Zmeny dokumentu projekt_2827_Projektovy_zamer_detailny

Naposledy upravil Admin-metais MetaIS 2024/11/13 16:56

From 3.1 to 2.1

Z verzie 2.1

upravil maros_bundzak
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Do verzie 1.1

upravil maros_bundzak
-

Zmeniť komentár: Pre túto verziu nie sú komentáre

Raw
Rendered

Súhrn

Vlastnosti stránky (1 modified, 0 added, 0 removed)
Objekty (1 modified, 0 added, 0 removed)
- Confluence.Code.ConfluencePageClass[0]

Podrobnosti

Vlastnosti stránky

Obsah

@@ -1,472 +1,0 @@
--PROJEKTOVÝ ZÁMER
--Vzor pre manažérsky výstup I-02
--podľa vyhlášky MIRRI č. 401/2023 Z. z.
--Povinná osoba Úrad verejného zdravotníctva SR
--Názov projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti ÚVZ SR
--Zodpovedná osoba za
--projekt
--Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
--Realizátor projektu Úrad verejného zdravotníctva SR
--Vlastník projektu Ing. Jana Grňo Mikulášiová, manažér kybernetickej bezpečnosti
--Schvaľovanie dokumentu
--Položka Meno a priezvisko Organizácia Pracovná pozícia Dátum
--Podpis
--(alebo elektronický
--súhlas)
--Vypracoval ÚVZ SR
--~1. HISTÓRIA DOKUMENTU
--Verzia Dátum Zmeny Meno
--1.0. 01.07.2024 Vypracovanie dokumentu
--1.0 22.12.2023 Zapracovanie súladu s vyhláškou č. 401/2023 Z. z.
--2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE
--V súlade s Vyhláškou 401/2023 Z.z. je dokument I-02 Projektový zámer určený na rozpracovanie detailných informácií
--prípravy projektu, aby bolo možné rozhodnúť o pokračovaní prípravy projektu, pláne realizácie, alokovaní rozpočtu a
--ľudských zdrojov.
--V súlade s Vyhláškou MIRRI SR č. 401/2023 Z. z. o riadení projektov a zmenových požiadaviek v prevádzke IT VS je
--dokument Prístup k projektu určený na rozpracovanie detailných informácií prípravy projektu z pohľadu aktuálneho stavu,
--budúceho stavu a navrhovaného riešenia.
--Dokument Prístup k projektu v zmysle vyššie uvedenej vyhlášky obsahuje opis navrhovaného riešenia, architektúru
--riešenia projektu na úrovni biznis vrstvy, aplikačnej vrstvy, dátovej vrstvy, technologickej vrstvy, infraštruktúry
--navrhovaného riešenia, bezpečnostnej architektúry, špecifikáciu údajov spracovaných v projekte, čistenie údajov,
--prevádzku a údržbu výstupov projektu, prevádzkové požiadavky, požiadavky na zdrojové kódy. Dodávané riešenie bude
--v súlade so zákonom. Zároveň opisuje aj implementáciu projektu a preberanie výstupov projektu.
--Hlavnou motiváciou je realizácia kyberbezpečnostných opatrení definovaných v Z.z. 69/2018 a v zákone o ISVS.
--Prioritne jedná o tie opatrenia, ktoré vykazujú najväčší nesúlad s uvedenými právnymi normami a vyhláškou 362/2018 Z.
--z.. V dôsledku realizácie týchto opatrení budú ÚVZ SR chránené v maximálnej možnej miere pred kybernetickým
--incidentom, ktorý by mohol mať na poskytovanie služieb a prevádzku ÚVZ SR.
--Medzi základné povinnosti je prijatie a dodržiavanie všeobecných bezpečnostných opatrení pre nasledovné oblasti, ktoré
--sú obsahom projektu:
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky
--nového zákona o KB a príslušných vykonávacích predpisov,
--2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
--3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
--4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek
--nového zákona o KB,
--5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí
--medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
--6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie
--pre oblasť kybernetickej bezpečnosti,
--Strana 2/13
--7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb
--zastávajúcich niektorú z bezpečnostných rolí,
--8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky
--Vyhlášky § 17, ods. 03 a ods. 04,
--9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment
--siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
--10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a
--spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
--~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
--12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o
