projekt_2841_Projektovy_zamer_detailny

= {{id name="projekt_2841_Projektovy_zamer_detailny-2.ÚČELDOKUMENTU,SKRATKY(KONVENCIE)ADEFINÍCIE"/}}2. ÚČEL DOKUMENTU, SKRATKY (KONVENCIE) A DEFINÍCIE =

113

114

V súlade s Vyhláškou č. 401/2023 Z.z. o riadení projektov a zmenových požiadaviek v prevádzke informačných technológií verejnej správy je dokument Projektový́ zámer pre prípravnú a iniciačnú fázu určený na rozpracovanie detailných informácií prípravy projektu Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka predkladaného v rámci výzvy č. PSK-MIRRI-611-2024-DV-EFRR.

**~ **

== {{id name="projekt_2841_Projektovy_zamer_detailny-2.1.Použitéskratkyapojmy"/}}2.1. Použité skratky a pojmy ==

|(((

SKRATKA/POJEM

)))|(((

POPIS

)))

|(((

EOL

)))|(((

End of Life

)))

|(((

KIB

)))|(((

Kybernetická a informačná bezpečnosť

)))

|(((

SIEM

)))|(((

Security Information and Event Management

)))

|(((

sietIS

)))|(((

Informačný systém

)))

|(((

SLA

)))|(((

Service Desk Manager

)))

|(((

SW

)))|(((

Softvér

)))

|(((

MsÚ

)))|(((

Miestny úrad

)))

|(((

ISVS

)))|(((

Informačný systém verejnej správy

)))

|(((

MCA

)))|(((

Multikriteriálna analýza

)))

|(((

PZS

)))|(((

Poskytovateľ základnej služby

)))

= {{id name="projekt_2841_Projektovy_zamer_detailny-3.DEFINOVANIEPROJEKTU"/}}3. DEFINOVANIE PROJEKTU =

183

184

185

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.1.Manažérskezhrnutie"/}}3.1. Manažérske zhrnutie ==

186

187

188

V súčasnosti pre oblasť kybernetickej a informačnej bezpečnosti platí, že situácia, zabezpečenie a prijaté opatrenia nie sú dostatočné. Subjekty čoraz viac evidujú zvyšujúcu sa frekvenciu a závažnosť útokov, z interného hľadiska sa neustále zvyšuje závislosť na informačných aktívach a IT systémoch. Zvyšujú sa teda hrozby, zraniteľnosti a následne aj dopady bezpečnostných incidentov, ktoré evidujú aj subjekty v oblasti verejnej správy, čo si uvedomuje aj Mestská časť Bratislava - Petržalka.

189

190

Zákon č. 69/2018 Z. z. o kybernetickej bezpečnosti a zákon č. 95/2019 Z. z. o informačných technológiách vo verejnej správe, ktoré nastavujú požiadavky a štandard z pohľadu bezpečnostných opatrení, sú povinné aj pre mestá ako poskytovateľov základných služieb, v dôsledku čoho sa Mestská časť Bratislava - Petržalka rozhodla zapojiť sa do danej výzvy.

191

192

V sektore verejná správa, kde sa nachádza najväčší počet poskytovateľov základných služieb sa situácia v oblasti kybernetickej bezpečnosti dlhodobo nemení (Správa o kybernetickej bezpečnosti v Slovenskej republike v roku 2022). V tejto oblasti je možné pozorovať až kritické zanedbávanie bezpečnosti. Najmä samosprávy a menší prevádzkovatelia si dostatočne neuvedomujú dôležitosť témy kybernetickej bezpečnosti, k problematike pristupujú povrchovo a zameriavajú sa skôr na formálne aktivity, ako napríklad kupovanie generickej dokumentácie. Celkové riadenie kybernetickej bezpečnosti pri PZS v tomto sektore často chýba, je chaotické alebo čiastkové. Samosprávy sa snažia preniesť zodpovednosti pre túto oblasť na externých poskytovateľov služieb (podľa správy NBÚ, 2022).

193

194

Podľa štatistík Národného bezpečnostného úradu za rok 2022 /aktuálnejšie štatistiky nie sú dostupné/ je v sektore verejná správa 1417 poskytovateľov základných služieb, pričom počet PZS s povinnosťou auditu bol 1416 (bolo možné splniť aj samohodnotením podľa §34a ods. 2 ZoKB). Za rok 2022 bolo odovzdaných 99 auditných správ a 405 samohodnotení. Z odovzdaných auditov boli identifikované nasledovné nedostatky:

195

196

* nepreukázaný systém riadenia kybernetickej bezpečnosti,

197

* bezpečnostná stratégia kybernetickej bezpečnosti ani ďalšia bezpečnostná dokumentácia nebola predložená,

198

* manažér kybernetickej bezpečnosti nie je formálne menovaný, je v konfliktom záujmov a má nevhodne kumulované zodpovednosti,

199

* analýza rizík nie je zakotvená ako proces v interných predpisoch ani metodicky popísaná, nevykonáva sa,

200

* v organizácii sa nachádzajú vysoko privilegované účty, ktoré sú spoločné a nemajú definovaných vlastníkov a účel,

201

* v organizácii neexistuje definícia závažného kybernetického bezpečnostného incidentu, organizácia nevypracovala postupy a nemá dostatočné schopnosti na detekciu, zvládanie a poučenie sa z prípadných incidentov.

202

203

Uvedené nedostatky sú identifikované aj v Mestská časti Bratislava - Petržalka. Miestny úrad má však pozíciu manažéra kybernetickej bezpečnosti obsadenú interne.

204

205

206

Prevádzkovateľ základnej služby mal v období od 1.8.2021 do 31.12.2023 povinnosť auditu podľa zákona č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov v znení neskorších predpisov. Mestská časť Bratislava - Petržalka si zákonnú povinnosť splnila predložení Samohodnotenia v zmysle zákona o kybernetickej bezpečnosti (predloženie 07/2022). Výsledky samohodnotenia poukazujú na nasledovné problematické a kritické oblasti:

207

208

* prevádzkový monitoring aktív a komponentov je nastavený čiastočne,

209

* čiastočne vykonávaný monitoring parametrov tak, aby mala organizácia nepretržitý prehľad o prostredí organizácie,

210

* nie je implementovaný nástroj na výkon bezpečnostného monitoringu nad aktívami, ktoré sa podieľajú na základnej službe.

