projektovy_zamer

= {{id name="projekt_2841_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

114

115

V súlade s Vyhláškou č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy je dokument Projektový́ zámer pre prípravnú a iniciačnú fázu určený na rozpracovanie detailných informácií prípravy projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka predkladaného v rámci výzvy č. PSK-MIRRI-611-2024-DV-EFRR.

**~ **

== {{id name="projekt_2841_Projektovy_zamer_detailny-2.1.Použitéskratkyapojmy"/}}2.1. Použité skratky a pojmy ==

(% class="" %)|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

(% class="" %)|(((

EOL

)))|(((

End of Life

)))

(% class="" %)|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

(% class="" %)|(((

SIEM

)))|(((

Security Information and Event Management

)))

(% class="" %)|(((

sietIS

)))|(((

Informačný systém

)))

(% class="" %)|(((

SLA

)))|(((

Service Desk Manager

)))

(% class="" %)|(((

SW

)))|(((

Softvér

)))

(% class="" %)|(((

MsÚ

)))|(((

Miestny úrad

)))

(% class="" %)|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

(% class="" %)|(((

MCA

)))|(((

Multikriteriálna analýza

)))

(% class="" %)|(((

PZS

)))|(((

Poskytovateľ základnej služby

)))

= {{id name="projekt_2841_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.1.Manažérskezhrnutie"/}}3.1. Manažérske zhrnutie ==

V súčasnosti pre oblasť kybernetickej a informačnej bezpečnosti platí, že situácia, zabezpečenie a prijaté opatrenia nie sú dostatočné. Subjekty čoraz viac evidujú zvyšujúcu sa frekvenciu a závažnosť útokov, z interného hľadiska sa neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov, ktoré evidujú aj subjekty v oblasti verejnej správy, čo si uvedomuje aj Mestská časť Bratislava - Petržalka.

198

199

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, ktoré nastavujú požiadavky a štandard z pohľadu bezpečnostných opatrení, sú povinné aj pre mestá ako poskytovateľov základných služieb, v dôsledku čoho sa Mestská časť Bratislava - Petržalka rozhodla zapojiť sa do danej výzvy.

200

201

V sektore verejná správa, kde sa nachádza najväčší počet poskytovateľov základných služieb sa situácia v oblasti kybernetickej bezpečnosti dlhodobo nemení (Správa o kybernetickej bezpečnosti v Slovenskej republike v roku 2022). V tejto oblasti je možné pozorovať až kritické zanedbávanie bezpečnosti. Najmä samosprávy a menší prevádzkovatelia si dostatočne neuvedomujú dôležitosť témy kybernetickej bezpečnosti, k problematike pristupujú povrchovo a zameriavajú sa skôr na formálne aktivity, ako napríklad kupovanie generickej dokumentácie. Celkové riadenie kybernetickej bezpečnosti pri PZS v tomto sektore často chýba, je chaotické alebo čiastkové. Samosprávy sa snažia preniesť zodpovednosti pre túto oblasť na externých poskytovateľov služieb (podľa správy NBÚ, 2022).

202

203

Podľa štatistík Národného bezpečnostného úradu za rok 2022 /aktuálnejšie štatistiky nie sú dostupné/ je v sektore verejná správa 1417 poskytovateľov základných služieb, pričom počet PZS s povinnosťou auditu bol 1416 (bolo možné splniť aj samohodnotením podľa §34a ods. 2 ZoKB). Za rok 2022 bolo odovzdaných 99 auditných správ a 405 samohodnotení. Z odovzdaných auditov boli identifikované nasledovné nedostatky:

204

205

* nepreukázaný systém riadenia kybernetickej bezpečnosti,

206

* bezpečnostná stratégia kybernetickej bezpečnosti ani ďalšia bezpečnostná dokumentácia nebola predložená,

207

* manažér kybernetickej bezpečnosti nie je formálne menovaný, je v konfliktom záujmov a má nevhodne kumulované zodpovednosti,

208

* analýza rizík nie je zakotvená ako proces v interných predpisoch ani metodicky popísaná, nevykonáva sa,

209

* v organizácii sa nachádzajú vysoko privilegované účty, ktoré sú spoločné a nemajú definovaných vlastníkov a účel,

210

* v organizácii neexistuje definícia závažného kybernetického bezpečnostného incidentu, organizácia nevypracovala postupy a nemá dostatočné schopnosti na detekciu, zvládanie a poučenie sa z prípadných incidentov.

211

212

Uvedené nedostatky sú identifikované aj v Mestská časti Bratislava - Petržalka. Miestny úrad má však pozíciu manažéra kybernetickej bezpečnosti obsadenú interne.

\\

Prevádzkovateľ základnej služby mal v období od 1.8.2021 do 31.12.2023 povinnosť auditu podľa zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Mestská časť Bratislava - Petržalka si zákonnú povinnosť splnila predložení Samohodnotenia v zmysle zákona o kybernetickej bezpečnosti (predloženie 07/2022). Výsledky samohodnotenia poukazujú na nasledovné problematické a kritické oblasti:

217

218

* prevádzkový monitoring aktív a komponentov je nastavený čiastočne,

219

* čiastočne vykonávaný monitoring parametrov tak, aby mala organizácia nepretržitý prehľad o prostredí organizácie,

220

* nie je implementovaný nástroj na výkon bezpečnostného monitoringu nad aktívami, ktoré sa podieľajú na základnej službe.

\\

Realizovaná Analýza rizík (akt. z 04/2024) definuje tieto najkritickejšie hrozby:

225

226

* nie je pripravený postup ani zastupiteľnosť pre prípad realizácie hrozby, čo závažným spôsobom ohrozí fungovanie úradu alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 5),

227

* nízke bezpečnostné povedomie zamestnancov, zvýšené riziko prezradenia informácie, spustenia škodlivého kódu či chýb pri používaní počítačov, čo naruší fungovanie úradu, môže spôsobiť škodu a stratu reputácie (úroveň rizika 5),

228

* nízke bezpečnostné povedomie zamestnancov, poskytnutie informácie, prístupu, zaslanie peňazí z účtu a pod, čo závažne ovplyvní vzťah s inými organizáciami a verejnosťou, pričom môže ísť aj o nadnárodný rámec (úroveň rizika 5),

229

* KIB nie je systematicky riadená, riešená, vynucovaná a kontrolovaná. Nie je proces ani postup, ako zistiť, následne manažovať prípadný incident. Nesplnenie alebo neskoré splnenie povinností v reakcii na incident a v predchádzaní incidentom, čo vedie k nedodržaniu zákonných povinností, pokuty a negatívnej publicite (úroveň rizika 5),

230

* nie je definovaný disciplinárny proces pre prípad bezpečnostného incidentu, kedy krádež informácie, neoprávnený prístup, používanie softvéru neoprávneným spôsobom, závažným spôsobom ohrozí fungovanie úradu alebo zastavenie poskytovania základnej služby. V prípade zistenia zodpovednosti vinníka incidentu nie je možné uložiť sankciu (úroveň rizika 5),

231

* nejasná stratégia a koncepcia, chýbajúci proces, zneužitie zraniteľnosti, chyby softvéru, čo je dôsledkom toho, že úrad nenadefinoval, nevynucoval a priebežne vyhodnocoval bezpečnostné požiadavky na IS SAMO, doteraz nebola vykonaná analýza rizík, ktorá by bola priebežne aktualizovaná v celom životnom cykle informačného systému, doteraz preverený penetračnými testami. Bezpečnostný výbor sa nestretáva, vlastník aktíva nie je formálne určený a nebol priamo zaangažovaný do celého bezpečnostného procesu posudzovania rizík, čo môže ohroziť stabilitu, funkčnosť a hlavne bezpečnosť celého IS. Dopady takéhoto incidentu predstavujú možnú pokutu v zmysle GDPR, zákona o KB, možné súdne spory s dotknutými osobami v prípade úniku alebo zneužitia ich citlivých údajov a tiež to viedlo k zvýšenému reputačnému riziku v dôsledku medializácie prípadu (úroveň rizika 4),

232

* nie je nasedený bezpečnostný monitoring (SIEM), nástroj, ktorý by zbieral, monitoroval, koreloval jednotlivé udalosti a nepretržite zabezpečoval notifikáciu bezpečnostných udalostí a incidentov. Nemožnosť riadne zdokumentovať prípadný incident kybernetickej bezpečnosti (úroveň rizika 4),

233

* Miestny úrad Petržalka nemá spracované riadenie kontinuity kritických procesov a služieb, nebola určená zodpovedná osoba/vlastník procesu, neexistujú plánu kontinuity ani plánu obnovy IS a jednotlivých komponentov, neexistujú havarijné plány pre prípad nepredvídateľných udalostí s možnými negatívnymi dopadmi na prevádzkovateľa aj správcu. Nie sú identifikované možné dopady výpadkov jednotlivých technológií, komponentov a systémov, čo môže viesť k nemožnosti poskytovania služby občanom, nespokojnosti občanov a porušeniu dobrého mena (úroveň rizika 4),

234

* mobilné zariadenia s emailovým účtom nie sú dostatočne zabezpečené, nie sú určené a vynucované bezpečnostné politiky pre mobilné zariadenie. V prípade straty či krádeže mobilného telefónu člena vedenia mesta môže útočník vykonať škodlivú, neautorizovanú činnosť - napr. neautorizovaná platba, zaslanie neautorizovaného emailu, vydanie pokynu k realizácii činnosti (úroveň rizika 4),

235

* poškodzovanie zariadení alebo sietí následkom vysokých teplôt /požiar/. čo závažným spôsobom ohrozí fungovanie úradu alebo môže viesť k zastaveniu poskytovania základnej služby (úroveň rizika 4),

236

* nemožnosť kontroly dátových tokov ani aktivít zariadení pripojených vo vnútornej sieti, nemožnosť riadne zdokumentovať prípadný incident kybernetickej bezpečnosti, čo závažným spôsobom ohrozí fungovanie úradu, alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 4),

237

* používanie zastaraného a nepodporovaného systému a softvéru- Windows, Office, prehliadač, aplikácia, systémová utilita, čo závažným spôsobom ohrozí fungovanie úradu, alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 4),

238

* chýbajúca politika pre používanie elektronickej pošty, čo vedie k úniku citlivej informácie, nesprávnemu smerovaniu správ (úroveň rizika 4).

239

240

**Po zrealizovaní navrhovaných opatrení budú zostatkové riziká minimalizované /úroveň 1-2/.**

\\

Projekt "Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka" je strategickou iniciatívou zameranou na posilnenie kybernetickej odolnosti Mestskej časti. Cieľom projektu je realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov prostredníctvom modernizácie IT infraštruktúry a zavedenia pokročilých bezpečnostných technológií a postupov.

\\

__Realizácia projektu prispeje k naplneniu špecifických cieľov výzvy:__

249

250

* **//RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy //**v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

\\

__V rámci projektu sa plánuje realizácia nasledujúcich kľúčových opatrení: __

255

256

1. **Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík, **ktorý zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

257

1. **Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB: **Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

258

1. **Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management), **ktorý umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

259

1. **Zavedenie systému pre riadenie prístupov IDM **umožní efektívne prideľovanie, monitorovanie a revíziu prístupových práv, čím sa zabezpečí, že k citlivým údajom a aplikáciám budú mať prístup len oprávnené osoby. Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry.

260

1. **Vybudovanie Security Incident and Event Management (SIEM) - **Opatrenie je zamerané na vytvorenie nástroja zabezpečujúceho analýzu informácií zo všetkých sieťových zariadení, OS, databáz, aplikácií a pod., ktorými žiadateľ disponuje (SIEM), ktoré bude kompletne vybudované vo vlastníctve žiadateľa, tzv. on premise.

261

1. **Vytvorenie sekundárnej DR lokality:** Aby sa minimalizovali riziká spojené s výpadkami a zabezpečila rýchla obnova prevádzky, je potrebné zriadiť sekundárnu lokalitu. Toto záložné centrum bude slúžiť ako záložné úložisko pre kritické aplikácie a dáta, zabezpečí replikáciu údajov v reálnom čase a poskytne potrebnú infraštruktúru na rýchle obnovenie služieb. Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

262

1. **Modernizácia zálohovacej infraštruktúry:** Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

263

1. **Obstaranie a implementácia nástroja na správu zraniteľností **umožní systematicky skenovať, identifikovať a analyzovať zraniteľnosti v reálnom čase, pričom poskytne nástroje na ich prioritizáciu a nápravu. Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

264

1. **Zavedenie a správa nástroja na riadenie kapacít, **ktorý umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty.  Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku. 