--identifikovaných vzťahoch a súvislostiach,
--13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a
--zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky.
--Cieľom projektu je, aby po jeho realizácii naša inštitúcia dosiahla čo možno najväčší súlad s NIS2, Zákonom
--o kyberbezpečnosti, ako aj Zákonom o ISVS.
--2.1 Použité skratky a pojmy
--SKRATKA/POJEM POPIS
--KIB Kybernetická a informačná bezpečnosť
--IT Informačné technológie
--VS Verejná správa
--ITVS Informačné technológie verejnej správy
--NFP Nenávratný finančný príspevok
--OP SK Operačný program SLovensko
--ÚVZ SR Úrad verejného zdravotníctva SR
--RÚVZ Regionálny úrad verejného zdravotníctva
--MZ SR Ministerstvo zdravotníctva SR
--NKIVS Národná koncepcia informatizácie verejnej správy
--ZoBK Zákon o kybernetickej bezpečnosti
--SOA Security Operations Architecture
--SOC Security Operation Center
--2.2 Konvencie pre typy požiadaviek (príklady)
--Zvoľte si konvenciu pre označovanie požiadaviek, súborov, atd. Hlavné kategórie požiadaviek v zmysle katalógu požiadaviek,
--rozdeľujeme na funkčné (funkcionálne), nefunkčné (kvalitatívne, výkonové a pod.). Podskupiny v hlavných kategóriách je možné
--rozšíriť podľa potrieb projektu, napríklad:
--Funkcionálne (používateľské) požiadavky majú nasledovnú konvenciu:
--FRxx
--• U – užívateľská požiadavka
--• R – označenie požiadavky
--• xx – číslo požiadavky
--Nefunkčné (kvalitatívne, výkonové - Non Functional Requirements - NFR) požiadavky majú nasledovnú konvenciu:
--NRxx
--• N – nefukčná požiadavka (NFR)
--• R – označenie požiadavky
--• xx – číslo požiadavky
--Ostatné typy požiadaviek môžu byť ďalej definované objednávateľom/PM.
--Strana 3/13
--3. DEFINOVANIE PROJEKTU
--3.1 Manažérske zhrnutie
--Úrad verejného zdravotníctva SR ako prevádzkovateľ základnej služby zapísanej v registri prevádzkovateľov
--základných služieb má povinnosti, ktoré vyplývajú zo ZoKB. Medzi základné povinnosti je prijatie a dodržiavanie
--všeobecných bezpečnostných opatrení pre nasledovné oblasti:
--~1. Prehodnoténú SM-03 Bezpečnostná politika a stratégia Úradu verejného zdravotníctva s ohľadom na požiadavky
--nového zákona o KB a príslušných vykonávacích predpisov,
--2. Dopracovanú smernicu pre oblasti riadenia bezpečnosti prevádzky sietí a IS/APP,
--3. Aktualizovanú SM-25 Smernica, ktorou sa upravuje práca s informačnými technológiami,
--4. Nasadený nástroj na automatizáciu analýzy rizík a prehodnotenie a aktualizácia analýzy rizík podľa požiadaviek
--nového zákona o KB,
--5. Spracovávanie inventarizácie aktív a ich klasifikáciu s ohľadom na IS ÚVZ a dokumentovanie vzťahov a závislostí
--medzi IS ÚVZ a ostatnými používanými systémami a aplikáciami na ÚVZ SR,
--6. Prehodnotenú a spracovanú novú SOA (Security Operations Architecture) s ohľadom na novú legislatívu a jej plnenie
--pre oblasť kybernetickej bezpečnosti,
--7. Zavedenú kontrolu dodržiavania bezpečnostných politík zo strany zamestnancov, administrátorov a osôb
--zastávajúcich niektorú z bezpečnostných rolí,
--8. Implementovaný nástroj na detekciu kybernetických bezpečnostných incidentov, ktorý spĺňa všetky požiadavky
--Vyhlášky § 17, ods. 03 a ods. 04,
--9. Navrhnutý a zdokumentovaný efektívny spôsob kontroly pre účely zaručenia, že prevádzka, používanie a manažment
--siete a informačného systému je v súlade s vnútornými predpismi a zmluvnými záväzkami,
--10. Prehodnotenú a aktualizovanú smernicu v oblasti SM-51 Smernica Riadenie kontinuity procesov a činností a
--spracované nové BCP/DRP plány potrebné na zabezpečenie kontinuity činností podľa nového zákona o KB,
--~11. Aktualizovaná SM-44 Smernica o klasifikácii informácií na Úrade verejného zdravotníctva Slovenskej republiky,
--12. Zanalyzované existujúce prostredie ÚVZ SR s ohľadom na vzniknutý systém IS ÚVZ a vytvorené záznamy o
--identifikovaných vzťahoch a súvislostiach,
--13. Zanalyzovaný spôsob efektívnej realizácie monitoringu zariadení, činností, sietí, IS a APP v prostredí ÚVZ SR a
--zabezpečenú podporu pre vybraté riešenie pri jeho nasadení a spustení do prevádzky
