

**~ **

= {{id name="projekt_2747_Pristup_k_projektu_detailny-6.Zdrojovékódy"/}}6. Zdrojové kódy =

1055

1056

1057

Mesto Prečov plánuje pri obstarávaní jednotlivých súčastí projektu, pri ktorých môžu vzniknúť zdrojové kódy postupovať v zmysle vzoru Zmluvy o dielo. Zmluvnú úpravu predkladáme nasledujúcu:

1058

1059

1060

* Zhotoviteľ je povinný pri akceptácii Informačného systému odovzdať Objednávateľovi funkčné vývojové a produkčné prostredie, ktoré je súčasťou Informačného systému.

1061

* Zhotoviteľ je povinný pri akceptácii Informačného systému alebo jeho časti odovzdať Objednávateľovi Vytvorený zdrojový kód v jeho úplnej aktuálnej podobe, zapečatený, na neprepisovateľnom technickom nosiči dát s označením časti a verzie Informačného systému, ktorej sa týka. Za odovzdanie Vytvoreného zdrojového kódu Objednávateľovi sa na účely tejto Zmluvy o dielo rozumie odovzdanie technického nosiča dát Oprávnenej osobe Objednávateľa. O odovzdaní a prevzatí technického nosiča dát bude oboma Zmluvnými stranami spísaný a podpísaný preberací protokol.

1062

* Informačný systém (Dielo) v súlade s Technickou špecifikáciou obsahuje od zvyšku Diela oddeliteľný modul (časť) vytvorený Zhotoviteľom pri plnení tejto Zmluvy o dielo, ktorý je bez úpravy použiteľný aj tretími osobami, aj na iné alebo podobné účely, ako je účel vyplývajúci z tejto Zmluvy o dielo Vytvorený zdrojový kód Informačného systému vrátane jeho dokumentácie bude prístupný v režime podľa § 31 ods. 4 písm. b) Vyhlášky č. 78/2020 (s obmedzenou dostupnosťou pre orgán vedenia a orgány riadenia v zmysle Zákona o ITVS – vytvorený zdrojový kód je dostupný len pre orgán vedenia a orgány riadenia). Pre zamedzenie pochybností uvádzame, že sa jedná len o zdrojový kód ktorý Dodávateľ vytvoril, alebo pozmenil v súvislosti s realizáciou diela. Objednávateľ je oprávnený sprístupniť Vytvorený zdrojový kód okrem orgánov podľa predchádzajúcej vety aj tretím osobám, ale len na špecifický účel, na základe riadne uzatvorenej písomnej zmluvy o mlčanlivosti a ochrane dôverných informácií.

1063

* Ak je medzi zmluvnými stranami uzatvorená SLA zmluva, od prevzatia Informačného systému sa prístup k vytvorenému zdrojovému kódu vo vývojovom a produkčnom prostredí, vrátane nakladania s týmto zdrojovým kódom, začne riadiť podmienkami dohodnutými v SLA zmluve. Vytvorený zdrojový kód musí byť v podobe, ktorá zaručuje možnosť overenia, že je kompletný a v správnej verzii, t. j. v takej, ktorá umožňuje kompiláciu, inštaláciu, spustenie a overenie funkcionality, a to vrátane kompletnej dokumentácie zdrojového kódu (napr. interfejsov a pod.) takejto Informačného systému alebo jeho časti. Zároveň odovzdaný Vytvorený zdrojový kód musí byť pokrytý testami (aspoň na 90%) a dosahovať rating kvality (statická analýza kódu) podľa CodeClimate/CodeQLa pod. (minimálne stupňa B).