265

1. **Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

266

1. **Vykonanie auditu kybernetickej bezpečnosti:** Vykonanie auditov a penetračných testov na konci projektu poskytne hodnotné prehľady o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

\\

Uvedené opatrenia sa budú realizovať v rámci jednej hlavnej aktivity projektu **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, **ktorá bude prebiehať** od 01/2025 do 12/2025. **Obdobie realizácie zabezpečí rýchlu a efektívnu implementáciu potrebných opatrení v súlade s dynamicky sa meniacim kybernetickým prostredím. Realizácia tohto projektu je kritickým krokom k zabezpečeniu digitálnej infraštruktúry Mestského úradu a ochrane jeho obyvateľov pred rastúcimi kybernetickými hrozbami.

271

272

__Realizáciou projektu bude zabezpečené naplnenie nasledujúcich merateľných ukazovateľov:__

273

274

1. ukazovatele výstupu:

275

276

* PO095 / PSKPSOI12 - //Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov - **1 verejná inštitúcia - Mestský úrad Petržalka **/možné overiť** **v** **//štatistickom registri organizácií vedenom Štatistickým úradom SR, ktoré sú zaradené v sektore verejnej správy/

277

278

1. ukazovatele výsledku:

279

280

* PR017 / PSKPRCR11 - //Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov// - **//200 používateľov//** / interní zamestnanci Mestskej časti Bratislava - Petržalka/.

\\

Celkový rozpočet projektu je 572 480,95 Eur, ktorý pokryje všetky náklady spojené s nákupom, implementáciou a zaškolením kľúčových používateľov. Projekt prinesie mnohé prínosy, vrátane posilnenej kybernetickej a informačnej bezpečnosti, zníženia rizika incidentov, a zlepšenia dôvery a spokojnosti občanov a zamestnancov MsÚ s poskytovanými digitálnymi službami.

285

286

Projekt je predkladaný v rámci výzvy //PSK-MIRRI-611-2024-DV-EFRR Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni - verejná správa. //Projekt bude implementovaný v rámci Programu Slovensko a jeho špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, v rámci Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť).

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.2.Motiváciaarozsahprojektu"/}}3.2. Motivácia a rozsah projektu ==

291

292

Mestská časť Bratislava - Petržalka stojí pred výzvami v oblasti kybernetickej a informačnej bezpečnosti, ktoré sú dôsledkom narastajúcich kybernetických hrozieb a stále prísnejších legislatívnych požiadaviek na ochranu dát. Súčasná úroveň kybernetickej a informačnej bezpečnosti nie je adekvátne pripravená na odvrátenie týchto hrozieb, čo ohrozuje nielen bezpečnosť dát občanov, ale aj celkovú integritu mestských informačných systémov a infraštruktúry.

293

294

Mestská časť Bratislava - Petržalka je ako poskytovateľ základných služieb zapísaný do registra PZS od 1.3.2020, pričom sa jedná o službu //Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 275/2006 Z. z. podporujúci služby verejnej správy, služby vo verejnom záujme a verejné služby.// Informačné systémy Mestského úradu boli budované živelne, bez koncepcie, ktorej cieľom by bola kybernetická bezpečnosť, v dôsledku čoho sa témou stáva otázka zabezpečenia informačných aktív Mestského úradu, tak aby spĺňali požiadavky vyplývajúce zo zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z. a požiadavky na GDPR. Mestská časť Bratislava - Petržalka si uvedomuje tiež narastajúci vplyv informačných systémov na chod úradu a úroveň služieb, ktoré poskytuje verejnosti. Rovnako citlivo vníma tiež informácie o rastúcom počte a závažnosti kybernetických incidentov. Práve s ohľadom na uvedené vykonalo prvý krok k zlepšeniu úrovne kybernetickej bezpečnosti v rámci identifikácie kritických oblastí a definovania opatrení potrebných na minimalizáciu rizík a dopadov v danej oblasti.

295

296

Mestská časť Bratislava - Petržalka má formálne definovanú pozíciu Manažéra kybernetickej bezpečnosti /interný zamestnanec/, z ktorej vyplýva jeho možnosť predkladať návrhy a oznamovať informácie v oblasti KB priamo štatutárnemu orgánu PZS a jeho nezávislosť od riadenia prevádzky a vývoja služieb informačných technológií. Na prevádzke základnej služby sa podieľajú emailová služba a parkovací systém - parkovanie v Petržalke.

297

298

Na informačnú štruktúru Mestskej časti Bratislava - Petržalka sú tiež naviazané ďalšie organizácie:

299

300

* Kultúrne zariadenia Petržalky,

301

* Miestna knižnica Petržalka,

302

* Bytový podnik Petržalka,

303

* Stredisko sociálnych služieb Petržalka,

304

* Športové zariadenia Petržalky,

305

* Petržalská výstavba,

306

* Mládežnícky parlament,

307

* Rada seniorov,

308

* Mestská polícia,

309

* DHZO Bratislava - Petržalka,

310

* Materské školy v zriaďovateľskej pôsobnosti mestskej časti /27 MŠ/.

\\

Úroveň dotknutých subjektov priamo závisí od funkčnosti informačných systémov Mestského úradu a niektoré služby sú od ich prevádzkyschopnosti dokonca plne závislé. Nedostupnosť informačných aktív v dôsledku kybernetického incidentu preto môže mať fatálny vplyv nielen na základnú službu a poskytovanie ostatných služieb MsÚ ale i jeho vyššie uvedených organizácií, ktoré sú na jeho infraštruktúru naviazané.

315

316

Najvýznamnejšie problémy, ktoré sa v Mestskej časti Bratislava - Petržalka čoraz viac prejavujú:

317

318

* **Nedostatočné riadenie rizík a zraniteľností:** Mestská časť čelí bez jasného prehľadu o tom, kde presne je zraniteľné, riziku neefektívneho využívania zdrojov na ochranu aktív alebo k opomenutiu kritických hrozieb.  V oblasti riadenia rizík chýba nástroj, ktorý by efektívne preskúmaval a aktualizoval identifikované riziká v závislosti od prijatých bezpečnostných opatrení.

319

* **Neúplná alebo neaktualizovaná bezpečnostná a riadiaca dokumentácia:** Absencia alebo zastaranie interných smerníc a postupov v oblasti kybernetickej bezpečnosti môže viesť k nesúladu s aktuálnymi legislatívnymi požiadavkami ako aj aktuálnym bezpečnostným stavom.

320

* **Nedostatočná implementácia riadenia procesov IT a KIB:** Mestská časť čelí výzvam v oblasti efektívneho riadenia procesov IT a KIB. Nedostatok systematických a koordinovaných postupov môže viesť k neefektívnemu riadeniu IT infraštruktúry a bezpečnostných opatrení. Bez centralizovaného a aktuálneho prehľadu o všetkých IT a bezpečnostných procesoch je zložité zabezpečiť súlad s internými predpismi a externými reguláciami, čo zvyšuje riziko nesúladov a možných postihov.

321

* **Nedostatočné riadenie prístupov k aplikáciám a údajom: **Nedostatočná kontrola a správa prístupových práv môže viesť k neoprávnenému prístupu, čo zvyšuje riziko zneužitia informácií a potenciálnych bezpečnostných incidentov. Absencia centralizovaného a automatizovaného systému na správu prístupových práv sťažuje identifikáciu, monitorovanie a riadenie prístupov zamestnancov a externých partnerov.

322

* **Nedostatočné monitorovanie a detekcia hrozieb v reálnom čase:** Absencia komplexných systémov pre monitorovanie a reakciu na bezpečnostné incidenty v reálnom čase obmedzuje schopnosť efektívne reagovať na potenciálne hrozby.

323

* **Nedostatočné fyzické zabezpečenie IKT infraštruktúry pre prevádzku kritických systémov: **môže mať za následok závažné narušenie prevádzky a stratu citlivých údajov. Absencia adekvátnych fyzických bezpečnostných opatrení, ako sú kontrola prístupu, monitorovacie systémy a bezpečnostné protokoly, zvyšuje zraniteľnosť IT infraštruktúry voči rôznym fyzickým hrozbám.

324

* **Nedostatočná zálohovacia infraštruktúra:** Absencia robustnej zálohovacej stratégie a infraštruktúry zvyšuje riziko straty dát v prípade zlyhania hardvéru alebo kybernetických útokov ako je napr. ransomware.

325

* **Nedostatočné riadenie zraniteľností v IT infraštruktúre: **Absencia nástroja na detegovanie existujúcich zraniteľností programových a technických prostriedkov a ich častímôže viesť k prehliadnutiu kritických bezpečnostných hrozieb a následne k potenciálnym bezpečnostným incidentom a stratám dát.

326

* **Nedostatočný monitoring všetkých IT aktív: **môže viesť k prehliadnutiu anomálií, nesprávnemu fungovaniu systémov a oneskoreným reakciám na bezpečnostné incidenty. Absencia adekvátnych monitorovacích nástrojov a procesov znamená, že problémy môžu zostať neodhalené až do okamihu, keď spôsobia významné narušenie prevádzky alebo bezpečnosti.

327

* **Nedostatočná správa a aktualizácia softvérových záplat (patch) a endpointov: **Nedostatok efektívneho nástroja na patch a endpoint manažment môže viesť k zraniteľnostiam v systémoch, ktoré útočníci môžu zneužiť. Tento problém zahŕňa oneskorené alebo neúplné nasadzovanie aktualizácií, čo môže mať za následok zvýšené riziko kybernetických útokov a nespoľahlivosť IT infraštruktúry.

328

* **Nedostatočná validácia efektivity zavedených bezpečnostných opatrení:** Potreba vykonať audit a penetračné testy na konci projektu s cieľom validovať účinnosť implementovaných bezpečnostných opatrení a identifikovať zostávajúce potrebné oblasti zlepšenia.

\\

S ohľadom na vyššie uvedené nedostatky je predmetom projektu súbor technických riešení, ktoré zlepšia celkovú úroveň kybernetickej bezpečnosti MsÚ Petržalka, eliminujú kritické problémy v tejto oblasti a umožnia dosiahnuť požadovanú úroveň jeho informačnej a kybernetickej bezpečnosti v súlade s platnou legislatívou.

333

334

Projekt zasahuje do množstva biznis procesov MsÚ vrátane tých, ktoré sú zamerané na spracovanie a ochranu citlivých údajov, riadenie prístupu k informačným systémom, ako aj na efektívnu reakciu na potenciálne bezpečnostné incidenty. Cieľom je posilniť tieto procesy, čím sa zvýši odolnosť MsÚ voči kybernetickým hrozbám. Projekt sa špecificky sústredí na zlepšenie v oblasti kybernetickej a informačnej bezpečnosti, ktorá je nevyhnutná pre zabezpečené a efektívne fungovanie mestskej správy a poskytovanie základných služieb obyvateľom.

335

336

Hlavnou motiváciou je **zabezpečiť, aby Mestská časť Bratislava - Petržalka bola schopná efektívne reagovať na kybernetické hrozby, ochraňovať dáta svojich obyvateľov a zabezpečiť neprerušené poskytovanie kritických služieb**.

337

338

Projekt čelí obmedzeniam, ako sú obmedzené finančné zdroje, potreba súladu s legislatívou a nevyhnutnosť spolupráce naprieč rôznymi oddeleniami. Prekonanie týchto prekážok bude kľúčové pre úspešné dosiahnutie cieľov projektu a zabezpečenie dlhodobej udržateľnosti zvýšenej úrovne kybernetickej a informačnej bezpečnosti n MsÚ.