211

212

213

Realizovaná Analýza rizík (akt. z 04/2024) definuje tieto najkritickejšie hrozby:

214

215

* nie je pripravený postup ani zastupiteľnosť pre prípad realizácie hrozby, čo závažným spôsobom ohrozí fungovanie úradu alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 5),

216

* nízke bezpečnostné povedomie zamestnancov, zvýšené riziko prezradenia informácie, spustenia škodlivého kódu či chýb pri používaní počítačov, čo naruší fungovanie úradu, môže spôsobiť škodu a stratu reputácie (úroveň rizika 5),

217

* nízke bezpečnostné povedomie zamestnancov, poskytnutie informácie, prístupu, zaslanie peňazí z účtu a pod, čo závažne ovplyvní vzťah s inými organizáciami a verejnosťou, pričom môže ísť aj o nadnárodný rámec (úroveň rizika 5),

218

* KIB nie je systematicky riadená, riešená, vynucovaná a kontrolovaná. Nie je proces ani postup, ako zistiť, následne manažovať prípadný incident. Nesplnenie alebo neskoré splnenie povinností v reakcii na incident a v predchádzaní incidentom, čo vedie k nedodržaniu zákonných povinností, pokuty a negatívnej publicite (úroveň rizika 5),

219

* nie je definovaný disciplinárny proces pre prípad bezpečnostného incidentu, kedy krádež informácie, neoprávnený prístup, používanie softvéru neoprávneným spôsobom, závažným spôsobom ohrozí fungovanie úradu alebo zastavenie poskytovania základnej služby. V prípade zistenia zodpovednosti vinníka incidentu nie je možné uložiť sankciu (úroveň rizika 5),

220

* nejasná stratégia a koncepcia, chýbajúci proces, zneužitie zraniteľnosti, chyby softvéru, čo je dôsledkom toho, že úrad nenadefinoval, nevynucoval a priebežne vyhodnocoval bezpečnostné požiadavky na IS SAMO, doteraz nebola vykonaná analýza rizík, ktorá by bola priebežne aktualizovaná v celom životnom cykle informačného systému, doteraz preverený penetračnými testami. Bezpečnostný výbor sa nestretáva, vlastník aktíva nie je formálne určený a nebol priamo zaangažovaný do celého bezpečnostného procesu posudzovania rizík, čo môže ohroziť stabilitu, funkčnosť a hlavne bezpečnosť celého IS. Dopady takéhoto incidentu predstavujú možnú pokutu v zmysle GDPR, zákona o KB, možné súdne spory s dotknutými osobami v prípade úniku alebo zneužitia ich citlivých údajov a tiež to viedlo k zvýšenému reputačnému riziku v dôsledku medializácie prípadu (úroveň rizika 4),

221

* nie je nasedený bezpečnostný monitoring (SIEM), nástroj, ktorý by zbieral, monitoroval, koreloval jednotlivé udalosti a nepretržite zabezpečoval notifikáciu bezpečnostných udalostí a incidentov. Nemožnosť riadne zdokumentovať prípadný incident kybernetickej bezpečnosti (úroveň rizika 4),

222

* Miestny úrad Petržalka nemá spracované riadenie kontinuity kritických procesov a služieb, nebola určená zodpovedná osoba/vlastník procesu, neexistujú plánu kontinuity ani plánu obnovy IS a jednotlivých komponentov, neexistujú havarijné plány pre prípad nepredvídateľných udalostí s možnými negatívnymi dopadmi na prevádzkovateľa aj správcu. Nie sú identifikované možné dopady výpadkov jednotlivých technológií, komponentov a systémov, čo môže viesť k nemožnosti poskytovania služby občanom, nespokojnosti občanov a porušeniu dobrého mena (úroveň rizika 4),

223

* mobilné zariadenia s emailovým účtom nie sú dostatočne zabezpečené, nie sú určené a vynucované bezpečnostné politiky pre mobilné zariadenie. V prípade straty či krádeže mobilného telefónu člena vedenia mesta môže útočník vykonať škodlivú, neautorizovanú činnosť - napr. neautorizovaná platba, zaslanie neautorizovaného emailu, vydanie pokynu k realizácii činnosti (úroveň rizika 4),

224

* poškodzovanie zariadení alebo sietí následkom vysokých teplôt /požiar/. čo závažným spôsobom ohrozí fungovanie úradu alebo môže viesť k zastaveniu poskytovania základnej služby (úroveň rizika 4),

225

* nemožnosť kontroly dátových tokov ani aktivít zariadení pripojených vo vnútornej sieti, nemožnosť riadne zdokumentovať prípadný incident kybernetickej bezpečnosti, čo závažným spôsobom ohrozí fungovanie úradu, alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 4),

226

* používanie zastaraného a nepodporovaného systému a softvéru- Windows, Office, prehliadač, aplikácia, systémová utilita, čo závažným spôsobom ohrozí fungovanie úradu, alebo môže spôsobiť zastavenie poskytovania základnej služby (úroveň rizika 4),

227

* chýbajúca politika pre používanie elektronickej pošty, čo vedie k úniku citlivej informácie, nesprávnemu smerovaniu správ (úroveň rizika 4).

228

229

**Po zrealizovaní navrhovaných opatrení budú zostatkové riziká minimalizované /úroveň 1-2/.**

230

231

232

Projekt "Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka" je strategickou iniciatívou zameranou na posilnenie kybernetickej odolnosti Mestskej časti. Cieľom projektu je realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov prostredníctvom modernizácie IT infraštruktúry a zavedenia pokročilých bezpečnostných technológií a postupov.

233

234

235

__Realizácia projektu prispeje k naplneniu špecifických cieľov výzvy:__

236

237

* **//RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy //**v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

238

239

240

__V rámci projektu sa plánuje realizácia nasledujúcich kľúčových opatrení: __

241

242

1. **Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík, **ktorý zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

243

1. **Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB: **Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

244

1. **Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management), **ktorý umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

245

1. **Zavedenie systému pre riadenie prístupov IDM **umožní efektívne prideľovanie, monitorovanie a revíziu prístupových práv, čím sa zabezpečí, že k citlivým údajom a aplikáciám budú mať prístup len oprávnené osoby. Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry.

246

1. **Vybudovanie Security Incident and Event Management (SIEM) - **Opatrenie je zamerané na vytvorenie nástroja zabezpečujúceho analýzu informácií zo všetkých sieťových zariadení, OS, databáz, aplikácií a pod., ktorými žiadateľ disponuje (SIEM), ktoré bude kompletne vybudované vo vlastníctve žiadateľa, tzv. on premise.

247

1. **Vytvorenie sekundárnej DR lokality:** Aby sa minimalizovali riziká spojené s výpadkami a zabezpečila rýchla obnova prevádzky, je potrebné zriadiť sekundárnu lokalitu. Toto záložné centrum bude slúžiť ako záložné úložisko pre kritické aplikácie a dáta, zabezpečí replikáciu údajov v reálnom čase a poskytne potrebnú infraštruktúru na rýchle obnovenie služieb. Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

248

1. **Modernizácia zálohovacej infraštruktúry:** Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

249

1. **Obstaranie a implementácia nástroja na správu zraniteľností **umožní systematicky skenovať, identifikovať a analyzovať zraniteľnosti v reálnom čase, pričom poskytne nástroje na ich prioritizáciu a nápravu. Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

250

1. **Zavedenie a správa nástroja na riadenie kapacít, **ktorý umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty.  Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku. 

251

1. **Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

252

1. **Vykonanie auditu kybernetickej bezpečnosti:** Vykonanie auditov a penetračných testov na konci projektu poskytne hodnotné prehľady o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

253

254

255

Uvedené opatrenia sa budú realizovať v rámci jednej hlavnej aktivity projektu **Realizácia opatrení na zvýšenie úrovne informačnej a kybernetickej bezpečnosti, **ktorá bude prebiehať** od 01/2025 do 12/2025. **Obdobie realizácie zabezpečí rýchlu a efektívnu implementáciu potrebných opatrení v súlade s dynamicky sa meniacim kybernetickým prostredím. Realizácia tohto projektu je kritickým krokom k zabezpečeniu digitálnej infraštruktúry Mestského úradu a ochrane jeho obyvateľov pred rastúcimi kybernetickými hrozbami.