1064

* Pre zamedzenie pochybností, povinnosti Zhotoviteľa týkajúce sa Vytvoreného zdrojového kódu platí i na akékoľvek opravy, zmeny, doplnenia, upgrade alebo update Vytvoreného zdrojového kódu a/alebo vyššie uvedenej dokumentácie, ku ktorým dôjde pri plnení tejto Zmluvy o dielo alebo v rámci záručných opráv. Vytvorené zdrojové kódy budú vytvorené vyexportovaním z produkčného prostredia a budú odovzdané Objednávateľovi na elektronickom médiu v zapečatenom obale. Zhotoviteľ je povinný umožniť Objednávateľovi pri odovzdávaní Vytvoreného zdrojového kódu, pred zapečatením obalu, skontrolovať v priestoroch Objednávateľa prítomnosť Vytvoreného zdrojového kódu na odovzdávanom elektronickom médiu.

1065

* Nebezpečenstvo poškodenia zdrojových kódov prechádza na Objednávateľa momentom prevzatia Informačného systému alebo jeho časti, pričom Objednávateľ sa zaväzuje uložiť zdrojové kódy takým spôsobom, aby zamedzil akémukoľvek neoprávnenému prístupu tretej osoby. Momentom platnosti SLA zmluvy umožní Objednávateľ poskytovateľovi, za predpokladu, že to je nevyhnutné, prístup k Vytvorenému zdrojovému kódu výlučne na účely plnenia povinností z uzatvorenej SLA zmluvy.

Ďalej uvádzame postupy, v zmysle ktorých bude narábané so zdrojovým kódom

1070

1071

1072

Centrálny repozitár zdrojových kódov: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31>>url:https://www.zakonypreludi.sk/zz/2020-78/znenie-20200501#p31||shape="rect"]]

1073

1074

Overenie zdrojového kódu s cieľom jeho prepoužitia: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p7-3-c||shape="rect"]]

1075

1076

Spôsoby zverejňovania zdrojového kódu: [[https:~~/~~/www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9>>url:https://www.zakonypreludi.sk/zz/2020-85/znenie-20200501#p8-9||shape="rect"]]

1077

1078

Inštrukcie k EUPL licenciám: [[https:~~/~~/joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf>>url:https://joinup.ec.europa.eu/sites/default/files/inline-files/EUPL%201_1%20Guidelines%20SK%20Joinup.pdf||shape="rect"]]

1079

1080

1081

Uvedeným spôsobom obstarávania dôjde k zamedzeniu „Vendor lock-in" v súlade so Zákonom o ITVS.

1082

1083

= {{id name="projekt_2747_Pristup_k_projektu_detailny-7.Prevádzkaaúdržba"/}}7. Prevádzka a údržba =

1084

1085

Požadované SLA na služby systémovej a aplikačnej podpory – servisné služby vzťahujúce sa na produkčné a testovacie prostredie IS Úrovne podpory používateľov: Help Desk bude realizovaný cez 3 úrovne podpory, s nasledujúcim označením:

1086

1087

1088

* L1 podpory IS (Level 1, priamy kontakt zákazníka) - jednotný kontaktný bod verejného obstarávateľa.

1089

* L2 podpory IS (Level 2, postúpenie požiadaviek od L1) - vybraná skupina garantov, so znalosťou IS (zabezpečuje prevádzkovateľ IS – verejný obstarávateľ).

1090

* L3 podpory IS (Level 3, postúpenie požiadaviek od L2) - na základe zmluvy o podpore IS (zabezpečuje úspešný uchádzač).

// //

Definície:

* Podpora L1 (podpora 1. stupňa) - začiatočná úroveň podpory, ktorá je zodpovedná za riešenie základných problémov a požiadaviek koncových užívateľov a ďalšie služby vyžadujúce základnú úroveň technickej podpory. Základnou funkciou podpory 1. stupňa je zhromaždiť informácie, previesť základnú analýzu a určiť príčinu problému a jeho klasifikáciu. Typicky sú v úrovni L1 riešené priamočiare a jednoduché problémy a základné diagnostiky, overenie dostupnosti jednotlivých vrstiev infraštruktúry (sieťové, operačné, vizualizačné, aplikačné atď.) a základné užívateľské problémy (typicky zabudnutie hesla), overovanie nastavení SW a HW atď.