\\

Obrázok 1 Motivačná architektúra projektu

343

344

V rámci rozsahu projektu, Mestská časť Bratislava - Petržalka sa rozhodla zvoliť najefektívnejšie technologické riešenie, ktoré prispeje k eliminácii najkritickejších problémov v oblasti kybernetickej a informačnej bezpečnosti. V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia:

(% class="" %)|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))|(((

**Dopad/následok**

)))

(% class="" %)|(((

**1.**

)))|(((

**Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

363

)))|(((

364

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

365

)))|(((

366

1. Vypracovanie analýzy rizík, hrozieb a zraniteľností, ktorej výsledky budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

367

368

2. Vypracovanie klasifikácie informácií a kategorizácie sietí a informačných systémov, podľa klasifikačnej schémy v súlade s prílohou č.2 vyhlášky 362/2018.

3. Implementácia IS.

4. Vypracovanie prvotnej analýzy rizík a šablón.

373

374

5. Dokumentácia a školenie.

\\

)))|(((

- //zníženie zraniteľnosti vyplývajúcej s nedostatočného riadenie rizík a opatrení v oblasti KB//

)))

(% class="" %)|(((

**2.**

)))|(((

**Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB:**

384

)))|(((

385

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

386

)))|(((

387

1. Vypracovanie a aktualizácia definovanej dokumentácie:

388

389

- stratégia kybernetickej bezpečnosti

390

391

- bezpečnostná politika

392

393

- smernica pre riadenie informačnej bezpečnosti

394

395

- smernica výkonu analýzy rizík a dopadov

396

397

- smernice o bezpečnostnej prevádzke IS a sietí

398

399

- smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

400

401

- politika BCM vrátane stratégie obnovy

402

403

- bezpečnostný projekt informačného systému

- výkon AR/BIA

)))|(((

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

(% class="" %)|(((

**3.**

)))|(((

**Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management**

413

)))|(((

414

Systém umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

\\

)))|(((

1. Nastavenie modulov a zásuvných modulov.

419

420

2. Definovanie procesov a pracovných postupov.

421

422

3. Riadenie prístupov a oprávnení.

423

424

4. Integrácia s inými systémami.

425

426

5. Notifikácie a komunikácia.

427

428

6. Školenie a podpora.

429

)))|(((

430

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

(% class="" %)|(((

**4.**

)))|(((

**Zavedenie systému pre riadenie prístupov IDM**

436

)))|(((

437

Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry

438

)))|(((

439

1. Inštalácia a nasadenie IAM.

440

441

2. Implementácia core IAM procesov.

442

443

3. Školenie a podpora.

444

)))|(((

445

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenia prístupov//

)))

(% class="" %)|(((

**5.**

)))|(((

**Vybudovanie SIEM a SOC**

451

)))|(((

452

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

453

)))|(((

454

1. Implementácia SIEM a SOC

455

456

2. Dokumentácia a školenie.

457

)))|(((

458

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

(% class="" %)|(((

**6.**

)))|(((

**Vytvorenie sekundárnej DR lokality**

464

)))|(((

465

Zriadenie sekundárnej lokality za účelom minimalizácie rizík spojených s výpadkami a zabezpečenia rýchlej obnovy prevádzky., Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

\\

)))|(((

1. Zriadenie a prenájom optického prepojenia medzi obstarávateľom a poskytovateľom DR lokality.

470

471

2. Migrácia, zriadenie, konfigurácia a otestovanie Sekundárnej DR lokality.

472

473

3. Aktualizácia plánov obnovy a relevantnej dokumentácie.

4. Nákup HW.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

478

479

//- zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby. //

// //

)))

(% class="" %)|(((

**7.**

)))|(((

**Modernizácia zálohovacej infraštruktúry**

487

)))|(((

488

Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

\\

)))|(((

1. Aktualizácia existujúcej licencie Veeam.

493

494

2. Nasadenie a konfigurácia diskového pola.

495

)))|(((

496

//- zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

// //

)))

(% class="" %)|(((

**8.**

)))|(((

**Obstaranie a implementácia nástroja na správu zraniteľností**

504

)))|(((

505

Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

\\

)))|(((

1. Implementácia nástroja na správu zraniteľností.

510

511

2. Dokumentácia a školenie.

512

)))|(((

513

//- zníženie zraniteľnosti vyplývajúcej s nedostatočného detegovania existujúcich zraniteľností programových a technických prostriedkov a ich častí.//

)))

(% class="" %)|(((

**9.**

)))|(((

**Zavedenie a správa nástroja na riadenie kapacít**

519

)))|(((

520

Nástroj na riadenie kapacít umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty. Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku.

)))|(((

1. Inštalácia a základná konfigurácia.

525

526

2. Nastavenie monitorovacích objektov.

527

528

3. Konfigurácia upozornení a eskalácií.

529

530

4. Vizuálne rozhrania a reporty

531

532

5. Integrácia a rozšírenia.

533

534

6. Bezpečnosť a prístupové práva.

535

536

7. Školenie a podpora.

\\

)))|(((

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

(% class="" %)|(((

**10.**

)))|(((

**Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **

546

)))|(((

547

Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

\\

)))|(((

1. Implementácia nástrojov pre správu a aktualizáciu softvérových záplat a endpointov.

552

553

2. Dokumentácia a školenie.

554

)))|(((

555

//- zníženie zraniteľnosti vyplývajúcej z nedostatočnej kontroly zraniteľností technických a programových prostriedkov //

)))

(% class="" %)|(((

**11.**

)))|(((

**Vykonanie auditu kybernetickej bezpečnosti**

561

)))|(((

562

Vykonanie auditu a na začiatku a na konci projektu poskytne hodnotný prehľad o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

\\

)))|(((

1. Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a. Vykonaný audit

b. Záverečná správa o výsledkoch vykonaného auditu

571

)))|(((

572

- //vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti//

573

)))

574

575

Tabuľka 1 Obsah projektu

Implementáciou týchto opatrení bude dosiahnuté výrazné zvýšenie odolnosti prevádzky siete voči kybernetickým útokom, výrazné zvýšenie bezpečnosti prevádzky, zväčšenie dostupnosti služieb MsÚ. Projekt umožní vytvoriť robustnejšiu infraštruktúru, ktorá bude funkčne a kapacitne vyhovovať potrebám nevyhnutným pre poskytovanie služieb MsÚ a z bezpečnostného hľadiska spĺňať legislatívne požiadavky. Zároveň projekt umožní nastaviť procesy a postupy, ako tento stav v čase zachovať a rozvíjať v nadväznosti na požiadavky vyplývajúce zo zmeny legislatívy, resp. rozsahu poskytovaných služieb.

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.3.Zainteresovanéstrany/Stakeholderi"/}}3.3. Zainteresované strany/Stakeholderi ==

V rámci projektu " Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka " sú zainteresované rôzne strany, ktoré zohrávajú kľúčovú úlohu v jeho realizácii a budúcom fungovaní. Tieto strany zastávajú rozličné role, od rozhodovania a riadenia projektu až po jeho konkrétnu implementáciu a využívanie výsledkov. Tu je prehľad hlavných zainteresovaných strán a ich rolí v projekte:

(% class="" %)|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

(% class="" %)|(((

1.

)))|(((

Miestny úrad Petržalka

610

)))|(((

611

Mestská časť Bratislava - Petržalka

612

)))|(((

613

Vlastník a implementátor procesu

614

)))|(% rowspan="6" %)(((

615

ISVS poskytujúce základnú službu

\\

)))

(% class="" %)|(((

2.

)))|(((

Interní zamestnanci MsÚ

623

)))|(((

624

//Mestská časť Bratislava - Petržalka//

)))|(((

Používateľ

)))

(% class="" %)|(((

3.

)))|(((

Manažér kybernetickej bezpečnosti

632

)))|(((

633

//Mestská časť Bratislava - Petržalka//

634

)))|(((

635

Zodpovednosť za oblasť KIB MsÚ

)))

(% class="" %)|(((

4.

)))|(((

Vybrané organizácie mestskej časti

641

)))|(((

642

//Mestská časť Bratislava - Petržalka//

)))|(((

Používateľ

)))

(% class="" %)|(((

5.

)))|(((

Občan / podnikateľ

)))|(((

\\

)))|(((

Používateľ

)))

(% class="" %)|(((

6.

)))|(((

Poskytovateľ IT služby

)))|(((

\\

)))|(((

Poskytovateľ alebo konzument údajov IS MsÚ v podobe dátových zdrojov otvorených dát alebo vo forme služieb resp. rozhraní

663

)))

664

665

Tabuľka 2 Stakeholderi projektu

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.4.Cieleprojektu"/}}3.4. Ciele projektu ==

670

671

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy a očakávanými výsledkami definovaných v Partnerskej dohode SR na roky 2021-2027. Definície tiež vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 - 2025.

672

673

**__Hlavný cieľ projektu:__**

674

675

* **//realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, //**//čo nadväzuje na RSO 1.2** Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy **//v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

676

677

**Čiastkové ciele projektu:**

678

679

* **//Zabezpečenie riadenia a dodržiavania opatrení kybernetickej bezpečnosti //**///v rámci oprávnenej podaktivity b) Riadenie rizík a v súlade s ďalšími opatreniami v rámci spracovania dokumentácie/,//

680

* **//Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov //**///v rámci oprávnenej podaktivity k) Zaznamenávanie udalostí a monitorovanie v rámci Výzvy/,//

681

* **//Zabezpečenia zálohovacích riešení //**///v rámci oprávnenej podaktivity n) Kontinuita prevádzky/,//

682

* **//Implementácia nástroja na správu zraniteľností ///**// v rámci oprávnenej podaktivity g) Hodnotenie zraniteľností a bezpečnostné aktualizácie/,//

683

* **//Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí//**// /v rámci v rámci oprávnenej podaktivity f) Bezpečnosť pri prevádzke informačných systémov a sietí///

684

* **//Zabezpečenie auditu a kontrolných činností//**// /v rámci oprávnenej podaktivity o) Audit a kontrolné činnosti/.//

Súlad cieľov v rámci relevantných strategických dokumentov v oblasti KIB:

(% class="" %)|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

706

)))|(((

707

Spôsob realizácie strategického cieľa

)))

(% class="" %)|(((

1.

)))|(((

Program Slovensko - Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

713

)))|(((

714

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

715

)))|(((

716

Rozvoj a implementácia konkrétnych technologických a organizačných opatrení, ktoré sú zamerané na posilnenie kybernetickej odolnosti a zabezpečenie dát Mestskej časti a jeho obyvateľov.

)))

(% class="" %)|(((

2.

)))|(((

NKIVS - Strategická priorita Kybernetická a informačná bezpečnosť

722

)))|(((

723

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

724

)))|(((

725

Projekt zvýši mestu schopnosť včasnej identifikácie kybernetických incidentov prostredníctvom implementácie systému SIEM pre real-time analýzu a monitorovanie bezpečnostných udalostí.

)))

(% class="" %)|(((

3.

)))|(((

Národná stratégia kybernetickej bezpečnosti - Strategický ciel Kybernetická bezpečnosť ako základná súčasť verejnej správy

731

)))|(((

732

Kybernetická bezpečnosť ako základná súčasť verejnej správy

733

)))|(((

734

Výsledkom projektu bude zvýšenie ochrany prevádzkovateľa základných služieb MsÚ z hľadiska kybernetickej bezpečnosti. Toto bude preukázané aj auditom na konci projektu ktorý preukáže pozitívny trend zlepšovania stavu kybernetickej bezpečnosti v Miestnej časti.

735

)))

736

737

Tabuľka 3 Ciele projektu

738

739

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.5.Merateľnéukazovatele(KPI)"/}}3.5. Merateľné ukazovatele (KPI) ==

(% class="" %)|(((

ID

)))|(((

\\

\\

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

\\

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

\\

)))

(% class="" %)|(((

1

)))|(((

PO095 / PSKPSOI12

\\

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

781

)))|(((

782

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

verejné inštitúcie

)))|(((

0

)))|(((

1 verejná inštitúcia - Mestský úrad Petržalka

789

)))|(((

790

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

791

792

Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

793

)))|(((

794

Typ ukazovateľa: Výstup

)))

(% class="" %)|(((

2

)))|(((

PR017 / PSKPRCR11

\\

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

804

)))|(((

805

Počet používateľov nových vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

200 používateľov - počet interných zamestnancov

812

)))|(((

813

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov v IAM, Databázou používateľov v oblasti KIB.

814

815

V prípade Mestskej časti ide o počet zamestnancov, ktorí využívajú IS MsÚ alebo akékoľvek elektronické zariadenia v správe MsÚ.