256

257

__Realizáciou projektu bude zabezpečené naplnenie nasledujúcich merateľných ukazovateľov:__

258

259

1. ukazovatele výstupu:

260

261

* PO095 / PSKPSOI12 - //Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov - **1 verejná inštitúcia - Mestský úrad Petržalka **/možné overiť** **v** **//štatistickom registri organizácií vedenom Štatistickým úradom SR, ktoré sú zaradené v sektore verejnej správy/

262

263

1. ukazovatele výsledku:

264

265

* PR017 / PSKPRCR11 - //Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov// - **//200 používateľov//** / interní zamestnanci Mestskej časti Bratislava - Petržalka/.

266

267

268

Celkový rozpočet projektu je 572 480,95 Eur, ktorý pokryje všetky náklady spojené s nákupom, implementáciou a zaškolením kľúčových používateľov. Projekt prinesie mnohé prínosy, vrátane posilnenej kybernetickej a informačnej bezpečnosti, zníženia rizika incidentov, a zlepšenia dôvery a spokojnosti občanov a zamestnancov MsÚ s poskytovanými digitálnymi službami.

269

270

Projekt je predkladaný v rámci výzvy //PSK-MIRRI-611-2024-DV-EFRR Podpora v oblasti kybernetickej a informačnej bezpečnosti na regionálnej úrovni - verejná správa. //Projekt bude implementovaný v rámci Programu Slovensko a jeho špecifického cieľa RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy, v rámci Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (Oblasť - Kybernetická a informačná bezpečnosť).

271

272

273

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.2.Motiváciaarozsahprojektu"/}}3.2. Motivácia a rozsah projektu ==

274

275

Mestská časť Bratislava - Petržalka stojí pred výzvami v oblasti kybernetickej a informačnej bezpečnosti, ktoré sú dôsledkom narastajúcich kybernetických hrozieb a stále prísnejších legislatívnych požiadaviek na ochranu dát. Súčasná úroveň kybernetickej a informačnej bezpečnosti nie je adekvátne pripravená na odvrátenie týchto hrozieb, čo ohrozuje nielen bezpečnosť dát občanov, ale aj celkovú integritu mestských informačných systémov a infraštruktúry.

276

277

Mestská časť Bratislava - Petržalka je ako poskytovateľ základných služieb zapísaný do registra PZS od 1.3.2020, pričom sa jedná o službu //Správcovia a prevádzkovatelia sietí a informačných systémov verejnej správy v pôsobnosti povinnej osoby podľa zákona č. 275/2006 Z. z. podporujúci služby verejnej správy, služby vo verejnom záujme a verejné služby.// Informačné systémy Mestského úradu boli budované živelne, bez koncepcie, ktorej cieľom by bola kybernetická bezpečnosť, v dôsledku čoho sa témou stáva otázka zabezpečenia informačných aktív Mestského úradu, tak aby spĺňali požiadavky vyplývajúce zo zákonov č. 69/2018 Z. z. a č. 95/2019 Z. z. a požiadavky na GDPR. Mestská časť Bratislava - Petržalka si uvedomuje tiež narastajúci vplyv informačných systémov na chod úradu a úroveň služieb, ktoré poskytuje verejnosti. Rovnako citlivo vníma tiež informácie o rastúcom počte a závažnosti kybernetických incidentov. Práve s ohľadom na uvedené vykonalo prvý krok k zlepšeniu úrovne kybernetickej bezpečnosti v rámci identifikácie kritických oblastí a definovania opatrení potrebných na minimalizáciu rizík a dopadov v danej oblasti.

278

279

Mestská časť Bratislava - Petržalka má formálne definovanú pozíciu Manažéra kybernetickej bezpečnosti /interný zamestnanec/, z ktorej vyplýva jeho možnosť predkladať návrhy a oznamovať informácie v oblasti KB priamo štatutárnemu orgánu PZS a jeho nezávislosť od riadenia prevádzky a vývoja služieb informačných technológií. Na prevádzke základnej služby sa podieľajú emailová služba a parkovací systém - parkovanie v Petržalke.

280

281

Na informačnú štruktúru Mestskej časti Bratislava - Petržalka sú tiež naviazané ďalšie organizácie:

282

283

* Kultúrne zariadenia Petržalky,

284

* Miestna knižnica Petržalka,

285

* Bytový podnik Petržalka,

286

* Stredisko sociálnych služieb Petržalka,

287

* Športové zariadenia Petržalky,

288

* Petržalská výstavba,

289

* Mládežnícky parlament,

290

* Rada seniorov,

291

* Mestská polícia,

292

* DHZO Bratislava - Petržalka,

293

* Materské školy v zriaďovateľskej pôsobnosti mestskej časti /27 MŠ/.

294

295

296

Úroveň dotknutých subjektov priamo závisí od funkčnosti informačných systémov Mestského úradu a niektoré služby sú od ich prevádzkyschopnosti dokonca plne závislé. Nedostupnosť informačných aktív v dôsledku kybernetického incidentu preto môže mať fatálny vplyv nielen na základnú službu a poskytovanie ostatných služieb MsÚ ale i jeho vyššie uvedených organizácií, ktoré sú na jeho infraštruktúru naviazané.

297

298

Najvýznamnejšie problémy, ktoré sa v Mestskej časti Bratislava - Petržalka čoraz viac prejavujú:

299

300

* **Nedostatočné riadenie rizík a zraniteľností:** Mestská časť čelí bez jasného prehľadu o tom, kde presne je zraniteľné, riziku neefektívneho využívania zdrojov na ochranu aktív alebo k opomenutiu kritických hrozieb.  V oblasti riadenia rizík chýba nástroj, ktorý by efektívne preskúmaval a aktualizoval identifikované riziká v závislosti od prijatých bezpečnostných opatrení.

301

* **Neúplná alebo neaktualizovaná bezpečnostná a riadiaca dokumentácia:** Absencia alebo zastaranie interných smerníc a postupov v oblasti kybernetickej bezpečnosti môže viesť k nesúladu s aktuálnymi legislatívnymi požiadavkami ako aj aktuálnym bezpečnostným stavom.

302

* **Nedostatočná implementácia riadenia procesov IT a KIB:** Mestská časť čelí výzvam v oblasti efektívneho riadenia procesov IT a KIB. Nedostatok systematických a koordinovaných postupov môže viesť k neefektívnemu riadeniu IT infraštruktúry a bezpečnostných opatrení. Bez centralizovaného a aktuálneho prehľadu o všetkých IT a bezpečnostných procesoch je zložité zabezpečiť súlad s internými predpismi a externými reguláciami, čo zvyšuje riziko nesúladov a možných postihov.

303

* **Nedostatočné riadenie prístupov k aplikáciám a údajom: **Nedostatočná kontrola a správa prístupových práv môže viesť k neoprávnenému prístupu, čo zvyšuje riziko zneužitia informácií a potenciálnych bezpečnostných incidentov. Absencia centralizovaného a automatizovaného systému na správu prístupových práv sťažuje identifikáciu, monitorovanie a riadenie prístupov zamestnancov a externých partnerov.

304

* **Nedostatočné monitorovanie a detekcia hrozieb v reálnom čase:** Absencia komplexných systémov pre monitorovanie a reakciu na bezpečnostné incidenty v reálnom čase obmedzuje schopnosť efektívne reagovať na potenciálne hrozby.

305

* **Nedostatočné fyzické zabezpečenie IKT infraštruktúry pre prevádzku kritických systémov: **môže mať za následok závažné narušenie prevádzky a stratu citlivých údajov. Absencia adekvátnych fyzických bezpečnostných opatrení, ako sú kontrola prístupu, monitorovacie systémy a bezpečnostné protokoly, zvyšuje zraniteľnosť IT infraštruktúry voči rôznym fyzickým hrozbám.