--Jednotlivé organizačné jednotky (OZ), teda regionálne úrady verejného zdravotníctva (ktorých je 36)
--využívajú centrálny informačný systém (IS ÚVZ), tzn. že každá OZ, ak sa stane terčom kybernetického útoku,
--ohrozuje fungovanie IS ÚVZ ako celku a môže spôsobiť odstavenie celého systému. V dôsledku toho je
--nevyhnutné, aby navrhovaným systémov disponovalo nie len ÚVZ, ale aj všetky RÚVZ.
--Zasielané udalosti sú v jednotlivých organizáciách na vstupe prijaté, označkované a parsované podľa
--technológie. Následne sú buď vhodnými základnými pravidlami produktu a implementačnými pravidlami na mieru
--spracované, aby bolo možné s nimi vytvárať potrebné navrhnuté scenáre. Ďalej sú uložené a vizualizované buď
--prostredníctvom základných nástrojov, alebo v budúcnosti vyššou formou pomocou integračnej platformy. Implementácia
--zahŕňa vytvorenie prístupových oprávnení v súlade s požiadavkami na viditeľnosť a spracovanie dát a následnú
--vizualizáciu.
--Prevádzkové informácie budú zobrazovať aktuálne informácie o stave logovaných ICT systémov jednotlivých
--organizácií. Nad týmito logmi bude vykonané parsovanie a následne sa uložia do centrálneho dátového skladu, kde
--bude možné s týmito dátami ďalej pracovať. Primárne sa jedná o nepretržitý zber logov a monitorovanie prevádzky ICT
--technológií, systémov, aplikácií, stavu kybernetického a fyzického zabezpečenia a poskytovanie dát a informácií pre
--riešenie odchýlok a nápravných opatrení. Všetky údaje uložené v dátovom sklade budú podrobené procesu sledovania a
--vyhodnocovania podľa nižšie uvedených scenárov. Tým bude zabezpečené sledovanie jednotlivých systémov podľa
--nariadenia NIS2. Jednotlivé zistenia budú automaticky evidované v systéme na riadenie bezpečnosti, ktorý riadi všetky
--zistené riziká a navrhuje vhodné opatrenia. Takto evidované a riadené sledovanie logov povedie k včasnej detekcii rizík
--a ich okamžitej náprave.
--Z pohľadu kompletného zberu logov bude vyhodnocované:
--- prihlasovanie a odhlasovanie ku všetkým účtom, vrátane neúspešných pokusov
--- vykonanie a neúspešný pokus o vykonanie privilegovanej činnosti
--- manipulácia a neúspešný pokus o manipuláciu s účtami, oprávneniami a právami
--Strana 4/13
--- neuskutočnenie činností v dôsledku nedostatku prístupových práv alebo oprávnení
--- začatie a ukončenie činností technických aktív
--- kritické a chybové hlásenia technických aktív
--- prístup a neúspešný pokus o prístup k záznamom udalostí
--- manipulácia a neúspešný pokus o manipuláciu so záznamami udalostí
--- zmenu a neúspešný pokus o zmenu nastavení nástrojov na zaznamenávanie udalostí
--- ďalšie činnosti používateľov, ktoré môžu mať vplyv na bezpečnosť regulovanej služby.
--Výsledky projektu a cieľový stav (manažérske produkty)
--Čiastková aktivita a) Organizácia KB,
--Na základe zistených nedostatkov v oblasti riadenia kybernetickej a informačnej bezpečnosti v organizácii sa určuje
--nasledovný cieľový stav:
--Komplexná bezpečnostná dokumentácia bude novo vypracovaná, pričom zohľadňuje predchádzajúcu dokumentáciu a
--jej aktualizácie vrátane rozsahu a metód dodržiavania všeobecných bezpečnostných opatrení.
--Budú novo sa vyvinuté a implementované špecifické interné riadiace akty pre vybrané oblasti kybernetickej a informačnej
--bezpečnosti.
--Bude aktualizovaný stav bezpečnostného výboru organizácie.
--Bude vypracovaný bezpečnostný projekt komplexnej ochrany informačného systému verejnej správy.
--Čiastková činnosť b) Riadenie rizík KB,
--Na základe zistených nedostatkov v oblasti riadenia rizík kybernetickej a informačnej bezpečnosti v organizácii sa určuje
--nasledovný cieľový stav:
--Všetky aktíva súvisiace so spracovaním informácií a centrálnym inventárnym záznamovým zariadením budú
--identifikované ich hodnotou a s označením ich vlastníka, ktorý definuje ich požiadavky na dôvernosť, dostupnosť a
--integritu (EAM).
--Riadenie rizík bude automatizované pomocou nástroja, pozostávajúce z identifikácie zraniteľnosti, identifikácie hrozieb,
--identifikácie rizík a analýzy rizík s ohľadom na aktíva, určenia vlastníka rizika a implementácie organizačných a