816

817

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

818

)))|(((

819

Typ ukazovateľa: Výsledok

820

)))

821

822

Tabuľka 4 Merateľné ukazovatele projektu

823

824

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.6.Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6. Špecifikácia potrieb koncového používateľa ==

825

826

V kontexte MsÚ, koncovým používateľom je IT oddelenie a sekundárne tiež interní zamestnanci Mestskej časti Bratislava - Petržalka, podnikateľské subjekty pôsobiace na území Mestskej časti, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky informačných systémov MsÚ, ktoré by znefunkčnili poskytovanie základnej služby.

\\

Z výsledkov samohodnotenia vyplynuli definície potrieb a požiadaviek na realizáciu konkrétnych opatrení v oblasti kybernetickej a informačnej bezpečnosti, v ktorých MsÚ ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z.z. Požiadavky potrieb koncového používateľa úzko koreluje s definovanými oblasťami/opatreniami, ktoré sú riešené v rámci predkladaného projektu.

831

832

Realizáciou projektu budú očakávania a potreby koncového používateľa naplnené.

\\

**__Technický popis riešenia s cieľom zabezpečenia potrieb používateľa:__**

837

838

**Opatrenie 1 Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

839

840

* riešenie zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík,

841

* výsledky analýzy rizík budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

\\

**Opatrenie 2 -** **Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB**

846

847

* výsledkom aktualizácie a doplnenia bezpečnostnej dokumentácie bude:

848

* stratégia kybernetickej bezpečnosti,

849

* bezpečnostná politika,

850

* smernica pre riadenie informačnej bezpečnosti,

851

* smernica výkonu analýzy rizík a analýzy dopadov (AR/BIA),

852

* smernica o bezpečnostnej prevádzke IS a sietí,

853

* smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

854

* politika BCM vrátane stratégie obnovy,

855

* bezpečnostný projekt informačného systému,

* výkon AR/BIA.

\\

**Opatrenie 3 - Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management)**

861

862

* riešenie umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom,

\\

**Opatrenie 4 -** **Zavedenie systému pre riadenie prístupov IDM**

867

868

* riešenie projektu predstavuje nástroj na riadenie prístupových oprávnení. Systém podporí viacfaktorovú autentifikáciu (MFA), vrátane hesiel a tokenov, zabezpečí riadenie prístupových práv na základe rolí, automatizované vytváranie, správu a odstraňovanie užívateľských účtov, synchronizáciu používateľských účtov naprieč rôznymi systémami a aplikáciami.

869

* riešenie zároveň zabezpečí bezpečné generovanie, uchovávanie a obnovu hesiel, podporí politiku komplexity hesiel a pravidelnej zmeny hesiel, sledovanie a zaznamenávanie prístupových udalostí a aktivít.

\\

**Opatrenie 5 -** **Vybudovanie Security Incident and Event Management (SIEM) a zabezpečenie SOC as a service**

874

875

* opatrenie bude spočívať vo vytvorení nástroja zabezpečujúceho analýzu informácií zo všetkých sieťových zariadení, OS, databáz, aplikácií a pod. Vybudovaný SIEM bude tvoriť základ pre prevádzku Security Operation Center (SOC), ktorý bude zabezpečovať dohľad bezpečnosti sieťových zariadení, serverov, aplikácií a jednotlivých klientov. Vybudovaný SIEM bude zabezpečovať aktívny zber dát z monitorovaných zariadení a aplikácií v reálnom čase a následne zabezpečovať odhaľovanie potenciálnych hrozieb prostredníctvom automatizovanej korelácie dát zo zariadení. Priebežná analýza okamžite upozorní na neštandardné správanie systému, ktoré by mohlo predstavovať potenciálnu hrozbu. Odborná kapacita zabezpečujúca dohľad nad SOC-om takéto riziko vyhodnotí a určí či je hrozba kritická, alebo postačuje jej evidencia. Obstarávateľ plánuje vybudovanie kompletného hardvérového a softvérového riešenia SIEM v rámci svojho majetku a následnú prevádzku SOC plánuje zabezpečovať prostredníctvom služby u externého dodávateľa. Vytvorené riešenie umožní tiež zaviesť postup na využitie verejných a výrobcami poskytovaných zoznamov, ktoré opisujú zraniteľnosti programových a technických prostriedkov.

\\

**Opatrenie 6 - Vytvorenie sekundárnej DR lokality**

880

881

* Vytvorenie sekundárnej lokality bude zriadené v SIX (The Slovak Internet Exchange) prostredníctvom optického pripojenia.

882

* v rámci riešenia bude zriadené optické prepojenie medzi sídlo miestneho úradu a areálom Oddelenia správy verejných priestranstiev na ulici Ondreja Štefánka 2 v Bratislave, bude zabezpečená migrácia, zriadenie, konfigurácia a otestovanie sekundárnej DR lokality v SIX, aktualizácia plánov obnovy a relevantnej dokumentácie, nákup HW.

**~ **

**Opatrenie 7 - Modernizácia zálohovacej infraštruktúry**

887

888

* v rámci riešenia bude zabezpečená aktualizácia zálohovacieho systému prostredníctvom obnovy existujúcej licencie a nákup diskového poľa, nákup archivačného servera.

**~ **

**Opatrenie 8 - Obstaranie a implementácia nástroja na správu zraniteľností**

893

894

* nástroj umožní komplexne riešiť správu zraniteľností - vulnerability scaning a poskytovať automatizované riadenie zraniteľností,

895

* umožní systematicky skenovať, identifikovať a analyzovať zraniteľnosti v reálnom čase, pričom poskytne nástroje na ich prioritizáciu a nápravu. Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

896

897

**Opatrenie 9 - Zavedenie a správa nástroja na riadenie kapacít**

898

899

* nástroj umožní pokryť monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Systém bude informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera a monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Systém umožní porovnávať dáta v rôznych časových obdobiach, analyzovať históriu. Systém bude zároveň schopný automatizácie, napr. cez Network alebo Low-level discovery a bude schopný správy aj cez smartfón, schopný nasadenia vlastných skriptov s prístupom k funkciám cez API.

\\

**Opatrenie 10 - Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov**

904

905

* riešenie zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

906

* súčasťou systému bude automatizované nasadenie patchov, skenovanie a vyhodnocovanie zraniteľností, reportovanie a sledovanie, integrované aktualizácie, správu zariadení, nasadzovanie softvéru, zabezpečenie zariadení, inventarizácia a sledovanie /udržiavanie aktuálneho prehľadu o hardvérových a softvérových prostriekov organizácie a sledovanie stavu a životného cyklu zariadení a aplikácií/.

\\

**Opatrenie 11 - Vykonanie auditu kybernetickej bezpečnosti**

911

912

* na konci realizácie projektu bude vykonaný Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti, na ktorého konci poskytne Záverečná správu o výsledkoch vykonaného auditu s cieľom poskytnutia hodnotných prehľadov o efektívnosti prijatých opatrení a pomoci identifikovania ďalších možností zlepšenia.

\\

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.7.Rizikáazávislosti"/}}3.7. Riziká a závislosti ==

919

920

Zoznam rizík a závislostí je uvedený́ v prílohe Zoznam rizík a závislosti.

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.8.Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8. Stanovenie alternatív v biznisovej vrstve architektúry ==

(% class="" %)|(((

**Alternatíva**

)))|(((

**Stručný popis**

)))|(((

**Výhody**

)))|(((

**Nevýhody**

)))

(% class="" %)|(((

**Alternatíva 1: **Realizácia projektu v plnej miere

937

)))|(((

938

Kompletná realizácia všetkých naplánovaných opatrení na modernizáciu IT infraštruktúry a implementáciu bezpečnostných technológií, vrátane auditov. Cieľom je dosiahnuť maximálnu možnú úroveň kybernetickej a informačnej bezpečnosti a zabezpečiť celkovú odolnosť MsÚ proti kybernetickým hrozbám, ochranu citlivých dát a kontinuitu kritických služieb. Táto alternatíva predstavuje najkomplexnejšie riešenie, ktoré ponúka najvyššie zabezpečenie a zodpovedá aktuálnym a predpokladaným potrebám Mestskej časti Bratislava - Petržalka.

\\

)))|(((

1. Komplexné riešenie, ktoré adresuje všetky identifikované bezpečnostné hrozby a nedostatky.

943

944

2. Maximálna možná úroveň ochrany citlivých dát a IT infraštruktúry.

945

946

3. Zvýšenie odolnosti MsÚ proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

947

948

4. Lepšia pripravenosť MsÚ vzhľadom na budúce technologické a bezpečnostné výzvy.

\\

)))|(((

1. Potenciálne vysoké počiatočné náklady na implementáciu všetkých plánovaných opatrení.

953

954

2. Vyžaduje si rozsiahle zdroje a značné úsilie pri implementácii a školení zamestnancov.

\\

)))

(% class="" %)|(((

**Alternatíva 2: **Čiastočná implementácia projektu

960

)))|(((

961

Realizácia len vybraných opatrení z celkového plánu, s dôrazom na najkritickejšie aspekty infraštruktúry a bezpečnosti. Takéto čiastočné riešenia by mohli zlepšiť súčasný stav, ale neponúkajú komplexné zabezpečenie a nezabezpečujú všetky identifikované potreby a riziká. Táto alternatíva by mohla viesť k nedostatočnej ochrane proti niektorým druhom hrozieb a k obmedzenej schopnosti reagovať na incidenty, čo by mohlo mať za následok vyššie dlhodobé náklady a riziká.

962

)))|(((

963

1. Riešenie, ktoré adresuje vybrané identifikované bezpečnostné hrozby a nedostatky.

964

965

2. Čiastočné zvýšenie úrovne ochrany citlivých dát a IT infraštruktúry.

966

967

3. Čiastočné zvýšenie odolnosti MsÚ proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

968

969

4. Čiastočné zlepšenie pripravenosti MsÚ vzhľadom na budúce technologické a bezpečnostné výzvy.

\\

)))|(((

1. Nezabezpečuje komplexnú ochranu pred všetkými potenciálnymi hrozbami.

974

975

2. Môže vytvárať bezpečnostné medzery v dôsledku neúplného pokrytia rizík.

976

977

3. Vyššie dlhodobé náklady a riziká v dôsledku potenciálne potrebných dodatočných zásahov.

\\

)))

(% class="" %)|(((

**Alternatíva 3: **Udržiavanie súčasného stavu

\\

)))|(((

Táto alternatíva predstavuje možnosť neuskutočniť žiadne zmeny a ponechať IT infraštruktúru a bezpečnostné opatrenia MsÚ v súčasnom stave. Tento prístup by znamenal výrazné riziká, keďže by sa neadresovali identifikované problémy a nedostatky v kybernetickej a informačnej bezpečnosti. Udržiavanie súčasného stavu by mohlo viesť k vážnym bezpečnostným incidentom, stratám dát a výpadkom kritických služieb, čo by malo negatívny dopad na obyvateľov Mestskej časti a mohlo by viesť k vysokým finančným a reputačným stratám.

\\

)))|(((

1. Žiadne počiatočné náklady spojené s implementáciou nových systémov alebo procesov.

991

992

2. Vyhneme sa zložitosti spojenej s plánovaním a realizáciou projektu.

\\

)))|(((

1. Vysoké riziko bezpečnostných incidentov v dôsledku neadresovania existujúcich a budúcich hrozieb.

997

998

2. Potenciálne fatálne následky v prípade bezpečnostného incidentu vrátane straty dát, financií a dôvery verejnosti.

999

1000

3. Nedostatočná príprava na budúce technologické a bezpečnostné výzvy, čo môže viesť k dlhodobým stratám a zvýšeným nákladom na nápravu.

\\

)))

Tabuľka 5 Alternatívy v biznisovej vrstve

\\

Z týchto analýz je zrejmé, že hoci kompletná implementácia projektu vyžaduje vyššie počiatočné investície a značné úsilie, dlhodobé výhody výrazne prevyšujú potenciálne nevýhody, najmä pokiaľ ide o komplexne riešenie všetkých identifikovaných potreby a zabezpečenie adekvátnej úrovne ochrany pre Mestskú časť Bratislava - Petržalka a jej obyvateľov.