306

* **Nedostatočná zálohovacia infraštruktúra:** Absencia robustnej zálohovacej stratégie a infraštruktúry zvyšuje riziko straty dát v prípade zlyhania hardvéru alebo kybernetických útokov ako je napr. ransomware.

307

* **Nedostatočné riadenie zraniteľností v IT infraštruktúre: **Absencia nástroja na detegovanie existujúcich zraniteľností programových a technických prostriedkov a ich častímôže viesť k prehliadnutiu kritických bezpečnostných hrozieb a následne k potenciálnym bezpečnostným incidentom a stratám dát.

308

* **Nedostatočný monitoring všetkých IT aktív: **môže viesť k prehliadnutiu anomálií, nesprávnemu fungovaniu systémov a oneskoreným reakciám na bezpečnostné incidenty. Absencia adekvátnych monitorovacích nástrojov a procesov znamená, že problémy môžu zostať neodhalené až do okamihu, keď spôsobia významné narušenie prevádzky alebo bezpečnosti.

309

* **Nedostatočná správa a aktualizácia softvérových záplat (patch) a endpointov: **Nedostatok efektívneho nástroja na patch a endpoint manažment môže viesť k zraniteľnostiam v systémoch, ktoré útočníci môžu zneužiť. Tento problém zahŕňa oneskorené alebo neúplné nasadzovanie aktualizácií, čo môže mať za následok zvýšené riziko kybernetických útokov a nespoľahlivosť IT infraštruktúry.

310

* **Nedostatočná validácia efektivity zavedených bezpečnostných opatrení:** Potreba vykonať audit a penetračné testy na konci projektu s cieľom validovať účinnosť implementovaných bezpečnostných opatrení a identifikovať zostávajúce potrebné oblasti zlepšenia.

311

312

313

S ohľadom na vyššie uvedené nedostatky je predmetom projektu súbor technických riešení, ktoré zlepšia celkovú úroveň kybernetickej bezpečnosti MsÚ Petržalka, eliminujú kritické problémy v tejto oblasti a umožnia dosiahnuť požadovanú úroveň jeho informačnej a kybernetickej bezpečnosti v súlade s platnou legislatívou.

314

315

Projekt zasahuje do množstva biznis procesov MsÚ vrátane tých, ktoré sú zamerané na spracovanie a ochranu citlivých údajov, riadenie prístupu k informačným systémom, ako aj na efektívnu reakciu na potenciálne bezpečnostné incidenty. Cieľom je posilniť tieto procesy, čím sa zvýši odolnosť MsÚ voči kybernetickým hrozbám. Projekt sa špecificky sústredí na zlepšenie v oblasti kybernetickej a informačnej bezpečnosti, ktorá je nevyhnutná pre zabezpečené a efektívne fungovanie mestskej správy a poskytovanie základných služieb obyvateľom.

316

317

Hlavnou motiváciou je **zabezpečiť, aby Mestská časť Bratislava - Petržalka bola schopná efektívne reagovať na kybernetické hrozby, ochraňovať dáta svojich obyvateľov a zabezpečiť neprerušené poskytovanie kritických služieb**.

318

319

Projekt čelí obmedzeniam, ako sú obmedzené finančné zdroje, potreba súladu s legislatívou a nevyhnutnosť spolupráce naprieč rôznymi oddeleniami. Prekonanie týchto prekážok bude kľúčové pre úspešné dosiahnutie cieľov projektu a zabezpečenie dlhodobej udržateľnosti zvýšenej úrovne kybernetickej a informačnej bezpečnosti n MsÚ.

320

321

322

Obrázok 1 Motivačná architektúra projektu

323

324

V rámci rozsahu projektu, Mestská časť Bratislava - Petržalka sa rozhodla zvoliť najefektívnejšie technologické riešenie, ktoré prispeje k eliminácii najkritickejších problémov v oblasti kybernetickej a informačnej bezpečnosti. V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia:

|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))|(((

**Dopad/následok**

)))

|(((

**1.**

)))|(((

**Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

342

)))|(((

343

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

344

)))|(((

345

1. Vypracovanie analýzy rizík, hrozieb a zraniteľností, ktorej výsledky budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

346

347

2. Vypracovanie klasifikácie informácií a kategorizácie sietí a informačných systémov, podľa klasifikačnej schémy v súlade s prílohou č.2 vyhlášky 362/2018.

3. Implementácia IS.

4. Vypracovanie prvotnej analýzy rizík a šablón.

352

353

5. Dokumentácia a školenie.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej s nedostatočného riadenie rizík a opatrení v oblasti KB//

)))

|(((

**2.**

)))|(((

**Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB:**

363

)))|(((

364

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

365

)))|(((

366

1. Vypracovanie a aktualizácia definovanej dokumentácie:

367

368

- stratégia kybernetickej bezpečnosti

369

370

- bezpečnostná politika

371

372

- smernica pre riadenie informačnej bezpečnosti

373

374

- smernica výkonu analýzy rizík a dopadov

375

376

- smernice o bezpečnostnej prevádzke IS a sietí

377

378

- smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

379

380

- politika BCM vrátane stratégie obnovy

381

382

- bezpečnostný projekt informačného systému

- výkon AR/BIA

)))|(((

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

|(((

**3.**

)))|(((

**Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management**

392

)))|(((

393

Systém umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

)))|(((

1. Nastavenie modulov a zásuvných modulov.

398

399

2. Definovanie procesov a pracovných postupov.

400

401

3. Riadenie prístupov a oprávnení.

402

403

4. Integrácia s inými systémami.

404

405

5. Notifikácie a komunikácia.

406

407

6. Školenie a podpora.

408

)))|(((

409

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

|(((

**4.**

)))|(((

**Zavedenie systému pre riadenie prístupov IDM**

415

)))|(((

416

Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry

417

)))|(((

418

1. Inštalácia a nasadenie IAM.

419

420

2. Implementácia core IAM procesov.

421

422

3. Školenie a podpora.

423

)))|(((

424

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenia prístupov//

)))

|(((

**5.**

)))|(((

**Vybudovanie SIEM a SOC**

430

)))|(((

431

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

432

)))|(((

433

1. Implementácia SIEM a SOC

434

435

2. Dokumentácia a školenie.

436

)))|(((

437

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

|(((

**6.**

)))|(((

**Vytvorenie sekundárnej DR lokality**

443

)))|(((

444

Zriadenie sekundárnej lokality za účelom minimalizácie rizík spojených s výpadkami a zabezpečenia rýchlej obnovy prevádzky., Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

)))|(((

1. Zriadenie a prenájom optického prepojenia medzi obstarávateľom a poskytovateľom DR lokality.

449

450

2. Migrácia, zriadenie, konfigurácia a otestovanie Sekundárnej DR lokality.

451

452

3. Aktualizácia plánov obnovy a relevantnej dokumentácie.

4. Nákup HW.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

457

458

//- zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby. //

// //

)))

|(((

**7.**

)))|(((

**Modernizácia zálohovacej infraštruktúry**

466

)))|(((

467

Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

)))|(((

1. Aktualizácia existujúcej licencie Veeam.

472

473

2. Nasadenie a konfigurácia diskového pola.

474

)))|(((

475

//- zníženie zraniteľnosti vyplývajúcej s potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

// //

)))

|(((

**8.**

)))|(((

**Obstaranie a implementácia nástroja na správu zraniteľností**

483

)))|(((

484

Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

)))|(((

1. Implementácia nástroja na správu zraniteľností.

489

490

2. Dokumentácia a školenie.

491

)))|(((

492

//- zníženie zraniteľnosti vyplývajúcej s nedostatočného detegovania existujúcich zraniteľností programových a technických prostriedkov a ich častí.//

)))

|(((

**9.**

)))|(((

**Zavedenie a správa nástroja na riadenie kapacít**

498

)))|(((

499

Nástroj na riadenie kapacít umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty. Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku.