--technických bezpečnostných opatrení, funkčnej analýzy dopadov a pravidelného prehodnocovania identifikovaných rizík
--v závislosti od aktualizácie prijatých bezpečnostných opatrení.
--Bude implementovaný automatizovaný systém správy a registrácie pre inventarizáciu majetku (EAM/).
--Bude implementovaný automatizovaný systém riadenia a registrácie pre katalogizáciu hrozieb.
--Bude zavedený sa automatizovaný systém riadenia a registrácie pre katalogizáciu rizík a opatrení.
--Čiastková činnosť c) Personálna bezpečnosť,
--Na základe zistených nedostatkov v oblasti personálnej bezpečnosti v organizácii je stanovený nasledovný cieľový stav:
--Bude vyvinutý postup na priradenie osoby k jednej z rolí zabezpečenia
--Bude zavedený plán na rozvoj bezpečnostného povedomia a vzdelávania
--Bude vyvinutá metóda hodnotenia účinnosti rozvojového plánu bezpečnostného povedomia
--Budú určené pravidlá a postupy pri riešení porušení bezpečnostnej politiky
--Budú zavedené postupy na ukončenie pracovného pomeru
--Budú zavedené postupy pre prípady porušenia bezpečnostných politík
--Bude vypracovaný a aktualizovaný akt vnútorného riadenia s bezpečnostnými zásadami pre koncových používateľov
--Postupy a procesy, ktorými sa riadi personálna bezpečnosť organizácie, budú vypracované a implementované
--prostredníctvom interného riadiaceho aktu.
--Bude vyhotovený automatizovaný systém riadenia a evidencie pre prácu s organizačnou štruktúrou je implementovaný s
--prepojením na technické získavanie existujúcich informácií z dostupných technických zdrojov – najmä MS AD.
--Čiastková aktivita k) Zaznamenávanie udalostí a monitoring sietí a IS,
--Na základe zistených nedostatkov v oblasti zaznamenávania a monitorovania udalostí je stanovený nasledovný cieľový
--stav:
--Implementovaný bude centrálny log management systém pre zber a ukladanie logov z jednotlivých informačných
--systémov s podporou napojenia na riadiace systémy a poskytovania potrebných podporných dát.
--Bude vypracovaná dokumentácia metód monitorovania a fungovania systému správy log a centrálneho nástroja na
--monitorovanie bezpečnosti a bude definovaný spôsob evidencie prevádzkových záznamov, ich vyhodnocovanie,
--spôsoby hlásenia podozrivej činnosti, zodpovedné osoby a ďalšie povinnosti.
--Strana 5/13
--Vytvorí sa špecifikácia všetkých udalostí, ktoré sa musia zaznamenávať, a súvisiaca konfigurácia prvkov informačných
--technológií verejnej správy vrátane dokumentácie rozsahu údajov zaznamenaných v protokolových súboroch.
--Bude vypracovaný sa vnútorný zákon o riadení, ktorý obsahuje a upravuje povinnosti stanovené platnou legislatívou.
--3.2 Ciele projektu
--Do tabuliek nižšie doplniť CIEĽ /CIELE PROJEKTU, ich mapovanie na strategické ciele (napr. z NKIVS, KRIT a iných strategických
--dokumentov) a súvisiace merateľné ukazovatele (KPI- key performance indicators). Ciele musia byť S.M.A.R.T. - konkrétne, merateľné,
--dosiahnuteľné, relevantné, časovo ohraničené.
--ID Názov cieľa Názov strategického cieľa Spôsob realizácie strategického cieľa
--... ... ...
--... ... ...
--3.3 Merateľné ukazovatele (KPI)
--ID ID/Názov
--cieľa
--Názov
--ukazovateľa
--(KPI)
--Popis
--ukazovateľa
--Merná
--jednotka
--AS IS
--merateľné
--hodnoty
--(aktuálne)
--TO BE
--Merateľné
--hodnoty
--(cieľové
--hodnoty)
--Spôsob ich
--merania Pozn.
--... ... ... ... ... ... ... ...
--... ... ... ... ... ... ... ...
--... ... ... ... ... ... ... ...
--Vysvetlivky k vyplneniu tabuľky:
--• Vzory merateľných ukazovateľov pre projekt sú publikované v Checkliste pre agendu Merateľné ukazovatele/KPI
--([[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality-qa/index.html||shape="rect"]] )
--• AS IS merateľné ukazovatele – t. j. popíšte, aké merateľné ukazovatele máte teraz (vpíšte výsledky meraní – v merateľných
--jednotkách) .
--• TO BE merateľné ukazovatele – t. j. popíšte cieľové merateľné ukazovatele, ktoré chcete dosiahnuť.
--• Odporúčame, aby váš budúci IS mal automatizovaný monitoring (na pravidelnej báze, napr. týždenne) vami stanovených
--merateľných ukazovateľov – s cieľom, aby ste mohli riadiť službu, produkt, proces, ľudí