\\

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.9.Multikriteriálnaanalýza"/}}3.9. Multikriteriálna analýza ==

1014

1015

Na základe uvedených alternatív a kontextu môžeme vytvoriť tabuľku MCA pre výber najvhodnejšej alternatívy pre projekt podpory v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti. Táto analýza sa zameriava na splnenie biznisových požiadaviek bez technologických predpojatostí.

\\

(% class="" %)|(((

Kritérium (KO = kľúčové kritérium)

)))|(((

ZDÔVODNENIE KRITÉRIA

)))|(((

MsÚ

)))|(((

Obyvatelia

)))|(((

IT Oddelenie

)))

(% class="" %)|(((

Komplexnosť riešenia (KO)

1032

)))|(((

1033

Projekt by mal adresovať všetky identifikované bezpečnostné hrozby a nedostatky.

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Udržateľnosť riešenia (KO)

1043

)))|(((

1044

Riešenie musí byť udržateľné a schopné adaptácie na budúce zmeny a hrozby.

)))|(((

X

)))|(((

\\

)))|(((

X

)))

(% class="" %)|(((

Nákladová efektívnosť

1054

)))|(((

1055

Projekt by mal byť nákladovo efektívny pri zohľadnení dlhodobých výhod a rizík.

)))|(((

X

)))|(((

\\

)))|(((

X

)))

(% class="" %)|(((

Zvýšenie kybernetickej odolnosti

1065

)))|(((

1066

Projekt by mal významne zvýšiť kybernetickú odolnosť MsÚ.

)))|(((

X

)))|(((

X

)))|(((

X

)))

(% class="" %)|(((

Minimálne narušenie existujúcich procesov

1076

)))|(((

1077

Projekt by mal minimalizovať narušenie existujúcich biznis procesov.

)))|(((

\\

)))|(((

\\

)))|(((

X

)))

Tabuľka 6 Multikriteriálna analýza - Stanovenie kritérií

V tejto tabuľke:

* "Miestny úrad" reprezentuje záujmy samosprávy, ktorá zodpovedá za celkovú kybernetickú a informačnú bezpečnosť a infraštruktúru.

1091

* "Obyvatelia" predstavujú záujmy občanov Mestskej časti, ktorí sú priamymi užívateľmi mestských služieb, a pre ktorých je dôležitá ochrana ich osobných údajov a dostupnosť služieb.

1092

* "IT Oddelenie" je zodpovedné za implementáciu a správu bezpečnostných riešení a IT infraštruktúry.

(% class="" %)|(((

Zoznam kritérií

)))|(((

Alternatíva 1: Realizácia projektu v plnej miere

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2: Čiastočná implementácia projektu

)))|(((

Spôsob

dosiahnutia

)))|(((

**Alternatíva 3: **Udržiavanie súčasného stavu

\\

)))|(((

Spôsob

dosiahnutia

)))

(% class="" %)|(((

Komplexnosť riešenia (KO)

)))|(((

áno

)))|(((

Plná implementácia zabezpečí komplexné riešenie všetkých identifikovaných problémov.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Udržateľnosť riešenia (KO)

)))|(((

áno

)))|(((

Riešenie je navrhnuté tak, aby bolo udržateľné a adaptabilné na budúce zmeny.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Nákladová efektívnosť

)))|(((

áno

)))|(((

Optimalizácia nákladov prostredníctvom efektívneho využívania zdrojov.

)))|(((

áno

)))|(((

Menej nákladové, ale aj menej efektívne.

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Zvýšenie kybernetickej odolnosti

)))|(((

áno

)))|(((

Komplexné bezpečnostné opatrenia zvyšujú celkovú odolnosť.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

(% class="" %)|(((

Minimálne narušenie existujúcich procesov

)))|(((

áno

)))|(((

Navrhnuté tak, aby minimalizovalo narušenie.

)))|(((

nie

)))|(((

\\

)))|(((

nie

)))|(((

\\

)))

Tabuľka 7 Multikriteriálna analýza - Porovnanie alternatív na základe naplnenia stanovených kritérií

1196

1197

Táto tabuľka poskytuje porovnanie, ako každá z alternatív spĺňa zvolené kritériá. Alternatíva 1 (úplná realizácia projektu) je jednoznačne preferovaná, keďže spĺňa všetky kritériá, zatiaľ čo alternatívy 2 a 3 majú významné nedostatky vo viacerých kľúčových oblastiach.

// //

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.10.Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10. Stanovenie alternatív v aplikačnej vrstve architektúry ==

(% class="" %)|(((

**Alternatíva**

)))|(((

**Nutné moduly**

)))|(((

**Preferované moduly**

1209

)))

1210

(% class="" %)|(((

1211

**Alternatíva 1: **Realizácia projektu v plnej miere

1212

)))|(((

1213

· Plná implementácia SIEM systému so všetkými funkčnosťami pre detekciu, analýzu a reakciu na bezpečnostné incidenty.

1214

1215

· Plná implementácia IDM.

1216

1217

· Modernizácia zálohovej infraštruktúry a vytvorenie sekundárnej DR lokality.

1218

)))|(((

1219

· Rozšírené analytické a prediktívne schopnosti SIEM systému. .

1220

1221

· Využitie cloudových technológií pre zvýšenie flexibility a škálovateľnosti IT infraštruktúry.

1222

1223

· Integrácia IDM s active directory.

1224

)))

1225

(% class="" %)|(((

1226

**Alternatíva 2: **Čiastočná implementácia projektu

1227

)))|(((

1228

· Základná implementácia SIEM systému s obmedzenými analytickými schopnosťami.

1229

1230

· Obmedzený IDM systém, ktorý pokrýva čiastočnú funkcionalitu.

1231

1232

· Obmedzená modernizácia zálohovej infraštruktúry a nevytvorenie sekundárnej DR lokality.

1233

)))|(((

1234

Preferované moduly alternatívy 2 sú v časti nutné moduly alternatívy 1.

1235

)))

1236

(% class="" %)|(((

1237

**Alternatíva 3: **Udržiavanie súčasného stavu

\\

)))|(((

Žiadne nové implementácie, udržiavanie existujúcich systémov a infraštruktúry bez zmien.

1242

)))|(((

1243

Neaplikuje sa, keďže žiadne nové moduly ani funkcionality nebudú pridané

1244

)))

1245

1246

Tabuľka 8 Alternatívy v aplikačnej vrstve

Tieto aplikačné alternatívy sa priamo odvíjajú od biznis alternatív a sú zamerané na konkrétne technologické riešenia, ktoré majú podporovať stanovené biznis ciele a požiadavky.

// //

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.11.Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11. Stanovenie alternatív v technologickej vrstve architektúry ==

1255

1256

Technologická architektúra nemá definované varianty. Preferované sú riešenia prevádzkované "on premise" z dôvodu plnej kontroly nad technologickou infraštruktúrou a zabezpečenia vyššej miery prispôsobenia a integrácie s existujúcimi systémami, čo je zásadné pre splnenie špecifických bezpečnostných a regulačných požiadaviek. Zároveň prevádzka "on premise" riešení predstavuje nižšie dlhodobé prevádzkové náklady v porovnaní s neustálymi poplatkami za cloudové služby, čo je pre Mestskú časť z hľadiska udržateľnosti jeden z kľúčových faktorov.

= {{id name="projekt_2841_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1261

1262

Po ukončení projektu "Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka " budú dodané:

1263

1264

* Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov, vrátane: Zdrojových kódov všetkých vyvinutých alebo modifikovaných aplikácií a systémov.

1265

* Dokumentácie k implementovaným systémom a infraštruktúre, vrátane technickej, používateľskej a údržbovej dokumentácie.

1266

* Protokoly z testovania a validácie systémov.

1267

* V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia s danými výstupmi:

(% class="" %)|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))|(((

**Dopad/následok**

)))

(% class="" %)|(((

**1.**

)))|(((

**Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

1284

)))|(((

1285

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

1286

)))|(((

1287

1. Vypracovanie analýzy rizík, hrozieb a zraniteľností, ktorej výsledky budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

1288

1289

2. Vypracovanie klasifikácie informácií a kategorizácie sietí a informačných systémov, podľa klasifikačnej schémy v súlade s prílohou č.2 vyhlášky 362/2018.

3. Implementácia IS.

4. Vypracovanie prvotnej analýzy rizík a šablón.

1294

1295

5. Dokumentácia a školenie.

\\

)))|(((

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenie rizík a opatrení v oblasti KB//

)))

(% class="" %)|(((

**2.**

)))|(((

**Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB:**

1305

)))|(((

1306

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

1307

)))|(((

1308

1. Vypracovanie a aktualizácia definovanej dokumentácie:

1309

1310

- stratégia kybernetickej bezpečnosti

1311

1312

- bezpečnostná politika

1313

1314

- smernica pre riadenie informačnej bezpečnosti

1315

1316

- smernica výkonu analýzy rizík a dopadov

1317

1318

- smernice o bezpečnostnej prevádzke IS a sietí

1319

1320

- smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

1321

1322

- politika BCM vrátane stratégie obnovy

1323

1324

- bezpečnostný projekt informačného systému

- výkon AR/BIA

)))|(((

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

(% class="" %)|(((

**3.**

)))|(((

**Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management**

1334

)))|(((

1335

Systém umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

\\

)))|(((

1. Nastavenie modulov a zásuvných modulov.

1340

1341

2. Definovanie procesov a pracovných postupov.

1342

1343

3. Riadenie prístupov a oprávnení.

1344

1345

4. Integrácia s inými systémami.

1346

1347

5. Notifikácie a komunikácia.

1348

1349

6. Školenie a podpora.

1350

)))|(((

1351

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

(% class="" %)|(((

**4.**

)))|(((

**Zavedenie systému pre riadenie prístupov IDM**

1357

)))|(((

1358

Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry

1359

)))|(((

1360

1. Inštalácia a nasadenie IAM.

1361

1362

2. Implementácia core IAM procesov.

1363

1364

3. Školenie a podpora.

1365

)))|(((

1366

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenia prístupov//

)))

(% class="" %)|(((

**5.**

)))|(((

**Vybudovanie SIEM**

)))|(((

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

1374

)))|(((

1375

1. Implementácia SIEM.

1376

1377

2. Dokumentácia a školenie.

1378

)))|(((

1379

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

(% class="" %)|(((

**6.**

)))|(((

**Vytvorenie sekundárnej DR lokality**

1385

)))|(((

1386

Zriadenie sekundárnej lokality za účelom minimalizácie rizík spojených s výpadkami a zabezpečenia rýchlej obnovy prevádzky., Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

\\

)))|(((

1. Zriadenie a prenájom optického prepojenia medzi obstarávateľom a poskytovateľom DR lokality.

1391

1392

2. Migrácia, zriadenie, konfigurácia a otestovanie Sekundárnej DR lokality.

1393

1394

3. Aktualizácia plánov obnovy a relevantnej dokumentácie.

4. Nákup HW.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej z potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

1399

1400

//- zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby. //

// //

)))

(% class="" %)|(((

**7.**

)))|(((

**Modernizácia zálohovacej infraštruktúry**

1408

)))|(((

1409

Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

\\

)))|(((

1. Aktualizácia existujúcej licencie Veeam.

1414

1415

2. Nasadenie a konfigurácia diskového pola.

1416

)))|(((

1417

//- zníženie zraniteľnosti vyplývajúcej z potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

// //

)))

(% class="" %)|(((

**8.**

)))|(((

**Obstaranie a implementácia nástroja na správu zraniteľností**

1425

)))|(((

1426

Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

\\

)))|(((

1. Implementácia nástroja na správu zraniteľností.

1431

1432

2. Dokumentácia a školenie.

1433

)))|(((

1434

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného detegovania existujúcich zraniteľností programových a technických prostriedkov a ich častí.//

)))

(% class="" %)|(((

**9.**

)))|(((

**Zavedenie a správa nástroja na riadenie kapacít**

1440

)))|(((

1441

Nástroj na riadenie kapacít umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty. Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku.

)))|(((

1. Inštalácia a základná konfigurácia.

1446

1447

2. Nastavenie monitorovacích objektov.

1448

1449

3. Konfigurácia upozornení a eskalácií.

1450

1451

4. Vizuálne rozhrania a reporty

1452

1453

5. Integrácia a rozšírenia.

1454

1455

6. Bezpečnosť a prístupové práva.

1456

1457

7. Školenie a podpora.