)))|(((

1. Inštalácia a základná konfigurácia.

504

505

2. Nastavenie monitorovacích objektov.

506

507

3. Konfigurácia upozornení a eskalácií.

508

509

4. Vizuálne rozhrania a reporty

510

511

5. Integrácia a rozšírenia.

512

513

6. Bezpečnosť a prístupové práva.

514

515

7. Školenie a podpora.

)))|(((

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

|(((

**10.**

)))|(((

**Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **

525

)))|(((

526

Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

)))|(((

1. Implementácia nástrojov pre správu a aktualizáciu softvérových záplat a endpointov.

531

532

2. Dokumentácia a školenie.

533

)))|(((

534

//- zníženie zraniteľnosti vyplývajúcej z nedostatočnej kontroly zraniteľností technických a programových prostriedkov //

)))

|(((

**11.**

)))|(((

**Vykonanie auditu kybernetickej bezpečnosti**

540

)))|(((

541

Vykonanie auditu a na začiatku a na konci projektu poskytne hodnotný prehľad o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

)))|(((

1. Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a. Vykonaný audit

b. Záverečná správa o výsledkoch vykonaného auditu

550

)))|(((

551

- //vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti//

552

)))

553

554

Tabuľka 1 Obsah projektu

555

556

557

Implementáciou týchto opatrení bude dosiahnuté výrazné zvýšenie odolnosti prevádzky siete voči kybernetickým útokom, výrazné zvýšenie bezpečnosti prevádzky, zväčšenie dostupnosti služieb MsÚ. Projekt umožní vytvoriť robustnejšiu infraštruktúru, ktorá bude funkčne a kapacitne vyhovovať potrebám nevyhnutným pre poskytovanie služieb MsÚ a z bezpečnostného hľadiska spĺňať legislatívne požiadavky. Zároveň projekt umožní nastaviť procesy a postupy, ako tento stav v čase zachovať a rozvíjať v nadväznosti na požiadavky vyplývajúce zo zmeny legislatívy, resp. rozsahu poskytovaných služieb.

558

559

560

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.3.Zainteresovanéstrany/Stakeholderi"/}}3.3. Zainteresované strany/Stakeholderi ==

561

562

563

V rámci projektu " Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka " sú zainteresované rôzne strany, ktoré zohrávajú kľúčovú úlohu v jeho realizácii a budúcom fungovaní. Tieto strany zastávajú rozličné role, od rozhodovania a riadenia projektu až po jeho konkrétnu implementáciu a využívanie výsledkov. Tu je prehľad hlavných zainteresovaných strán a ich rolí v projekte:

|(((

ID

)))|(((

AKTÉR / STAKEHOLDER

)))|(((

SUBJEKT

(názov / skratka)

)))|(((

ROLA

(vlastník procesu/ vlastník dát/zákazník/ užívateľ …. člen tímu atď.)

)))|(((

Informačný systém

(MetaIS kód a názov ISVS)

)))

|(((

1.

)))|(((

Miestny úrad Petržalka

586

)))|(((

587

Mestská časť Bratislava - Petržalka

588

)))|(((

589

Vlastník a implementátor procesu

590

)))|(% rowspan="6" %)(((

591

ISVS poskytujúce základnú službu

)))

|(((

2.

)))|(((

Interní zamestnanci MsÚ

599

)))|(((

600

//Mestská časť Bratislava - Petržalka//

)))|(((

Používateľ

)))

|(((

3.

)))|(((

Manažér kybernetickej bezpečnosti

608

)))|(((

609

//Mestská časť Bratislava - Petržalka//

610

)))|(((

611

Zodpovednosť za oblasť KIB MsÚ

)))

|(((

4.

)))|(((

Vybrané organizácie mestskej časti

617

)))|(((

618

//Mestská časť Bratislava - Petržalka//

)))|(((

Používateľ

)))

|(((

5.

)))|(((

Občan / podnikateľ

)))|(((

)))|(((

Používateľ

)))

|(((

6.

)))|(((

Poskytovateľ IT služby

)))|(((

)))|(((

Poskytovateľ alebo konzument údajov IS MsÚ v podobe dátových zdrojov otvorených dát alebo vo forme služieb resp. rozhraní

639

)))

640

641

Tabuľka 2 Stakeholderi projektu

642

643

644

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.4.Cieleprojektu"/}}3.4. Ciele projektu ==

645

646

Ciele projektu sú definované v súlade s Národnou koncepciou informatizácie verejnej správy a očakávanými výsledkami definovaných v Partnerskej dohode SR na roky 2021-2027. Definície tiež vychádzajú z národnej stratégie kybernetickej bezpečnosti na roky 2021 - 2025.

647

648

**__Hlavný cieľ projektu:__**

649

650

* **//realizovanie a financovanie opatrení KIB definované najmä v zákonoch č. 69/2018 Z.z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov a č. 95/2019 Z.z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov, //**//čo nadväzuje na RSO 1.2** Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy **//v rámci opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

651

652

**Čiastkové ciele projektu:**

653

654

* **//Zabezpečenie riadenia a dodržiavania opatrení kybernetickej bezpečnosti //**///v rámci oprávnenej podaktivity b) Riadenie rizík a v súlade s ďalšími opatreniami v rámci spracovania dokumentácie/,//

655

* **//Zaznamenávanie udalostí a monitorovanie a riešenie KIB incidentov //**///v rámci oprávnenej podaktivity k) Zaznamenávanie udalostí a monitorovanie v rámci Výzvy/,//

656

* **//Zabezpečenia zálohovacích riešení //**///v rámci oprávnenej podaktivity n) Kontinuita prevádzky/,//

657

* **//Implementácia nástroja na správu zraniteľností ///**// v rámci oprávnenej podaktivity g) Hodnotenie zraniteľností a bezpečnostné aktualizácie/,//

658

* **//Zvýšenie bezpečnosti pri prevádzke informačných systémov a sietí//**// /v rámci v rámci oprávnenej podaktivity f) Bezpečnosť pri prevádzke informačných systémov a sietí///

659

* **//Zabezpečenie auditu a kontrolných činností//**// /v rámci oprávnenej podaktivity o) Audit a kontrolné činnosti/.//

Súlad cieľov v rámci relevantných strategických dokumentov v oblasti KIB:

|(((

ID

)))|(((

Názov cieľa

)))|(((

Názov strategického cieľa

676

)))|(((

677

Spôsob realizácie strategického cieľa

)))

|(((

1.

)))|(((

Program Slovensko - Opatrenia 1.2.1 Podpora v oblasti informatizácie a digitálnej transformácie (oblasť - Kybernetická a informačná bezpečnosť)

683

)))|(((

684

RSO 1.2 Využívanie prínosov digitalizácie pre občanov, podniky, výskumné organizácie a orgány verejnej správy

685

)))|(((

686

Rozvoj a implementácia konkrétnych technologických a organizačných opatrení, ktoré sú zamerané na posilnenie kybernetickej odolnosti a zabezpečenie dát Mestskej časti a jeho obyvateľov.