--• V prípade financovania cez zdroje EÚ uvádzať aj Projektové merateľné ukazovatele z operačného programu (špecifické ciele,
--merateľné ukazovatele atď).
--.
--3.4 Riziká a závislosti
--Zoznam rizík a závislostí realizácie projektu:
--Realizácia projektu na zabezpečenie kyberbezpečnosti financovaného z fondov EÚ môže čeliť viacerým rizikám.
--~1. Nedodržanie harmonogramu aktivít
--Riziko spočíva v nedodržiavaní harmonogramu aktivít projektu, ktoré by vyústilo do oneskorenia projektu.
--Opatrenia na elimináciu:
--V rámci prípravy projektu bol harmonogram jednotlivých aktivít zostavený tak aby zodpovedal možnostiam žiadateľa.
--Na elimináciu rizika nedodržania harmonogramu aktivít projektu je potrebné prijať niekoľko opatrení, ktoré zabezpečia
--efektívne riadenie času a zdrojov. Tu sú niektoré z nich:
--a) Dôkladné plánovanie:
--- žiadateľ má vypracovaný detailný projektový plán so všetkými aktivitami, úlohami a milníkmi.
--Strana 6/13
--- žiadateľ využil osvedčené metódy plánovania, ako sú Ganttove diagramy alebo PERT (Program Evaluation and
--Review Technique).
--b) Realistické časové odhady:
--- v rámci žiadosti boli stanoviné realistické časové rámce pre jednotlivé aktivity na základe skúseností a po porade s
--odbornými konzultantmi,
--- do riadenia a plánovania bol zapojený projektový tím, ktorý bude úlohy vykonávať, aby sa zabezpečila realistickosť
--odhadov.
--c) Identifikácia kritických ciest:
--- žiadateľ určil kritické cesty (critical paths) v projekte, ktoré majú najväčší vplyv na celkový harmonogram.
--- žiadateľ bude pravidelne sledovať postup na týchto kritických cestách a zabezpečí, aby nedošlo k žiadnym
--oneskoreniam.
--d) Rezervy na nepredvídané udalosti:
--- žiadateľ v rámci stanovenia aktivity projektu zahrnúl do plánu časové rezervy (buffer times) na pokrytie
--nepredvídaných udalostí alebo oneskorení.
--- projektový a odborný tím žiadateľa je pripravený flexibilne prispôsobiť plán pri výskyte neočakávaných situácií.
--e) Pravidelný monitoring a kontrola:
--- žiadateľ bude mať v rámci realizácie projektu zavedený zavedený systém pravidelného monitorovania postupu
--projektu a porovnávania s harmonogramom.
--- súčasne budú používané softvérové nástroje na riadenie projektov, ktoré umožňujú sledovanie priebehu v reálnom
--čase.
--f) Efektívna komunikácia:
--- žiadateľ má zavedené pravidelné stretnutia projektového tímu na hodnotenie postupu a riešenie problémov.
--- žiadateľ zabezpečí udržiavať otvorenú a transparentnú komunikáciu medzi všetkými členmi tímu a zainteresovanými
--stranami.
--g) Riadenie rizík:
--- žiadateĺ identifikoval potenciálne riziká, ktoré by mohli ovplyvniť harmonogram, a vypracovať plány na ich
--zmiernenie.
--- žiadateľ bude pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
--h) Dostatočné zdroje:
--- žiadateľ má zabezpečené, aby mal projektový tím k dispozícii všetky potrebné zdroje vrátane personálu, technológií
--a financií.
--- žiadateľ bude riešiť prípadné nedostatky zdrojov čo najskôr, aby nedošlo k oneskoreniam.
--i) Flexibilita a adaptabilita:
--- žiadateľ je pripravený prispôsobiť harmonogram podľa aktuálnych podmienok a vývoja situácie.
--- žiadateľ bude mať zavedené spolu s projektovými tímom procesy pre rýchlu reakciu na zmeny a úpravu plánov.
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--2. Nedosiahnutie plánovaných hodnôt merateľných ukazovateľov
--Hoci v rámci projektu sa nesledujú také merateľné ukazovatele, ktoré by boli merateľnými ukazovateľmi s príznakom,
--žiadateľ si uvedomuje možné riziká súvisiace s nenaplnením merateľných ukazovateľov.
--Opatrenia na elimináciu rizika:
--Keďže merateľné ukazovatele sú odrazom úspešného naplnenia jednotlivých aktivít, prijímateľ prijal alebo prijme najmä
--nasledovné opatrenia:
--Prijímateľ dlhoročne realizuje projekty financované s fondov EÚ. Samotný projekt vyplýva z jeho dlhodobých plánov a
--preto celé jeho nastavenie je podrobne analyzované vrátane nastavenia časového harmonogramu a cieľových hodnôt
--Strana 7/13
--merateľných ukazovateľov.Prijímateľ do realizácie projektu zapojil odborných zamestnancov spoločnosti, aby bolo