\\

)))|(((

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

(% class="" %)|(((

**10.**

)))|(((

**Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **

1467

)))|(((

1468

Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

\\

)))|(((

1. Implementácia nástrojov pre správu a aktualizáciu softvérových záplat a endpointov.

1473

1474

2. Dokumentácia a školenie.

1475

)))|(((

1476

- //zníženie zraniteľnosti vyplývajúcej s nedostatočnej kontroly zraniteľností technických a programových prostriedkov //

)))

(% class="" %)|(((

**11.**

)))|(((

**Vykonanie auditu kybernetickej bezpečnosti**

1482

)))|(((

1483

Vykonanie auditu a na začiatku a na konci projektu poskytne hodnotný prehľad o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

\\

)))|(((

1. Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a. Vykonaný audit

b. Záverečná správa o výsledkoch vykonaného auditu

1492

)))|(((

1493

- //vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti//

1494

)))

1495

1496

Tabuľka 9 Výstupy hlavnej aktivity projektu

\\

V nasledujúcej tabuľke sú definované jednotlivé výstupy podľa vyhlášky 401/2023 o riadení projektov po fázach projektu pre každú etapu

(% class="" %)|(((

**Etapy**

)))|(((

**Požadované výstupy**

1506

)))

1507

(% class="" %)|(% rowspan="3" %)(((

1508

Analýza a dizajn

1509

)))|(((

1510

· Projektový iniciálny dokument (PID)

1511

1512

· Akceptačné kritériá

1513

)))

1514

(% class="" %)|(((

1515

· Detailný návrh riešenia (DNR)

1516

1517

o Zámer riešenia, analýza požiadaviek, používateľský prieskum a motivačná architektúra

1518

1519

o Popis postupu analýzy a návrhu riešenia

1520

1521

o Biznis architektúra

1522

1523

o Dátová architektúra

1524

1525

o Aplikačná architektúra

1526

1527

o Technologická architektúra

1528

1529

o Softvérové licencie a zdrojové kódy

1530

1531

o Požiadavky na úrovne služieb (SLA) a výkonnosť

1532

1533

o Zabezpečenie dostupnosti, zálohovanie a obnova riešenia

1534

1535

o Bezpečnosť – riešenie požiadaviek na bezpečnosť

o Migrácia dát

o Harmonogram realizácie a nasadenia, závislosti

1540

)))

1541

(% class="" %)|(((

1542

· Plán a stratégia testovania

1543

1544

o Testovacie prípady (UC/TC)

1545

1546

o Testovacie prostredia

o Testovacie dáta

o Defekt manažment, monitoring a reporting testov

1551

)))

1552

(% class="" %)|(% rowspan="4" %)(((

1553

Implementácia a testovanie

1554

)))|(((

1555

· Vývoj, migrácia údajov a integrácia

)))

(% class="" %)|(((

· Testovanie

o Funkčné testovanie (FAT)

1561

1562

o Systémové a integračné testovanie (SIT)

1563

1564

o Záťažové a výkonnostné testovanie voliteľné

1565

1566

o Bezpečnostné testovanie (SW/HW a kybernetická bezpečnosť)

1567

1568

o Používateľské testy funkčného používateľského rozhrania (UX)

1569

1570

o Používateľské akceptačné testovanie (UAT)

)))

(% class="" %)|(((

· Školenia personálu

)))

(% class="" %)|(((

· Dokumentácia

o Aplikačná príručka

o Integračná príručka

1581

1582

o Používateľská príručka

1583

1584

o Zdrojové kódy a licencie

1585

1586

o Inštalačná a konfiguračná príručka

1587

1588

o Prevádzkový opis a pokyny pre diagnostiku, servis a údržbu

1589

1590

o Pokyny na obnovu pri výpadku alebo havárii (Havarijný plán)

1591

1592

o Bezpečnostný projekt voliteľné

1593

1594

o Údaje o monitorovaní úrovne poskytovaných služieb (SLA) aktív IT

1595

)))

1596

(% class="" %)|(% rowspan="2" %)(((

1597

Nasadenie a postimplementačná podpora

1598

)))|(((

1599

· Nasadenie do produkčnej prevádzky (vyhodnotenie)

1600

)))

1601

(% class="" %)|(((

1602

· Akceptácia spustenia do produkčnej prevádzky (vyhodnotenie)

)))

(% class="" %)|(((

Dokončovacia fáza

)))|(((

· Manažérske správy, plány, reporty, zoznamy, odporúčania a požiadavky:

1608

1609

o Správa o dokončení projektu (etapy/fázy)

1610

1611

o Plán kontroly po odovzdaní projektu

1612

1613

o Odporúčanie nadväzných krokov

1614

1615

o Plán monitorovania a hodnotenia po odovzdaní projektu

1616

)))

1617

1618

Tabuľka 10 Výstupy projektu podľa vyhlášky 401/2023 o riadení projektov po jednotlivých fázach pre každú etapu

1619

1620

**Vlastníci procesov: **

1621

1622

* IT oddelenie MsÚ: Zodpovedné za správu a údržbu IT infraštruktúry, vrátane zabezpečenia a monitorovania systémov.

1623

* Manažér pre kybernetickú bezpečnosť: Zodpovedný za implementáciu a riadenie bezpečnostných systémov, ako napr. SIEM.

1624

1625

Títo vlastníci procesov budú mať kľúčovú úlohu pri riadení projektu a schvaľovaní jeho výstupov, zabezpečujúc, že realizované riešenia spĺňajú stanovené ciele a požiadavky MsÚ.

\\

V rámci projektu je definovaná jedna hlavná aktivita /v zmysle Výzvy/. Mestská časť Bratislava - Petržalka hlavnú aktivitu nedelilo na jednotlivé podaktivity/fázy, keďže nie je možné vzhľadom na obsah projektu rozdeliť jednotlivé opatrenia na dané fázy /Analýza a dizajn, Implementácia a testovanie, Nasadenie/. Dokumentácia v zmysle požiadaviek bude vykonávaná priebežne, počas celej realizácie projektu.

= {{id name="projekt_2841_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1634

1635

Architektúra celého riešenia je v súlade s usmernením MIRRI SR rámcová, s cieľom ozrejmiť, ktoré komponenty v rámci realizácie projektu budú vytvorené a budú realizované opatrenia KIB.

Obrázok 2 Náhľad architektúry v notácii ArchiMate

1640

1641

Táto architektúra predstavuje komplexný prístup k zabezpečeniu kybernetickej a informačnej bezpečnosti na MsÚ. Zahrnuté komponenty a služby sú navrhnuté tak, aby spolu synergicky pracovali na posilnení ochrany pred kybernetickými hrozbami a zabezpečení citlivých údajov.

1642

1643

V biznis vrstve máme "Zvýšenie úrovne KIB" ktorému slúžia služby Detekcia a reakcia na bezpečnostné incidenty, Zabezpečenie dostupnosti základnej služby a Manažovanie KIB, ktoré sú nevyhnutné pre efektívne riadenie bezpečnostných rizík a zabezpečenie dôvernosti dát. Tieto procesy sú podporované tímom pre kybernetickú bezpečnosť, čo zabezpečuje, že organizácia má potrebné odborné znalosti a zdroje na riadenie a implementáciu bezpečnostných stratégií. Aktualizácie a implementácia smerníc a plánov pre rozvoj IT je dôležitou pre zabezpečenie správneho manažmentu KIB v Mestskej časti Bratislava - Petržalka.

1644

1645

V aplikačnej vrstve sú implementované kľúčové technologické riešenia:

1646

1647

* **SIEM **systém poskytuje komplexnú detekciu incidentov a analýzu bezpečnostných logov.

1648

* **Nástroj na riadenie kapacít** zabezpečuje monitoring IT infraštruktúry

1649

* **Nástroj na správu zraniteľností** zabezpečuje manažment zraniteľnosti v reálnom čase.

1650

* **Systém pre správu a aktualizáciu softvérových záplat a endpointov** zabezpečuje, že všetky systémy budú pravidelne a včas aktualizované.

1651

* **IDM** poskytuje centralizovanú platformu pre správu prístupov.

1652

1653

Tieto systémy sú základnými stavebnými blokmi pre detekciu a reakciu na potenciálne hrozby a incidenty.

1654

1655

Na technologickej vrstve je umiestnená serverová, ktoré poskytujú potrebné hardvérové pre fungovanie aplikačných komponentov. Serverová infraštruktúra hostí všetky systémy vrátane SIEM, nástroj na riadenie kapacít,** **nástroj na správu zraniteľností, systém pre správu a aktualizáciu softvérových záplat a endpointov, IDM a IS základnej služby. Zálohovanie je zabezpečené prostredníctvom serverovej infraštruktúry. Rovnako je realizované prepojenie medzi sekundárnou lokalitou a MsÚ infraštruktúrou.

1656

1657

Táto architektúra zabezpečuje, že MsÚ je schopný proaktívne čeliť kybernetickým hrozbám, ochraňovať svoje dáta a udržiavať nepretržitú operáciu svojich kritických služieb, čím prispieva k vyššej úrovni bezpečnosti a dôvery verejnosti v digitálne služby MsÚ.

= {{id name="projekt_2841_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1662

1663

Pri návrhu a implementácii riešenia budeme vychádzať z nasledujúcej legislatívy:

(% class="" %)|(((

**PRÍRUČKY PROGRAMU SLOVENSKO**

1669

)))

1670

(% class="" %)|(((

1671

Príručka pre žiadateľa

1672

)))

1673

(% class="" %)|(((

1674

Príručka pre prijímateľa (vrátane jej príloh)

1675

)))

1676

(% class="" %)|(((

1677

Príručka k oprávnenosti výdavkov (vrátane jej príloh)

1678

)))

1679

(% class="" %)|(((

1680

Komunikačná stratégia Program Slovensko programové obdobie 2021-2027 (vrátane jej príloh)

1681

)))

1682

(% class="" %)|(((

1683

Všeobecná informácia k predkladaniu a schvaľovaniu ŽoNFP

1684

)))

1685

(% class="" %)|(((

1686

Dizajn manuál Programu Slovenso (vrátane jej príloh)

1687

)))

1688

(% class="" %)|(((

1689

Vzor Zmluvy o poskytnutí NFP

1690

)))

1691

(% class="" %)|(((

1692

Príručka pre žiadateľov/prijímateľov k procesu a kontrole verejného obstarávania/obstarávania

1693

)))

1694

(% class="" %)|(((

1695

**ŠTANDARDY pre eGOVERNMENT**

1696

)))

1697

(% class="" %)|(((

1698

Zákon č. 95/2019 Z.z. o ITVS

1699

)))

1700

(% class="" %)|(((

1701

Zákon č. 305/2013 Z.z. o eGovernmente a o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci

1702

)))

1703

(% class="" %)|(((

1704

Zákon č. 177/2018 Z.z. proti byrokracii a o niektorých opatreniach na znižovanie administratívnej záťaže využívaním ISVS

1705

)))

1706

(% class="" %)|(((

1707

Zákon č. 18/2018 Z.z. o ochrane osobných údajov

1708

)))

1709

(% class="" %)|(((

1710

Vyhláška č. 85/2020 Z.z. o riadení IT projektov

1711

)))

1712

(% class="" %)|(((

1713

Vyhláška č. 78/2020 Z.z. o štandardoch pre ITVS

1714

)))

1715

(% class="" %)|(((

1716

Vyhláška č. 438/2019 Z.z. o výkone ustanovení zákona o e-Governmente (eDesk modul)

1717

)))

1718

(% class="" %)|(((

1719

Vyhláška č. 331/2018 Z.z. o zaručenej konverzii

1720

)))

1721

(% class="" %)|(((

1722

Vyhláška č. 29/2017 Z.z. o alternatívnom autentifikátore

1723

)))

1724

(% class="" %)|(((

1725

Vyhláška č. 85/2018 Z.z. o spôsobe vyhotovenia listinného rovnopisu elektronického úradného dokumentu

1726

)))

1727

(% class="" %)|(((

1728

Vyhláška č. 25/2014 Z.z. o IOM

1729

)))