)))

|(((

2.

)))|(((

NKIVS - Strategická priorita Kybernetická a informačná bezpečnosť

692

)))|(((

693

Zvýšenie schopnosti včasnej identifikácie kybernetických incidentov vo verejnej správe

694

)))|(((

695

Projekt zvýši mestu schopnosť včasnej identifikácie kybernetických incidentov prostredníctvom implementácie systému SIEM pre real-time analýzu a monitorovanie bezpečnostných udalostí.

)))

|(((

3.

)))|(((

Národná stratégia kybernetickej bezpečnosti - Strategický ciel Kybernetická bezpečnosť ako základná súčasť verejnej správy

701

)))|(((

702

Kybernetická bezpečnosť ako základná súčasť verejnej správy

703

)))|(((

704

Výsledkom projektu bude zvýšenie ochrany prevádzkovateľa základných služieb MsÚ z hľadiska kybernetickej bezpečnosti. Toto bude preukázané aj auditom na konci projektu ktorý preukáže pozitívny trend zlepšovania stavu kybernetickej bezpečnosti v Miestnej časti.

705

)))

706

707

Tabuľka 3 Ciele projektu

708

709

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.5.Merateľnéukazovatele(KPI)"/}}3.5. Merateľné ukazovatele (KPI) ==

|(((

ID

)))|(((

ID/Názov cieľa

)))|(((

Názov

ukazovateľa (KPI)

)))|(((

Popis

ukazovateľa

)))|(((

Merná jednotka

)))|(((

AS IS

merateľné hodnoty

(aktuálne)

)))|(((

TO BE

Merateľné hodnoty

(cieľové hodnoty)

)))|(((

Spôsob ich merania

)))|(((

Pozn.

)))

|(((

1

)))|(((

PO095 / PSKPSOI12

)))|(((

Verejné inštitúcie podporované v rozvoji kybernetických služieb, produktov a procesov

750

)))|(((

751

Počet verejných inštitúcií, ktoré sú podporované za účelom rozvoja a modernizácie kybernetických služieb, produktov, procesov a zvyšovania vedomostnej úrovne napríklad v kontexte opatrení smerujúcich k elektronickej bezpečnosti verejnej správy.

)))|(((

verejné inštitúcie

)))|(((

0

)))|(((

1 verejná inštitúcia - Mestský úrad Petržalka

758

)))|(((

759

Identifikácia počtu realizácie opatrení KIB pre inštitúciu – splnenie súladu KIB so zákonom o kybernetickej bezpečnosti a zákonom o ISVS

760

761

Čas plnenia merateľného ukazovateľa projektu: Fyzické ukončenie realizácie hlavných aktivít projektu

762

)))|(((

763

Typ ukazovateľa: Výstup

)))

|(((

2

)))|(((

PR017 / PSKPRCR11

)))|(((

Používatelia nových a vylepšených verejných digitálnych služieb, produktov a procesov

773

)))|(((

774

Počet používateľov nových vylepšených verejných digitálnych služieb, produktov a procesov

)))|(((

Používatelia/rok

)))|(((

0

)))|(((

200 používateľov - počet interných zamestnancov

781

)))|(((

782

Sumarizácia počtu používateľov nových a vylepšených digitálnych služieb – bude určené počtom prístupov v IAM, Databázou používateľov v oblasti KIB.

783

784

V prípade Mestskej časti ide o počet zamestnancov, ktorí využívajú IS MsÚ alebo akékoľvek elektronické zariadenia v správe MsÚ.

785

786

Čas plnenia merateľného ukazovateľa projektu: v rámci udržateľnosti projektu

787

)))|(((

788

Typ ukazovateľa: Výsledok

789

)))

790

791

Tabuľka 4 Merateľné ukazovatele projektu

792

793

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.6.Špecifikáciapotriebkoncovéhopoužívateľa"/}}3.6. Špecifikácia potrieb koncového používateľa ==

794

795

V kontexte MsÚ, koncovým používateľom je IT oddelenie a sekundárne tiež interní zamestnanci Mestskej časti Bratislava - Petržalka, podnikateľské subjekty pôsobiace na území Mestskej časti, ktoré očakávajú, že nebude vplyvom kybernetických útokov dochádzať k výpadkom prevádzky informačných systémov MsÚ, ktoré by znefunkčnili poskytovanie základnej služby.

796

797

798

Z výsledkov samohodnotenia vyplynuli definície potrieb a požiadaviek na realizáciu konkrétnych opatrení v oblasti kybernetickej a informačnej bezpečnosti, v ktorých MsÚ ako PZS dosahuje najvyšší nesúlad v zmysle zákona o kybernetickej bezpečnosti, zákona o ISVS a vyhlášky 362/2018 Z.z. Požiadavky potrieb koncového používateľa úzko koreluje s definovanými oblasťami/opatreniami, ktoré sú riešené v rámci predkladaného projektu.

799

800

Realizáciou projektu budú očakávania a potreby koncového používateľa naplnené.

801

802

803

**__Technický popis riešenia s cieľom zabezpečenia potrieb používateľa:__**

804

805

**Opatrenie 1 Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

806

807

* riešenie zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík,

808

* výsledky analýzy rizík budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

809

810

811

**Opatrenie 2 -** **Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB**

812

813

* výsledkom aktualizácie a doplnenia bezpečnostnej dokumentácie bude:

814

* stratégia kybernetickej bezpečnosti,

815

* bezpečnostná politika,

816

* smernica pre riadenie informačnej bezpečnosti,

817

* smernica výkonu analýzy rizík a analýzy dopadov (AR/BIA),

818

* smernica o bezpečnostnej prevádzke IS a sietí,

819

* smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

820

* politika BCM vrátane stratégie obnovy,

821

* bezpečnostný projekt informačného systému,

* výkon AR/BIA.

**Opatrenie 3 - Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management)**

826

827

* riešenie umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom,

828

829

830

**Opatrenie 4 -** **Zavedenie systému pre riadenie prístupov IDM**

831

832

* riešenie projektu predstavuje nástroj na riadenie prístupových oprávnení. Systém podporí viacfaktorovú autentifikáciu (MFA), vrátane hesiel a tokenov, zabezpečí riadenie prístupových práv na základe rolí, automatizované vytváranie, správu a odstraňovanie užívateľských účtov, synchronizáciu používateľských účtov naprieč rôznymi systémami a aplikáciami.

833

* riešenie zároveň zabezpečí bezpečné generovanie, uchovávanie a obnovu hesiel, podporí politiku komplexity hesiel a pravidelnej zmeny hesiel, sledovanie a zaznamenávanie prístupových udalostí a aktivít.