1098

* Podpora L2 (podpora 2. stupňa) – riešiteľské tímy s hlbšou technologickou znalosťou danej oblasti. Riešitelia na úrovni Podpory L2 nekomunikujú priamo s koncovým užívateľom, ale sú zodpovední za poskytovanie súčinnosti riešiteľom 1. úrovne podpory pri riešení eskalovaného hlásenia, čo mimo iného obsahuje aj spätnú kontrolu a podrobnejšiu analýzu zistených dát odovzdaných riešiteľmi 1. úrovne podpory. Výstupom takejto kontroly môže byť potvrdenie, upresnenie, alebo prehodnotenie hlásenia v závislosti na potrebách Objednávateľa. Primárnym cieľom riešiteľov na úrovni Podpory L2 je dostať Hlásenie čo najskôr pod kontrolu a následne ho vyriešiť - s možnosťou eskalácie na vyššiu úroveň podpory – Podpora L3.

1099

* Podpora L3 (podpora 3. stupňa) - Podpora 3. stupňa predstavuje najvyššiu úroveň podpory pre riešenie tých najobtiažnejších Hlásení, vrátane vykonávania hĺbkových analýz a riešenie extrémnych prípadov.

1100

* Riešenie incidentov – SLA parametre Za incident je považovaná chyba IS, t.j. správanie sa v rozpore s prevádzkovou a používateľskou dokumentáciou IS. Za incident nie je považovaná chyba, ktorá nastala mimo prostredia IS napr. výpadok poskytovania konkrétnej služby. Označenie závažnosti incidentu:

|(((

**Závažnosť incidentu**

1106

)))|(((

1107

**Popis naliehavosti incidentu**

1108

)))

1109

|(((

1110

Kritická, Bezpečnostná

1111

)))|(((

1112

Kritické chyby, ktoré spôsobia úplné zlyhanie systému ako celku a nie je možné používať ani jednu jeho časť, nie je možné poskytnúť požadovaný výstup z IS.

)))

|(((

Bežná

)))|(((

Chyby a nedostatky, ktoré spôsobia čiastočné obmedzenia používania systému

)))

|(((

Nekritická

)))|(((

Kozmetické a drobné chyby.

)))

Vyžadované reakčné doby:

1128

1129

|(((

1130

Označenie závažnosti incidentu

1131

)))|(((

1132

Reakčná doba od nahlásenia incidentu po začiatok riešenia incidentu

1133

)))|(((

1134

Doba konečného vyriešenia incidentu od nahlásenia incidentu (DKVI)

1135

)))|(((

1136

Spoľahlivosť (počet incidentov za mesiac)

)))

|(((

Bežná

)))|(((

Do 24 hodín

)))|(((

48 hodín

)))|(((

5

)))

|(((

Kritická

)))|(((

Do 12 hodín

)))|(((

24 hodín

)))|(((

3

)))

|(((

Nekritická

)))|(((

Do 48 hodín

)))|(((

Vyriešené a nasadené v rámci plánovaných

releasov

)))|(((

)))

|(((

Bezpečnostná

)))|(((

Do 12 hodín

)))|(((

24 hodín

)))|(((

1

)))

Požiadavky na hlásenie Incidentov sa spracúvajú v rámci časového pokrytia od 8:00 do 16:00.

1179

1180

1181

* Reakčná doba je čas medzi nahlásením incidentu verejným obstarávateľom (vrátane užívateľov IS, ktorí nie sú v pracovnoprávnom vzťahu s verejným obstarávateľom) na helpdesk úrovne L3 a jeho prevzatím na riešenie.

1182

* DKVI znamená obnovenie štandardnej prevádzky – čas medzi nahlásením incidentu verejným obstarávateľom a vyriešením incidentu úspešným uchádzačom (do doby, kedy je funkčnosť prostredia znovu obnovená v plnom rozsahu). Do tejto doby sa nezarátava čas potrebný na nevyhnutnú súčinnosť verejného obstarávateľa, ak je potrebná pre vyriešenie incidentu. V prípade potreby je úspešný uchádzač oprávnený požadovať od verejného obstarávateľa schválenie riešenia incidentu.