1730

(% class="" %)|(((

1731

Metodické usmernenie nariadeniu (GDPR) k spracúvaniu osobných údajov (prostredníctvom web stránok) v súlade s požiadavkami Nariadenia Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

1732

)))

1733

(% class="" %)|(((

1734

Štandardné zmluvné doložky pre sprostredkovateľov (UOOU)

1735

)))

1736

(% class="" %)|(((

1737

**ŠTANDARDY pre KYBERNETICKÚ a INFORMAČNÚ BEZPEČNOSŤ**

1738

)))

1739

(% class="" %)|(((

1740

Zákon č. 69/2018 Z.z. o Kybernetickej bezpečnosti

1741

)))

1742

(% class="" %)|(((

1743

Zákon č. 45/2011 Z.z. o Kritickej infraštruktúre

1744

)))

1745

(% class="" %)|(((

1746

Zákon č. 351/2011 Z.z. o elektronických komunikáciách (ochrana súkromia a osobných údajov, ochrana sietí a zariadení)

1747

)))

1748

(% class="" %)|(((

1749

Zákon č. 272/2016 Z.z. o dôveryhodných službách (elektronický podpis) a o dôveryhodných službách pre elektronické transakcie na vnútornom trhum (EiDAS)

1750

)))

1751

(% class="" %)|(((

1752

Trestný zákon č. 300/2005 Z.z. (trestné činy páchané pomocou elektronických prostriedkov a v elektronickom prostredí)

1753

)))

1754

(% class="" %)|(((

1755

Vyhláška č. 179/2020 Z.z. k spôsobom kategorizácie a obsahu bezpečnostných opatrení ITVS

1756

)))

1757

(% class="" %)|(((

1758

Metodika pre Systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (CSIRT)

1759

)))

1760

(% class="" %)|(((

1761

Smernica č. 7/2019 o riešení Bezpečnostných incidentov Vládnou jednotkou CSIRT

1762

)))

1763

(% class="" %)|(((

1764

Vyhláška NBU č. 166/2018 Z.z., o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov

1765

)))

1766

(% class="" %)|(((

1767

Vyhláška NBU č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)

1768

)))

1769

(% class="" %)|(((

1770

Vyhláška NBU č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

1771

)))

1772

(% class="" %)|(((

1773

Vyhláška NBU č. 436/2019 Z.z., o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

1774

)))

1775

(% class="" %)|(((

1776

**ŠTANDARDY pre VLÁDNY CLOUD**

1777

)))

1778

(% class="" %)|(((

1779

Katalóg služieb a požiadavky na realizáciu služieb Vládneho Cloudu

1780

)))

1781

(% class="" %)|(((

1782

Metodické usmernenie pre proces zaradenia cloudovej služby do katalógu č. 4542/2019/oSAEG-1

1783

)))

1784

(% class="" %)|(((

1785

Usmernenie na aktualizáciu plánu migrácie IKT rezortu do dátového centra štátu

1786

)))

1787

(% class="" %)|(((

1788

**ŠTANDARDY pre RIADENIE PROJEKTU a PROGRAMU**

1789

)))

1790

(% class="" %)|(((

1791

Metodický pokyn k spracovaniu:

1792

_Štúdie uskutočniteľnost (ŠÚ)

1793

_Finančnej analýzy projektu

1794

_Analýzy nákladov a prínosov projektu (CBA)

1795

_Finančnej analýzy žiadateľa o NFP

1796

_Celkových nákladov na vlastníctvo v programovom období 2014 – 2020

1797

)))

1798

(% class="" %)|(((

1799

Metodický pokyn UPVII č. 3425/2019/oPK-1 na rozpočtovanie nákupu IT v rámci medzirezortného programu 0EK Informačné technológie financované zo štátneho rozpočtu

1800

)))

1801

(% class="" %)|(((

1802

Metodické usmernenie o postupe pri príprave investícií a koncesií podliehajúcich hodnoteniu MFSR

1803

)))

1804

(% class="" %)|(((

1805

Rámec na hodnotenie verejných investičných projektov v SR

1806

)))

1807

(% class="" %)|(((

1808

Použivatelská priručka MetaIS

1809

)))

1810

(% class="" %)|(((

1811

Použivatelská príručka MetaIS Confluence

1812

)))

1813

(% class="" %)|(((

1814

Informatizácia 2.0 - revízia výdavkov

1815

)))

1816

(% class="" %)|(((

1817

**ŠTANDARDY pre RIADENIE ARCHITEKTÚRY**

1818

)))

1819

(% class="" %)|(((

1820

Používateľská príručka MetaIS č. 3642/2018/oSAEG-1

1821

)))

1822

(% class="" %)|(((

1823

Metodický pokyn ÚPVII č. 514/2017-313 z 10.1.2017 na aktualizáciu obsahu centrálneho metainformačného systému verejnej správy povinnými osobami v znení neskorších predpisov

1824

)))

1825

(% class="" %)|(((

1826

[[Metodické usmernenie č. 5651/2019/oSAEG-1 z 20.09.2019 na odpočet plnenia NKIVS orgánmi riadenia>>url:https://metais.vicepremier.gov.sk/confluence/download/attachments/2621442/2019_Metod_usmer_na_odpocet_NKIVS.pdf?version=1&modificationDate=1572960541260&api=v2||shape="rect"]]

1827

)))

1828

(% class="" %)|(((

1829

Pravidlá publikovania elektronických služieb do multikanálového prostredia verejnej správy (Číslo: 3204/2018/oAeG-1)

1830

)))

1831

(% class="" %)|(((

1832

**ŠTANDARDY pre KVALITU ÚDAJOV**

1833

)))

1834

(% class="" %)|(((

1835

[[Zákon č. 305/2013 Z.z. o eGovernmente (§52) - povinnosť referencovania sa a využívať referenčné údaje.>>url:https://metais.vicepremier.gov.sk/refregisters/list?page=1&count=20||shape="rect"]]

1836

)))

1837

(% class="" %)|(((

1838

Zákon č. 305/2013 Z.z. o eGovernmente (§10) - povinnosť využívať „Modul procesnej integrácie a integrácie údajov (jeho časti IS CSRÚ)“ a realizovať integráciu údajov, synchronizáciu údajov pri referencovaní a pri výmene údajov s referenčnými registrami a základnými číselníkmi.

1839

)))

1840

(% class="" %)|(((

1841

Metodické umernenie o postupe zaraďovania referenčných údajov do zoznamu referenčných údajov vo väzbe na referenčné registre (č. 3639/2019/oDK-1)

1842

)))

1843

(% class="" %)|(((

1844

Metodické usmernenie č. 1/2019 k zálohovaniu údajov v databázach domén, registrátorov a kontaktov súvisiacich so správou domén najvyššej úrovne

1845

)))

1846

(% class="" %)|(((

1847

Postup pripojenia OVM v roli konzumenta údajov do IS CSRÚ

1848

)))

1849

(% class="" %)|(((

1850

**ŠTANDARDY pre DIZAJN a OPTIMALIZACIU PROCESOV a ŽIVOTNÝCH SITUÁCII**

1851

)))

1852

(% class="" %)|(((

1853

[[Metodika Používateľské princípy pre návrh a rozvoj elektronických služieb verejnej správy>>url:https://www.mirri.gov.sk/sekcie/oddelenie-behavioralnych-inovacii/index.html||shape="rect"]]

1854

)))

1855

(% class="" %)|(((

1856

[[Metodika optimalizácie procesov verejnej správy (najmä postupovať podľa bodu 3.5 b) pri vytváraní Procesnej analýzy) a v súlade s Metodikou optimalizácie procesov – konvenciami modelovania (aktualizovať diagramy životných situácií a karty životných situácií vedených na MVSR, ak Dielo ovplyvní výkon procesov životnej situácie)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1857

)))

1858

(% class="" %)|(((

1859

[[Metodika merania výkonnosti procesov prostredníctvom KPI (dodať funkcionalitu exportu dát z Diela a meriania výkonnosti procesov)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1860

)))

1861

(% class="" %)|(((

1862

[[Metodika merania nákladovosti TB-ABC>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1863

)))

1864

(% class="" %)|(((

1865

[[Metodika identifikácie, vizualizácie a referencovania údajov pri dátovom modelovaní vo verejnej správe>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

)))

(% class="" %)|(((

**ŠTANDARDY pre UX**

)))

(% class="" %)|(((

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy

1872

)))

1873

(% class="" %)|(((

1874

Metodické usmernenie UVSR č. 002089/2018/oLŠISVS-7 zo dňa 11.05.2018

1875

)))

1876

(% class="" %)|(((

1877

Metodické usmernenie pre tvorbu používateľsky kvalitných elektronických služieb verejnej správy (Číslo spisu v DKS: 004307/2019/oBI)

1878

)))

1879

(% class="" %)|(((

1880

**ŠTANDARDY RIADENIA KVALITY**

1881

)))

1882

(% class="" %)|(((

1883

Metodika riadenia QAMPR

1884

)))

1885

(% class="" %)|(((

1886

Riadenie kvality podľa Smernice STN EN ISO 9001: 2016

1887

)))

1888

(% class="" %)|(((

1889

**ŠTANDARDY pre LICENCIE**

1890

)))

1891

(% class="" %)|(((

1892

Uznesenia vlády č. 286/2019 o povinnosti prednostne pristupovať k platným a účinným centrálnym IKT zmluvám

1893

)))

1894

(% class="" %)|(((

1895

Metodický pokyn k zabezpečeniu centrálneho nákupu produktov a služieb spoločnosti ORACLE v rámci Centrálnej rámcovej dohody na poskytovanie licencií a produktov ORACLE a služieb s nimi súvisiacich

1896

)))

1897

(% class="" %)|(((

1898

**ŠTANDARDY OBSTARAVANIA**

1899

)))

1900

(% class="" %)|(((

1901

Zákon č.343/2015 Z.z. o verejnom obstarávaní

1902

)))

1903

(% class="" %)|(((

1904

Koncepcia nákupu IT vo verejnej správe (v kontexte rokovania o licencnych pravach k zdrojovemu kodu)

1905

)))

1906

(% class="" %)|(((

1907

**OSTATNÉ ŠTANDARDY**

1908

)))

1909

(% class="" %)|(((

1910

Zákon č. 211/2000 Z.z. o slobodnom prístupe k informáciám

1911

)))

1912

(% class="" %)|(((

1913

Zákon č. 315/2016 Z.z. o registri partnerov verejného sektora

1914

)))

1915

1916

Tabuľka 11 Zoznam legislatívy

1917

1918

Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou /vyššie uvedený kompletný zoznam/.

= {{id name="projekt_2841_Projektovy_zamer_detailny-7.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

(% class="" %)|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))

(% class="" %)|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

05/2024

)))|(((

12/2024

)))

(% class="" %)|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))

(% class="" %)|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))

(% class="" %)|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

12/2030

)))

Tabuľka 14 Harmonogram projektu

1977

1978

Projekt sa realizuje metódou Waterfall s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej v rámci prípravy projektu. Niektoré opatrenia sa budú realizovať paralelne, dokonca rôznymi tímami, avšak na základe vopred stanovej stratégie a plánu celého projektu.

1979

1980

Agilný prístup bol vylúčený s ohľadom na potrebu realizácie projektu za plnej prevádzky základnej služby Mestskej časti Bratislava - Petržalka.

1981

1982

Prípravná a Iniciačná fáza zahŕňa prípravu obsahu projektu, prípravu Manažérskych produktov v zmysle požiadaviek výzvy, definovanie zloženia projektového tímu a Riadiaceho výboru, príprava žiadosti o NFP. Iniciačná fáza bude ukončená schválením žiadosti o NFP a podpisom Zmluvy o poskytnutí NFP. Následne sa bude realizovať verejné obstarávanie, ktoré bude ukončené pred začiatkom hlavnej aktivity projektu.

1983

1984

V rámci realizačnej fázy sa bude realizovať obsah projektu /vyššie popísané/ s cieľom dosiahnutia hlavných cieľov a merateľných ukazovateľov. Taktiež sa bude pripravovať dokumentácia v zmysle požiadaviek definovaných vo Vyhláške 401/2023 Z.z. o riadení projektov.