834

835

836

**Opatrenie 5 -** **Vybudovanie Security Incident and Event Management (SIEM) a zabezpečenie SOC as a service**

837

838

* opatrenie bude spočívať vo vytvorení nástroja zabezpečujúceho analýzu informácií zo všetkých sieťových zariadení, OS, databáz, aplikácií a pod. Vybudovaný SIEM bude tvoriť základ pre prevádzku Security Operation Center (SOC), ktorý bude zabezpečovať dohľad bezpečnosti sieťových zariadení, serverov, aplikácií a jednotlivých klientov. Vybudovaný SIEM bude zabezpečovať aktívny zber dát z monitorovaných zariadení a aplikácií v reálnom čase a následne zabezpečovať odhaľovanie potenciálnych hrozieb prostredníctvom automatizovanej korelácie dát zo zariadení. Priebežná analýza okamžite upozorní na neštandardné správanie systému, ktoré by mohlo predstavovať potenciálnu hrozbu. Odborná kapacita zabezpečujúca dohľad nad SOC-om takéto riziko vyhodnotí a určí či je hrozba kritická, alebo postačuje jej evidencia. Obstarávateľ plánuje vybudovanie kompletného hardvérového a softvérového riešenia SIEM v rámci svojho majetku a následnú prevádzku SOC plánuje zabezpečovať prostredníctvom služby u externého dodávateľa. Vytvorené riešenie umožní tiež zaviesť postup na využitie verejných a výrobcami poskytovaných zoznamov, ktoré opisujú zraniteľnosti programových a technických prostriedkov.

839

840

841

**Opatrenie 6 - Vytvorenie sekundárnej DR lokality**

842

843

* Vytvorenie sekundárnej lokality bude zriadené v SIX (The Slovak Internet Exchange) prostredníctvom optického pripojenia.

844

* v rámci riešenia bude zriadené optické prepojenie medzi sídlo miestneho úradu a areálom Oddelenia správy verejných priestranstiev na ulici Ondreja Štefánka 2 v Bratislave, bude zabezpečená migrácia, zriadenie, konfigurácia a otestovanie sekundárnej DR lokality v SIX, aktualizácia plánov obnovy a relevantnej dokumentácie, nákup HW.

**~ **

**Opatrenie 7 - Modernizácia zálohovacej infraštruktúry**

849

850

* v rámci riešenia bude zabezpečená aktualizácia zálohovacieho systému prostredníctvom obnovy existujúcej licencie a nákup diskového poľa, nákup archivačného servera.

**~ **

**Opatrenie 8 - Obstaranie a implementácia nástroja na správu zraniteľností**

855

856

* nástroj umožní komplexne riešiť správu zraniteľností - vulnerability scaning a poskytovať automatizované riadenie zraniteľností,

857

* umožní systematicky skenovať, identifikovať a analyzovať zraniteľnosti v reálnom čase, pričom poskytne nástroje na ich prioritizáciu a nápravu. Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

858

859

**Opatrenie 9 - Zavedenie a správa nástroja na riadenie kapacít**

860

861

* nástroj umožní pokryť monitorovanie dostupných technologických kapacít dôležitých sieťových zariadení a služieb podľa nakonfigurovaných pravidiel. Systém bude informovať o vzniknutých technických problémoch a nedostatku kapacít správcu príslušnej služby alebo servera a monitorovať rôzne druhy zariadení ako sú fyzické a virtuálne servery, sieťové prvky, dátové úložiská a iné zariadenia, ktoré dokážu poskytnúť údaje o svojej prevádzke. Systém umožní porovnávať dáta v rôznych časových obdobiach, analyzovať históriu. Systém bude zároveň schopný automatizácie, napr. cez Network alebo Low-level discovery a bude schopný správy aj cez smartfón, schopný nasadenia vlastných skriptov s prístupom k funkciám cez API.

862

863

864

**Opatrenie 10 - Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov**

865

866

* riešenie zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

867

* súčasťou systému bude automatizované nasadenie patchov, skenovanie a vyhodnocovanie zraniteľností, reportovanie a sledovanie, integrované aktualizácie, správu zariadení, nasadzovanie softvéru, zabezpečenie zariadení, inventarizácia a sledovanie /udržiavanie aktuálneho prehľadu o hardvérových a softvérových prostriekov organizácie a sledovanie stavu a životného cyklu zariadení a aplikácií/.

868

869

870

**Opatrenie 11 - Vykonanie auditu kybernetickej bezpečnosti**

871

872

* na konci realizácie projektu bude vykonaný Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti, na ktorého konci poskytne Záverečná správu o výsledkoch vykonaného auditu s cieľom poskytnutia hodnotných prehľadov o efektívnosti prijatých opatrení a pomoci identifikovania ďalších možností zlepšenia.

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.7.Rizikáazávislosti"/}}3.7. Riziká a závislosti ==

877

878

Zoznam rizík a závislostí je uvedený́ v prílohe Zoznam rizík a závislosti.

879

880

881

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.8.Stanoveniealternatívvbiznisovejvrstvearchitektúry"/}}3.8. Stanovenie alternatív v biznisovej vrstve architektúry ==

|(((

**Alternatíva**

)))|(((

**Stručný popis**

)))|(((

**Výhody**

)))|(((

**Nevýhody**

)))

|(((

**Alternatíva 1: **Realizácia projektu v plnej miere

894

)))|(((

895

Kompletná realizácia všetkých naplánovaných opatrení na modernizáciu IT infraštruktúry a implementáciu bezpečnostných technológií, vrátane auditov. Cieľom je dosiahnuť maximálnu možnú úroveň kybernetickej a informačnej bezpečnosti a zabezpečiť celkovú odolnosť MsÚ proti kybernetickým hrozbám, ochranu citlivých dát a kontinuitu kritických služieb. Táto alternatíva predstavuje najkomplexnejšie riešenie, ktoré ponúka najvyššie zabezpečenie a zodpovedá aktuálnym a predpokladaným potrebám Mestskej časti Bratislava - Petržalka.

)))|(((

1. Komplexné riešenie, ktoré adresuje všetky identifikované bezpečnostné hrozby a nedostatky.

900

901

2. Maximálna možná úroveň ochrany citlivých dát a IT infraštruktúry.

902

903

3. Zvýšenie odolnosti MsÚ proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

904

905

4. Lepšia pripravenosť MsÚ vzhľadom na budúce technologické a bezpečnostné výzvy.

)))|(((

1. Potenciálne vysoké počiatočné náklady na implementáciu všetkých plánovaných opatrení.

910

911

2. Vyžaduje si rozsiahle zdroje a značné úsilie pri implementácii a školení zamestnancov.

)))

|(((

**Alternatíva 2: **Čiastočná implementácia projektu

917

)))|(((

918

Realizácia len vybraných opatrení z celkového plánu, s dôrazom na najkritickejšie aspekty infraštruktúry a bezpečnosti. Takéto čiastočné riešenia by mohli zlepšiť súčasný stav, ale neponúkajú komplexné zabezpečenie a nezabezpečujú všetky identifikované potreby a riziká. Táto alternatíva by mohla viesť k nedostatočnej ochrane proti niektorým druhom hrozieb a k obmedzenej schopnosti reagovať na incidenty, čo by mohlo mať za následok vyššie dlhodobé náklady a riziká.

919

)))|(((

920

1. Riešenie, ktoré adresuje vybrané identifikované bezpečnostné hrozby a nedostatky.

921

922

2. Čiastočné zvýšenie úrovne ochrany citlivých dát a IT infraštruktúry.

923

924

3. Čiastočné zvýšenie odolnosti MsÚ proti kybernetickým útokom a zabezpečenie kontinuity kritických služieb.

925

926

4. Čiastočné zlepšenie pripravenosti MsÚ vzhľadom na budúce technologické a bezpečnostné výzvy.