--zaručené dosiahnutie plánovaných výsledkov.
--Aby sa eliminovalo riziko nedosiahnutia plánovaných hodnôt merateľných ukazovateľov v rámci projektu, môžu byť
--prijaté nasledujúce opatrenia:
--a) Precízne plánovanie a nastavenie realistických cieľov:
--- V projekte sú definované jasné a realistické ciele a merateľné ukazovatele (KPIs) na základe dôkladnej analýzy,
--prípravy projektu a prieskumu trhu.
--- Žiadateľ využil historické údaje a osvedčené metódy na stanovenie cieľov.
--b) Pravidelný monitoring a hodnotenie:
--- žiadateľ zavedie v rámci realizácie projektu systém pravidelného monitoringu a hodnotenia postupu dosahovania
--cieľov.
--- žiadateľ zavedie v rámci realizácie projektu mechanizmy na pravidelné správy a analýzy progresu.
--c) Flexibilita a adaptabilita:
--- projektový tím žiadateľa je pripravený prispôsobiť plány a stratégie na základe zistení z monitoringu.
--- žiadateľ počs realizácie projektu zavedie procesy pre rýchlu reakciu na neočakávané udalosti alebo zmeny v
--externom prostredí.
--d) Zabezpečenie potrebných zdrojov:
--- žiadateľ identifikoval a zabezpečil všetky potrebné zdroje vrátane finančných, ľudských a technologických potrebných
--na úspešnú realizáciu projektu,
--- žiadateľ bude pravidelne preverovať dostupnosť zdrojov a riešiť prípadné nedostatky.
--e) Kvalitný projektový manažment:
--- žiadateľ disponuje skúsenými a certifikovanými projektovými manažérmi, ktorý skúsenosti sú uvedené v časti 7.4.
--ŽoNFP,
--- žiadateľ bude využívať pri realizácii projektu osvedčené metodiky projektového riadenia, ako sú PRINCE2, PMI
--alebo Agile.
--f) Zapojenie všetkých zainteresovaných strán:
--- žiadateľ prostredndíctvom projektového tímu zabezpečí, aby všetci zainteresovaní boli dostatočne informovaní a
--zapojení do projektu.
--- žiadateľ plánuje organizovať pravidelné stretnutia a konzultácie s projektovým tímom a relevantnými stranami na
--získanie spätnej väzby a podpory pri realizácii projektu,
--g) Rizikový manažment:
--- Identifikovať potenciálne riziká spojené s dosahovaním ukazovateľov a vypracovať plány na ich zmiernenie.
--- Pravidelne aktualizovať rizikový register a prijímať preventívne opatrenia.
--h) Komunikácia a transparentnosť:
--- Zabezpečiť otvorenú a transparentnú komunikáciu o postupoch a výsledkoch.
--- Informovať tím a vedenie o aktuálnom stave a prípadných problémoch.
--i) Kontrola a audit:
--- Zaviesť interné a externé kontroly a audity na preverenie plnenia merateľných ukazovateľov.
--- Implementovať odporúčania z auditov na zlepšenie procesov a výkonnosti.
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--3. Nedostatky v dodávkach od externých dodávateľov
--Nedodržiavanie termínov zo strany externých dodávateľov služieb a tovarov. Dodávateľ(lia) služieb a tovarov, ktorý
--vzíde z procesu verejného obstarávania nebude dodržiavať harmonogram prác a dodávok, resp. bude v omeškaní.
--Strana 8/13
--Opatrenia na elimináciu rizika:
--Projektový manažér bude pravidelne komunikovať s dodávateľom, konzultovať prípadné omeškania, hľadať riešenia. V
--rámci realizácie projektu budú organizované pravidelné zasadnutia Riadiaceho výboru. Postihy za škody a omeškania
--budú definované v rámci zmluvy o dodávke tovaru, resp. poskytnutí služieb. Ďalším opatrením je už dnes realizovaná
--kontrola kvality externých dodávateľov zo strany žiadateľa. Súčasne bude žiadateľ starostlivo vyberať dodávateľov na
--základe ich schopností a referencií. V rámci procesu verejného obstarávania budú zavedené jasné zmluvné podmienky
--a dohodnúť si pravidelné kontroly plnenia záväzkov, vrátane finančných sankciíí. Žiadateľ bude sa bude usilovať o
--diverzifikovanie dodávateľov, aby sa minimalizovala závislosť na jedinom zdroji. Podmienkou žiadateľa bude
--implementovať osvedčené technológie a riešenia, ktoré sú už overené na trhu. Žiadateľ zároveň planuje investovať do
--školení a certifikácií pre zamestnancov, aby mali potrebné zručnosti a vedomosti.
--Závažnosť tohto rizika však považujeme za nízku, vzhľadom na zabezpečenie účinných opatrení na elimináciu.