1183

* Maximálny počet incidentov za kalendárny mesiac. Každá ďalšia chyba nad stanovený limit spoľahlivosti sa počíta ako začatý deň omeškania bez odstránenia vady alebo incidentu. Duplicitné alebo technicky súvisiace incidenty (zadané v rámci jedného pracovného dňa, počas pracovného času 8 hodín) sú považované ako jeden incident.

1184

1185

1186

Incidenty nahlásené verejným obstarávateľom úspešnému uchádzačovi v rámci testovacieho prostredia

1187

1188

* Majú závažnosť incidentu nekritickú a nižšiu

1189

* Vzťahujú sa výhradne k dostupnosti testovacieho prostredia

1190

* Za incident na testovacom prostredí sa nepovažuje incident vztiahnutý k práve testovanej funkcionalite

1191

1192

1193

Vyššie uvedené SLA parametre nebudú použité pre nasledovné služby:

1194

1195

1196

* Služby systémovej podpory na požiadanie (nad paušál)

1197

* Služby realizácie aplikačných zmien vyplývajúcich z legislatívnych a metodických zmien (nad paušál)

// //

= {{id name="projekt_2747_Pristup_k_projektu_detailny-8.Požiadavkynapersonál"/}}8. Požiadavky na personál =

1203

1204

Výzva definuje požiadavky na IT odborníkov participujúcich v rámci projektu – má ísť minimálne o manažéra kybernetickej bezpečnosti. Aby bol dodržaný súlad realizácie projektu s vyhláškou č.401/2023 Z.z. bude zostavený nasledovný projektový tím objednávateľa:

1205

1206

1207

* kľúčový používateľ a IT architekt: Ing. Ľubomír Hleba

1208

* manažér kybernetickej a informačnej bezpečnosti – Ing. Marek Mička

1209

* projektový manažér (pre účely realizácie) - Ing. Zuzana Schreiber

|(((

**ID**

)))|(((

**Meno a Priezvisko**

)))|(((

**Pozícia**

)))|(((

**Oddelenie**

)))|(((

**Rola v projekte**

)))

|(((

1.

)))|(((

Ing. Ľubomír Hleba

)))|(((

Vedúci oddelenia IT

)))|(((

Odbor vnútornej správy

1231

1232

Oddelenie IT, Mesto Prešov

1233

)))|(((

1234

kľúčový používateľ a IT architekt

)))

|(((

2.

)))|(((

Ing. Marek Mička

)))|(((

manažér kybernetickej a informačnej bezpečnosti

1242

)))|(((

1243

Odbor vnútornej správy

1244

1245

Oddelenie IT, Mesto Prešov

1246

)))|(((

1247

manažér kybernetickej a informačnej bezpečnosti

)))

|(((

3.

)))|(((

Ing. Zuzana Schreiber

)))|(((

Projektový manažér

)))|(((

Mesto Prešov

)))|(((

projektový manažér

)))

Uvedený projektový tím je garanciou úspešnej realizácie projektu po zabezpečení jeho financovania na základe ŽoNFP v rámci výzvy. Všetci členovia tímu budú internými zamestnancami Mesta Prešov ku dňu začatia realizácie projektu.

1263

1264

1265

**Pracovné náplne členov tímu**

1266

1267

1268

V zmysle Vyhlášky 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke a požiadaviek Výzvy budú obsadené vyššie uvedené role v projektovom tíme. Náplne práce a požiadavky na členov tímu sú nasledovné:

// //

|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

)))

|(((

**Stručný popis:**

)))|(((

● zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

1285

1286

1287

● zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

1288

1289

1290

● zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

1291

)))

1292

|(((

1293

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

● Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

1298

1299

● Riadenie prípravy, inicializácie a realizácie projektu

1300

1301

● Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

1302

1303

● Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

1304

1305

● Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

1306

1307

● Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

1308

1309

● Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1310

1311

● Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

1312

1313

● Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

1314

1315

● Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

1316

1317

● Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

1318

1319

● Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

1320

1321

● Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

1322

1323

● Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

1324

1325

● Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

1326

1327

● Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

1328

1329

● Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

1330

1331

● Riadenie implementačných a prevádzkových aktivít v rámci projektov.