1985

1986

Dokončovacia fáza vytvorí dokumenty a podklady pre ZMS, ako aj dokumenty v rámci požiadaviek Vyhlášky 401/2023 Z.z. stanovené pre dokončovaciu fázu.

1987

1988

Po uzatvorení dokončovacej fázy začne podpora prevádzky /totožná s obdobím udržateľnosti projektu/. Mestská časť Bratislava - Petržalka zabezpečí využívanie implementovaných systémov a udržiavanie dosiahnutých výsledkov. Podpora bude zabezpečená aj uzatvorenými SLA zmluvami s dodávateľmi /pri podpore prevádzky/. Udržateľnosť projektu bude zabezpečená počas tohto obdobia vlastnými zdrojmi Mestskej časti.

= {{id name="projekt_2841_Projektovy_zamer_detailny-8.ROZPOČETAPRÍNOSY"/}}8. ROZPOČET A PRÍNOSY =

1993

1994

Rozpočet bol zostavený na základe prieskumu trhu, ako výsledkov realizovania prieskumu s cieľom určenia predpokladanej hodnoty zákazky. V závislosti na výške rozpočtu projektu /do 1 000 000 Eur/ nebola spracovaná CBA analýza /Analýza nákladov a prínosov/.

(% class="" %)|(((

**Názov výdavku**

)))|(((

**MJ**

)))|(((

**Jednotková cena bez DPH (v EUR)**

)))|(((

**Počet jednotiek**

)))|(((

**Spolu s DPH (v EUR)**

)))

(% class="" %)|(((

**Analýza rizík**

)))|(((

projekt

)))|(((

3660

)))|(((

1

)))|(((

**4392**

)))

(% class="" %)|(((

**Informačný systém pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie.**

)))|(((

projekt

)))|(((

6763,33

)))|(((

1

)))|(((

**8116**

)))

(% class="" %)|(((

**Revízia a doplnenie/ aktualizácia bezpečnostnej dokumentácie**

)))|(((

projekt

)))|(((

9630

)))|(((

1

)))|(((

**11556**

)))

(% class="" %)|(((

**Nastavenie GLPI pre modul change management**

)))|(((

projekt

)))|(((

7783,33

)))|(((

1

)))|(((

**9340**

)))

(% class="" %)|(((

**IDM**

)))|(((

projekt

)))|(((

30 933,33

)))|(((

1

)))|(((

**37120**

)))

(% class="" %)|(((

**Zavedenie bezpečnostných a analytických systémov na monitorovanie hrozieb v reálnom čase (SIEM)**

)))|(((

projekt

)))|(((

107 866,67

)))|(((

1

)))|(((

**129440**

)))

(% class="" %)|(((

**Sekundárna DR site**

)))|(((

projekt

)))|(((

134 333,33

)))|(((

1

)))|(((

**161200**

)))

(% class="" %)|(((

**Modernizácia zálohovacieho systému**

)))|(((

projekt

)))|(((

8083,33

)))|(((

1

)))|(((

**9700**

)))

(% class="" %)|(((

**Nástroj na správu zraniteľností**

)))|(((

projekt

)))|(((

37 350

)))|(((

1

)))|(((

**44820**

)))

(% class="" %)|(((

**Nástroj na riadenie kapacít**

)))|(((

projekt

)))|(((

31 400

)))|(((

1

)))|(((

**37680**

)))

(% class="" %)|(((

**Nástroj na patch a endpoint management**

)))|(((

projekt

)))|(((

9 873,33

)))|(((

1

)))|(((

**11848**

)))

(% class="" %)|(((

**Audit kybernetickej bezpečnosti**

)))|(((

projekt

)))|(((

4 833,33

)))|(((

1

)))|(((

**5800**

)))

(% class="" %)|(((

**Manažér kybernetickej bezpečnosti**

)))|(((

hodina

)))|(((

24,7

)))|(((

1468

)))|(((

**36 259,6**

)))

(% class="" %)|(((

**IT Analytik**

)))|(((

hodina

)))|(((

14,18

)))|(((

1957,5

)))|(((

**27 757,35**

)))

(% class="" %)|(((

**Paušálna sadzba**

)))|(((

projekt

)))|(((

37 452

)))|(((

1

)))|(((

**37 452**

)))

(% class="" %)|(((

**Celkom**

)))|(((

\\

)))|(((

\\

)))|(((

\\

)))|(((

**572 480,95**

)))

Tabuľka 13 Celkové náklady projektu

Vzhľadom na obsah projektu a definované ciele projektu /oblasť kybernetickej a informačnej bezpečnosti/ je pomerne náročné jednoznačne kvantifikovať návratnosť realizovanej investície. Realizované náklady primárne prispejú k zabezpečeniu poskytovania základnej služby, k minimalizovaniu zraniteľnosti systémov Mestskej časti a zvýšeniu ochrany MsÚ. Z pohľadu návratnosti je však možné zdôrazniť hodnotenie možných škôd, ktoré by vznikli v prípade, že nebude vhodne riešená oblasť kybernetickej a informačnej bezpečnosti na úrovni PZS.

2191

2192

Jedná sa o nasledovné škody v závislosti na daných rizikách:

2193

2194

* **__reputačné riziko__** - v prípade neplnenia legislatívnych požiadaviek v zmysle Zákona o kybernetickej bezpečnosti a Zákona o ISVS a následného výpadku prevádzky základnej služby, či prípadného úniku citlivých a osobných údajov v kombinácii s prípadnou medializáciou je toto riziko pomerne vysoké v nadväznosti na zákonné povinnosti Mestskej časti Bratislava - Petržalka.

2195

* **__finančné riziko__** /externé/- súvisí s možnými sankciami, pokutami vyplývajúce priamo z legislatívnych rámcov v rámci prípadných súdnych sporov /napr. pri úniku osobných údajov v súvislosti s kybernetickým útokom na MsÚ/. Výšku finančných sankcií/pokút nie je možné jednoznačne vyčísliť, keďže je závislá od rozsahu uniknutých informácií a ďalších faktorov. Môže však dôjsť k výraznému zaťaženiu rozpočtu Mestskej časti.

2196

* **__finančné riziko__** /interné/- súvisí s výpadkom poskytovania základnej služby, kedy zamestnanci úradu nebudú schopní pracovať so systémami MsÚ a zabezpečovať poskytovanie základnej služby. Celková strata v prípade výpadku poskytovania základne služby na úrovni straty miezd zamestnancov je závislá na dĺžke výpadku poskytovania základnej služby. Pri jednodňovom výpadku sa jedná približne o 17980 Eur pri 200 zamestnancoch /mesačná priemerná mzda verejnej správy v roku 2023 bola 1796 Eur, pri 20 dňovom pracovnom čase je priemerná denná mzda 89,9 Eur/.

2197

2198

= {{id name="projekt_2841_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

Mestská časť Bratislava - Petržalka v rámci prípravnej fázy zostavila Riadiaci výbor v zmysle požiadaviek Vyhlášky 401/2023 Z.z., v nasledovnom zložení:

2203

2204

* Predseda Riadiaceho výboru - **Matúš Súlovec** / zástupca prednostu Mestskej časti Bratislava - Petržalka

2205

* Zástupca prevádzky - **Kamil Vojtech** / vedúci referátu IT

2206

* Biznis vlastník - **Ján Hrčka**/ starosta Mestskej časti Bratislava - Petržalka

\\

Projektový tím v rámci projektu bol zostavený vzhľadom na obsah projektu a potrebu zabezpečenia podpory realizácie projektu interným prostredím MSÚ. Na realizácii projektu budú participovať interní zamestnanci, ktorí budú úzko kooperovať s externým dodávateľom v rámci implementácii konkrétnych opatrení popísaných v rámci realizácie projektu.

\\

(% class="" %)|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

(% class="" %)|(((

2.

)))|(((

Mgr. Juaj Petrovič

)))|(((

IT Analytik

)))|(((

Referát inovácií

)))|(((

IT analytik

)))

(% class="" %)|(((

5.

)))|(((

Ing. Matúš Súlovec

)))|(((

Manažér kybernetickej bezpečnosti/Zástupca prednostu pre verejné obstarávanie a inovácie

)))|(((

Kancelária prednostu

)))|(((

Manažér kybernetickej a informačnej bezpečnosti

\\

)))

(% class="" %)|(((

6.

)))|(((

PhDr. Vladimíra Pazderová, PhD.

)))|(((

Projektový manažér

)))|(((

Externý dodávateľ

)))|(((

Projektový manažér

)))

Tabuľka 15 Projektový tím

2262

2263

== {{id name="projekt_2841_Projektovy_zamer_detailny-9.1.PRACOVNÉNÁPLNE"/}}9.1. PRACOVNÉ NÁPLNE ==

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

2280

2281

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

2282

2283

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

2284

2285

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

2286

2287

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

2288

)))

2289

(% class="" %)|(((

2290

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

\\

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

2297

2298

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

2299

2300

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

2301

2302

· Mapovanie požiadaviek do návrhu funkčných riešení.

2303

2304

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

2305

2306

· Analýza funkčných a nefunkčných požiadaviek,

2307

2308

· Návrh fyzického a logického modelu,

2309

2310

· Návrh testovacích scenárov,

2311

2312

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

2313

2314

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

2315

2316

· Definovanie akceptačných kritérií v projekte

2317

2318

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

2319

2320

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

2321

2322

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

2323

2324

· Rieši požiadavky používateľov a konflikty iných priorít

2325

2326

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

2327

2328

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2329

2330

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

\\

)))

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI**

**~ **

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

2356

2357

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

\\

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KYBERNETICKEJ BEZPEČNOSTI:**

2362

2363

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

2364

2365

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

2366

2367

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

2368

2369

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

2370

)))

2371

(% class="" %)|(((

2372

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti KIB,

2377

2378

· ak je projekt primárne zameraný na problematiku KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na KIB,

2379

2380

· špecifikovanie požiadaviek na KIB, kontroluje ich implementáciu v realizovanom projekte,

2381

2382

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

2383

2384

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť KIB,

2385

2386

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

2387

2388

· špecifikovanie požiadaviek na školenia pre oblasť KIB,

2389

2390

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť KIB,

2391

2392

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na KIB,

2393

2394

· realizáciu posúdenie požiadaviek agendy KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

2395

2396

· špecifikovanie požiadaviek na KIB, bezpečnostný projekt a riadenie prístupu,

2397

2398

· špecifikovanie požiadaviek na testovanie z hľadiska KIB, realizáciu kontroly zapracovania a retestu,

2399

2400

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť KIB, ako aj v zmysle "best practies",

2401

2402

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s KIB kontroluje ich implementáciu v realizovanom projekte,

2403

2404

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

2405

2406

· špecifikáciu požiadaviek na bezpečnosť KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

2407

2408

· špecifikáciu akceptačných kritérií za oblasť KIB,

2409

2410

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na KIB,

2411

2412

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť KIB,

2413

2414

· získavanie informácií nutných pre plnenie úloh v oblasti KIB,

2415

2416

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť KIB,

2417

2418

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska KIB,

2419

2420

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť KIB,

2421

2422

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť KIB

2423

2424

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

2425

2426

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

2427

2428

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB,

2429

2430

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s KIB,

2431

2432

· realizáciu kontroly súladu s planou legislatívou v oblasti KIB (obsahuje aj kontrolu leg. požiadaviek)

2433

2434

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

2435

2436

· poskytovanie konzultácií a súčinnosti pre problematiku KIB,

2437

2438

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti KIB,

2439

2440

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2441

2442

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

(% class="" %)|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

\\

)))

(% class="" %)|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

\\

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

\\

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

2468

)))

2469

(% class="" %)|(((

2470

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

2475

2476

· Riadenie prípravy, inicializácie a realizácie projektu

2477

2478

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

2479

2480

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

2481

2482

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

2483

2484

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

2485

2486

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2487

2488

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

2489

2490

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

2491

2492

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

2493

2494

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

2495

2496

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

2497

2498

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

2499

2500

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

2501

2502

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

2503

2504

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

2505

2506

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

2507

2508

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

2509

2510

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

2511

2512

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

2513

2514

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

2515

2516

· Dodržiavanie metodík projektového riadenia,

2517

2518

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),