--Na základe vykonanej analýzy rizík ohrozujúcich úspešnú realizáciu projektu možno konštatovať, že menej ako
--10 % rizík z celkového počtu identifikovaných rizík v ŽoNFP je s vysokou závažnosťou, ktoré ohrozujú úspešnú
--realizáciu projektu.
--4. SÚČASNÁ ARCHITEKTÚRA PREVÁDZKOVANÝCH IS
--ÚVZ SR, ako aj jednotlivé RÚVZ spoločne používajú IS ÚVZ.
--Strana 9/13
--Strana 10/13
--5. ROZPOČET A PRÍNOSY
--Rozpočet projektu je detailne špecifikovaný v časti 11. Rozpočet projektu v rám ci predloženej ŽoNFP.
--6. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU A METÓDA JEHO RIADENIA
--Harmonogram projektu je uvedený v časti 9. Harmonogram realizácie aktivít predloženej ŽoNFP.
--Projekt bude realizovaný metódou Waterfall:
--Waterfall - vodopádový prístup počíta s detailným naplánovaním jednotlivých krokov a následnom dodržiavaní
--postupu pri vývoji alebo realizácii projekty. Projektovému tímu je daný minimálny priestor na zmeny v priebehu
--realizácie. Vodopádový prístup je vhodný a užitočný v projektoch, ktorý majú jasný cieľ a jasne definovateľný
--postup a rozdelenie prác.
--Objednávateľ projektu vypracuje funkčnú a technickú špecifikáciu,
--Strana 11/13
--Dokumenty obsahujúce informácie klasifikované ako chránené a prísne chránené podľa Vyhlášky č.362/2018 Z.z.,
--ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah
--všeobecných bezpečnostných opatrení budú v rámci projektu odovzdávané v elektronickej podobe šifrovane pomocou
--PGP kľúčov, ktoré si žiadateľ a dodávateľ na začiatku projektu vymenia.
--Pri akceptácii budú vyhotovované vopred definované akceptačné kritéria a požiadavky z katalógu funkčných
--a nefunkčných požiadaviek vzťahujúce sa k jednotlivým míľnikom projektu.
--Metóda riadenia "Waterfall" (vodopád) je jedným z najtradičnejších prístupov k riadeniu projektov v oblasti IT. Tento
--model je lineárny a sekvenčný, čo znamená, že každá fáza projektu musí byť dokončená pred začiatkom ďalšej. Tieto
--fázy sú nasledovné:
--~1. Požiadavky (Requirements):*
--- V tejto počiatočnej fáze sú zhromaždené všetky požiadavky na systém. Ide o veľmi dôležitý krok, pretože chyby v
--požiadavkách môžu mať vážne následky v neskorších fázach. Dokumentujú sa všetky požiadavky zákazníka, funkčné aj
--nefunkčné, a výsledkom je detailná špecifikácia požiadaviek.
--2. Analýza systému (System Design):
--- Po dokončení zhromažďovania požiadaviek sa prejde k analýze systému a návrhu. Táto fáza zahŕňa vytvorenie
--architektúry systému, technických špecifikácií a návrhu softvéru, ktorý bude schopný splniť všetky definované
--požiadavky.
--3. Implementácia (Implementation):
--- Po schválení návrhu systému sa začne s implementáciou, teda s programovaním a kódovaním systému podľa
--navrhnutých špecifikácií. Výsledkom tejto fázy je hotový softvér.
--4. Integrácia a testovanie (Integration and Testing):
--- V tejto fáze sa jednotlivé komponenty systému integrujú a testujú sa ako celok, aby sa overilo, či systém funguje
--podľa očakávaní a splňuje všetky špecifikované požiadavky. Testovanie zahŕňa rôzne typy testov, vrátane funkčných,
--integračných a systémových testov.
--5. Nasadenie (Deployment):
--- Po úspešnom testovaní sa systém nasadí do produkčného prostredia. Táto fáza môže zahŕňať aj školenie
--používateľov a prípravu dokumentácie pre používateľov.
--6. Údržba (Maintenance):
--- Po nasadení systému začína fáza údržby, ktorá zahŕňa opravy chýb, aktualizácie a vylepšenia systému na základe
--spätnej väzby od používateľov a meniace sa požiadavky.
--Strana 12/13
--Výhody Waterfall modelu:
--- Jednoduchosť a jasná štruktúra:*Každá fáza má jasne definovaný začiatok a koniec.
--- Dobre zdokumentovaný proces: Všetky požiadavky a kroky sú detailne zdokumentované.
--- Jednoduché riadenie:*Jednoduché plánovanie a sledovanie pokroku projektu.
--Waterfall model je ideálny pre projekty, kde sú požiadavky jasne definované a stabilné, a kde sa očakáva, že projekt
--prebehne bez veľkých zmien. V súčasnosti sa však stále častejšie využívajú agilné prístupy, ktoré lepšie vyhovujú
--dynamickým a meniacim sa požiadavkám projektov.