1332

1333

● Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

1334

1335

● Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

1336

1337

● Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

1338

1339

● Dodržiavanie metodík projektového riadenia,

1340

1341

● Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),

1342

1343

● Vecnú a procesnú administráciu zúčtovania dodávateľských faktúr

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

)))

|(((

**Poznámka**

)))|(((

V prípade, ak v projektom tíme NIE SÚ vytvorené projektové role **Manažér zmien** (Change manager) a **Implementačný manažér** (Release manager), tak rozsah a povinnosti týchto rolí vykonáva rola **Projektový manažér**

**~ **

)))

// //

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ARCHITEKT**

)))

|(((

**Stručný popis:**

)))|(((

● zodpovedá za návrh architektúry riešenia IS a implementáciu technológií predovšetkým z pohľadu udržateľnosti, kvality a nákladov, za riešenie architektonických cieľov projektu dizajnu IS a súlad s architektonickými princípmi.

1379

1380

● vykonáva, prípadne riadi vysoko odborné tvorivé činnosti v oblasti návrhu IT. Študuje a stanovuje smery technického rozvoja informačných technológií, navrhuje riešenia na optimalizáciu a zvýšenie efektívnosti prostriedkov výpočtovej techniky. Navrhuje základnú architektúru informačných systémov, ich komponentov a vzájomných väzieb. Zabezpečuje projektovanie dizajnu, architektúry IT štruktúry, špecifikácie jej prvkov a parametrov, vhodnej softvérovej a hardvérovej infraštruktúry podľa základnej špecifikácie riešenia.

1381

1382

● zodpovedá za spracovanie a správu projektovej dokumentácie a za kontrolu súladu implementácie s dokumentáciou. Môže tiež poskytovať konzultácie, poradenstvo a vzdelávanie v oblasti svojej špecializácie. IT architekt, projektant analyzuje, vytvára a konzultuje so zákazníkom riešenia na úrovni komplexných IT systémov a IT architektúr, najmä na úrovni aplikačného vybavenia, infraštruktúrnych systémov, sietí a pod. Zaručuje, že návrh architektúry a/alebo riešenia zodpovedá zmluvne dohodnutým požiadavkám zákazníka v zmysle rozsahu, kvality a ceny celej služby/riešenia.

1383

)))

1384

|(((

1385

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

● Navrhovanie architektúry IT riešení s cieľom dosiahnuť najlepšiu efektivitu.

1392

1393

● Transformovanie cieľov, prísľubov a zámerov projektu do tvorby reálnych návrhov a riešení.

1394

1395

● Navrhovanie takých riešení, aby poskytovali čo najvyššiu funkčnosť a flexibilitu.

1396

1397

● Posudzovanie vhodnosti navrhnutých riešení s ohľadom na požiadavky projektu.

1398

1399

● Zodpovednosť za technické navrhnutie a realizáciu projektu.

1400

1401

● Zodpovednosť za vytvorenie technickej IT dokumentácie a jej následná kontrola.

1402

1403

● Zodpovednosť za definovanie integračných vzorov, menných konvencií, spôsobov návrhu a spôsobu programovania.

1404

1405

● Definovanie architektúry systému, technických požiadaviek a funkčného modelu (Proof Of Concept.)

1406

1407

● Vytvorenie požiadaviek na HW/SW infraštruktúru IS

1408

1409

● Udržiavanie a rozvoj konzistentnej architektúry s dôrazom na architektúru aplikačnú, dátovú a infraštruktúru

1410

1411

● Analýzu a odhad náročnosti technických požiadaviek na vytvorenie IS alebo vykonanie zmien v IS

1412

1413

● Navrhovanie riešení zohľadňujúce architektonické štandardy, časové a zdrojové obmedzenia,

1414

1415

● Navrhovanie dátových transformácií medzi dátovými skladmi a aplikáciami

1416

1417

● Vyhodnocovanie implementačných alternatív z pohľadu celkovej IT architektúry

1418

1419

● Ladenie dátových štruktúr za účelom dosiahnutia optimálneho výkonu

1420

1421

● Prípravu akceptačných kritérií

1422

1423

● Analýza nových nástrojov, produktov a technológií

1424

1425

● Správa, rozvoj a dohľad nad dodržiavaním integračných štandardov

1426

1427

● Priebežné posudzovanie vecných výstupov dodávateľa v rámci analýzy, návrhu riešenia vrátane Detailného návrhu riešenia (DNR) z pohľadu analýzy a návrhu riešenia architektúry IS

1428

1429

● Vykonáva posudzovanie a úpravu testovacej stratégie, testovacích scenárov, plánov testov, samotné testovanie a účasť na viacerých druhoch testovania

1430

1431

● Vykonanie záťažových, výkonnostných a integračných testov a navrhnutie následných nápravných

1432

1433

● Nasadenie a otestovanie migrácie, overenie kvality dát a navrhnutie nápravných opatrení

1434

1435

● Participáciu na výkone bezpečnostných testov,

1436

1437

● Participáciu na výkone UAT testov,

1438

1439

● Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

1440

1441

● Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1442

1443

● Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Odporúčané kvalifikačné predpoklady**

)))|(((

)))

|(((

**Poznámka**

)))|(((

)))

// //

// //

|(((

**Projektová rola:**

)))|(((

**~ **

**KĽUČOVÝ POUŽIVATEĽ **(end user)

)))

|(((

**Stručný popis:**

)))|(((

● zodpovedný za reprezentáciu záujmov budúcich používateľov projektových produktov alebo projektových výstupov a za overenie kvality produktu.

1475

1476

● zodpovedný za návrh a špecifikáciu funkčných a technických požiadaviek, potreby, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu, požiadaviek koncových používateľov na prínos systému a požiadaviek na bezpečnosť.

1477

1478

● Kľúčový používateľ (end user) navrhuje a definuje akceptačné kritériá, je zodpovedný za akceptačné testovanie a návrh na akceptáciu projektových produktov alebo projektových výstupov a návrh na spustenie do produkčnej prevádzky. Predkladá požiadavky na zmenu funkcionalít produktov a je súčasťou projektových tímov

1479

)))

1480

|(((

1481

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

● Návrh a špecifikáciu funkčných a technických požiadaviek

1488

1489

● Jednoznačnú špecifikáciu požiadaviek na jednotlivé projektové výstupy (špecializované produkty a výstupy) z pohľadu vecno-procesného a legislatívy

1490

1491

● Vytvorenie špecifikácie, obsahu, kvalitatívnych a kvantitatívnych prínosov projektu,

1492

1493

● Špecifikáciu požiadaviek koncových používateľov na prínos systému

1494

1495

● Špecifikáciu požiadaviek na bezpečnosť,

1496

1497

● Návrh a definovanie akceptačných kritérií,

1498

1499

● Vykonanie používateľského testovania funkčného používateľského rozhrania (UX testovania)

1500

1501

● Finálne odsúhlasenie používateľského rozhrania

1502

1503

● Vykonanie akceptačného testovania (UAT)

1504

1505

● Finálne odsúhlasenie a akceptáciu manažérskych a špecializovaných produktov alebo projektových výstupov

1506

1507

● Finálny návrh na spustenie do produkčnej prevádzky,

1508

1509

● Predkladanie požiadaviek na zmenu funkcionalít produktov

1510

1511

● Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Príloha č.1

1512

1513

● Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**~ **

**Odporúčané kvalifikačné predpoklady**

**~ **

)))|(((

)))

|(((

**Poznámka**

)))|(((

)))