--Kvantitatívne prínosy projektu:
--• Zníženie nákladov spojených so sanáciou KBU/KBI
--• Zníženie nákladov spojených s elimináciou následkov reaktívnych KBI
--Kvalitatívne prínosy projektu:
--• Zníženie rizika KBI,
--• Zvýšenie súladu s platnou legislatívou,
--• Zvyšovanie úrovne kybernetickej a informačnej bezpečnosti,
--• Zvýšenie detekcie KBI,
--• Zvýšte spokojnosť a dôveru používateľov,
--Popis cieľového stavu
--Základné ciele projektu:
--• Aktualizácia stratégie kybernetickej bezpečnosti,
--• Aktualizácie bezpečnostnej politiky KB vrátane implementačnej dokumentácie, v súlade s Príloha –
--Manažérske Produkty,
--• Vykonávanie inventarizácie aktív, klasifikácie informácií a kategorizácie sietí a interných systémov,
--• Stabilizácia riadenia rizík – aktualizácia analýzy rizík a analýzy dopadov a nasadenie nástroja Asset Inventory,
--Threats, Risks and Measures (EAM/),
--• Implementácia nástroja na zaznamenávanie a monitorovanie udalostí (Log Management)
--• Implementácia auditu KB, procesu riadenia a kontroly dodržiavania predpisov.
--7. PROJEKTOVÝ TÍM
--Projektový tím je detailne popísaný v predloženej ŽoNFP, časť 7.5 Prevádzková kapacita žiadateľa.
--ID Meno a Priezvisko Pozícia Oddelenie Rola v projekte
--~1. Doplniť meno
--a priezvisko
--Doplniť pozíciu (pracovné
--zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
--2. Doplniť meno a
--priezvisko
--Doplniť pozíciu (pracovné
--zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
--3. Doplniť meno a
--priezvisko
--Doplniť pozíciu (pracovné
--zaradenie v línii) Doplniť názov org. útvaru Doplniť rolu v projekte
--Vzor organizačnej štruktúry
--Strana 13/13
--8. VÝSLEDKY PROJEKTU
--VÝSLEDKOM PROJEKTU JE ZABEZPEČENIE SÚLADU SO SMERNICOU NIS2 a Zákonom o kybernetickej
--bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti)
--Realizáciou vyššie uvedenej aktivity, dosiahne žiadateľ súlad so Smernicou NIS2 a Zákonom o kybernetickej
--bezpečnosti Slovenskej republiky (Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti). Tieto aktivity pokrývajú širokú
--škálu oblastí vrátane bezpečnostnej politiky, správy rizík, ochrany proti škodlivému kódu, inventarizácie aktív,
--bezpečnosti sietí a informačných systémov, kontroly prístupu, riadenia zraniteľností, monitoringu, kontinuity činností a
--incident managementu.
--Tu je prehľad, ako tieto aktivity pomáhajú dosiahnuť súlad:
--~1. Bezpečnostná politika a stratégia: Prehodnotenie a aktualizácia bezpečnostnej politiky a stratégie zabezpečuje, že
--organizácia má správne nastavený rámec pre kybernetickú bezpečnosť v súlade s legislatívou.
--2. Smernice a procesy : Aktualizácia a vytváranie nových smerníc pre rôzne oblasti kybernetickej bezpečnosti
--zabezpečuje, že všetky činnosti sú vykonávané v súlade s novými požiadavkami Zákona a NIS2.
--3. Riadenie rizík: Nasadenie nástrojov na automatizáciu analýzy rizík a aktualizácia analýzy rizík zabezpečuje, že riziká
--sú riadne identifikované, hodnotené a riadené.
--4. Inventarizácia aktív: Spracovanie inventarizácie aktív a ich klasifikácia pomáha organizácii identifikovať a spravovať
--svoje informačné aktíva, čo je kľúčové pre ochranu citlivých informácií.
--5. Log management: Implementácia nástrojov a procesov na detekciu a riadenie kybernetických bezpečnostných
--incidentov zabezpečuje, že organizácia môže efektívne zvládať incidenty a minimalizovať ich dopad.
--Realizácia týchto aktivít predstavuje komplexný prístup k dosiahnutiu súladu s NIS2 a Zákonom o kybernetickej
--bezpečnosti, čím sa zabezpečuje ochrana kritickej infraštruktúry a citlivých informácií v súlade s aktuálnymi
--požiadavkami.
--9. PRÍLOHY
--Príloha : Zoznam rizík a závislostí (Excel): [[https:~~/~~/www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality>>url:https://www.mirri.gov.sk/sekcie/informatizacia/riadenie-kvality-qa/riadenie-kvality||shape="rect"]]

Confluence.Code.ConfluencePageClass[0]

Id

@@ -1,1 +1,1 @@
--155326444
++155326078

Zmeny dokumentu projekt_2827_Projektovy_zamer_detailny

Súhrn

Podrobnosti

Aplikácie

Navigácia

Moje posledné úpravy

Need help?