// //

|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI (KIB) a IT BEZPEČNOSTI (ITB)**

**~ **

)))

|(((

**Stručný popis:**

)))|(((

● zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

1547

1548

● koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

1549

1550

1551

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KIB a ITB:**

1552

1553

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

1554

1555

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

1556

1557

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

1558

1559

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

1560

)))

1561

|(((

1562

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

● špecifikovanie štandardov, princípov a stratégií v oblasti ITB a KIB,

1567

1568

● ak je projekt primárne zameraný na problematiku ITB a KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na ITB a KIB,

1569

1570

● špecifikovanie požiadaviek na ITB a KIB, kontroluje ich implementáciu v realizovanom projekte,

1571

1572

● špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

1573

1574

● špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť ITB a KIB,

1575

1576

● špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

1577

1578

● špecifikovanie požiadaviek na školenia pre oblasť ITB a KIB,

1579

1580

● špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť ITB a KIB,

1581

1582

● špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na ITB a KIB,

1583

1584

● realizáciu posúdenie požiadaviek agendy ITB a KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

1585

1586

● špecifikovanie požiadaviek na ITB a KIB, bezpečnostný projekt a riadenie prístupu,

1587

1588

● špecifikovanie požiadaviek na testovanie z hľadiska ITB a KIB, realizáciu kontroly zapracovania a retestu,

1589

1590

● špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť ITB a KIB, ako aj v zmysle "best practies",

1591

1592

● špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s ITB a KIB kontroluje ich implementáciu v realizovanom projekte,

1593

1594

● špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu ITB a KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

1595

1596

● špecifikáciu požiadaviek na bezpečnosť IT a KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

1597

1598

● špecifikáciu akceptačných kritérií za oblasť ITB a KIB,

1599

1600

● špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na ITB a KIB,

1601

1602

● poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť ITB a KIB,

1603

1604

● získavanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1605

1606

● špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť ITB a KIB,

1607

1608

● konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska ITB a KIB,

1609

1610

● špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť ITB a KIB,

1611

1612

● realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť ITB a KIB

1613

1614

● realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

1615

1616

● realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

1617

1618

● realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť ITB a KIB,

1619

1620

● realizáciu kontroly zameranú na implementovaný proces v priamom súvise s ITB a KIB,

1621

1622

● realizáciu kontroly súladu s planou legislatívou v oblasti ITB a KIB (obsahuje aj kontrolu leg. požiadaviek)

1623

1624

● realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

1625

1626

● poskytovanie konzultácií a súčinnosti pre problematiku ITB a KIB,

1627

1628

● získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti ITB a KIB,

1629

1630

● aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

1631

1632

● plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

1633

)))

1634

|(((

1635

**Odporúčané kvalifikačné predpoklady**

)))|(((

)))

// //

= {{id name="projekt_2747_Pristup_k_projektu_detailny-9.Implementáciaapreberanievýstupovprojektu"/}}9. Implementácia a preberanie výstupov projektu =

1644

1645

Projekt bude realizovaný metódou Waterfall s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej v rámci prípravy projektu.

1646

1647

Tento prístup bol zvolený nakoľko opatrenia KIB je potrebné realizovať vo vzájomných súvislostiach, avšak v správnom postupe. Niektoré môžu byť realizované paralelne, dokonca rôznymi tímami, avšak na základe vopred stanovenej stratégie a plánu celého projektu. Agilný prístup na realizáciu nami plánovaného projektu nie je vhodný i s ohľadom na potrebu realizácie projektu za plnej prevádzky základnej služby Mesta Prešov.

1648

1649

= {{id name="projekt_2747_Pristup_k_projektu_detailny-10.Prílohy"/}}10. Prílohy =

1650

1651

Dokument neobsahuje prílohy.

Koniec dokumentu.