)))|(((

1. Nezabezpečuje komplexnú ochranu pred všetkými potenciálnymi hrozbami.

931

932

2. Môže vytvárať bezpečnostné medzery v dôsledku neúplného pokrytia rizík.

933

934

3. Vyššie dlhodobé náklady a riziká v dôsledku potenciálne potrebných dodatočných zásahov.

)))

|(((

**Alternatíva 3: **Udržiavanie súčasného stavu

)))|(((

Táto alternatíva predstavuje možnosť neuskutočniť žiadne zmeny a ponechať IT infraštruktúru a bezpečnostné opatrenia MsÚ v súčasnom stave. Tento prístup by znamenal výrazné riziká, keďže by sa neadresovali identifikované problémy a nedostatky v kybernetickej a informačnej bezpečnosti. Udržiavanie súčasného stavu by mohlo viesť k vážnym bezpečnostným incidentom, stratám dát a výpadkom kritických služieb, čo by malo negatívny dopad na obyvateľov Mestskej časti a mohlo by viesť k vysokým finančným a reputačným stratám.

)))|(((

1. Žiadne počiatočné náklady spojené s implementáciou nových systémov alebo procesov.

948

949

2. Vyhneme sa zložitosti spojenej s plánovaním a realizáciou projektu.

)))|(((

1. Vysoké riziko bezpečnostných incidentov v dôsledku neadresovania existujúcich a budúcich hrozieb.

954

955

2. Potenciálne fatálne následky v prípade bezpečnostného incidentu vrátane straty dát, financií a dôvery verejnosti.

956

957

3. Nedostatočná príprava na budúce technologické a bezpečnostné výzvy, čo môže viesť k dlhodobým stratám a zvýšeným nákladom na nápravu.

)))

Tabuľka 5 Alternatívy v biznisovej vrstve

963

964

965

Z týchto analýz je zrejmé, že hoci kompletná implementácia projektu vyžaduje vyššie počiatočné investície a značné úsilie, dlhodobé výhody výrazne prevyšujú potenciálne nevýhody, najmä pokiaľ ide o komplexne riešenie všetkých identifikovaných potreby a zabezpečenie adekvátnej úrovne ochrany pre Mestskú časť Bratislava - Petržalka a jej obyvateľov.

966

967

968

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.9.Multikriteriálnaanalýza"/}}3.9. Multikriteriálna analýza ==

969

970

Na základe uvedených alternatív a kontextu môžeme vytvoriť tabuľku MCA pre výber najvhodnejšej alternatívy pre projekt podpory v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti. Táto analýza sa zameriava na splnenie biznisových požiadaviek bez technologických predpojatostí.

|(((

Kritérium (KO = kľúčové kritérium)

)))|(((

ZDÔVODNENIE KRITÉRIA

)))|(((

MsÚ

)))|(((

Obyvatelia

)))|(((

IT Oddelenie

)))

|(((

Komplexnosť riešenia (KO)

986

)))|(((

987

Projekt by mal adresovať všetky identifikované bezpečnostné hrozby a nedostatky.

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Udržateľnosť riešenia (KO)

997

)))|(((

998

Riešenie musí byť udržateľné a schopné adaptácie na budúce zmeny a hrozby.

)))|(((

X

)))|(((

)))|(((

X

)))

|(((

Nákladová efektívnosť

1008

)))|(((

1009

Projekt by mal byť nákladovo efektívny pri zohľadnení dlhodobých výhod a rizík.

)))|(((

X

)))|(((

)))|(((

X

)))

|(((

Zvýšenie kybernetickej odolnosti

1019

)))|(((

1020

Projekt by mal významne zvýšiť kybernetickú odolnosť MsÚ.

)))|(((

X

)))|(((

X

)))|(((

X

)))

|(((

Minimálne narušenie existujúcich procesov

1030

)))|(((

1031

Projekt by mal minimalizovať narušenie existujúcich biznis procesov.

)))|(((

)))|(((

)))|(((

X

)))

Tabuľka 6 Multikriteriálna analýza - Stanovenie kritérií

V tejto tabuľke:

* "Miestny úrad" reprezentuje záujmy samosprávy, ktorá zodpovedá za celkovú kybernetickú a informačnú bezpečnosť a infraštruktúru.

1045

* "Obyvatelia" predstavujú záujmy občanov Mestskej časti, ktorí sú priamymi užívateľmi mestských služieb, a pre ktorých je dôležitá ochrana ich osobných údajov a dostupnosť služieb.

1046

* "IT Oddelenie" je zodpovedné za implementáciu a správu bezpečnostných riešení a IT infraštruktúry.

|(((

Zoznam kritérií

)))|(((

Alternatíva 1: Realizácia projektu v plnej miere

)))|(((

Spôsob

dosiahnutia

)))|(((

Alternatíva 2: Čiastočná implementácia projektu

)))|(((

Spôsob

dosiahnutia

)))|(((

**Alternatíva 3: **Udržiavanie súčasného stavu

)))|(((

Spôsob

dosiahnutia

)))

|(((

Komplexnosť riešenia (KO)

)))|(((

áno

)))|(((

Plná implementácia zabezpečí komplexné riešenie všetkých identifikovaných problémov.

)))|(((

nie

)))|(((

)))|(((

nie

)))|(((

)))

|(((

Udržateľnosť riešenia (KO)

)))|(((

áno

)))|(((

Riešenie je navrhnuté tak, aby bolo udržateľné a adaptabilné na budúce zmeny.

)))|(((

nie

)))|(((

)))|(((

nie

)))|(((

)))

|(((

Nákladová efektívnosť

)))|(((

áno

)))|(((

Optimalizácia nákladov prostredníctvom efektívneho využívania zdrojov.

)))|(((

áno

)))|(((

Menej nákladové, ale aj menej efektívne.

)))|(((

nie

)))|(((

)))

|(((

Zvýšenie kybernetickej odolnosti

)))|(((

áno

)))|(((

Komplexné bezpečnostné opatrenia zvyšujú celkovú odolnosť.

)))|(((

nie

)))|(((

)))|(((

nie

)))|(((

)))

|(((

Minimálne narušenie existujúcich procesov

)))|(((

áno

)))|(((

Navrhnuté tak, aby minimalizovalo narušenie.

)))|(((

nie

)))|(((

)))|(((

nie

)))|(((

)))

Tabuľka 7 Multikriteriálna analýza - Porovnanie alternatív na základe naplnenia stanovených kritérií

1149

1150

Táto tabuľka poskytuje porovnanie, ako každá z alternatív spĺňa zvolené kritériá. Alternatíva 1 (úplná realizácia projektu) je jednoznačne preferovaná, keďže spĺňa všetky kritériá, zatiaľ čo alternatívy 2 a 3 majú významné nedostatky vo viacerých kľúčových oblastiach.

// //

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.10.Stanoveniealternatívvaplikačnejvrstvearchitektúry"/}}3.10. Stanovenie alternatív v aplikačnej vrstve architektúry ==

|(((

**Alternatíva**

)))|(((

**Nutné moduly**

)))|(((

**Preferované moduly**

1162

)))

1163

|(((

1164

**Alternatíva 1: **Realizácia projektu v plnej miere

1165

)))|(((

1166

· Plná implementácia SIEM systému so všetkými funkčnosťami pre detekciu, analýzu a reakciu na bezpečnostné incidenty.

1167

1168

· Plná implementácia IDM.

1169

1170

· Modernizácia zálohovej infraštruktúry a vytvorenie sekundárnej DR lokality.

1171

)))|(((

1172

· Rozšírené analytické a prediktívne schopnosti SIEM systému. .

1173

1174

· Využitie cloudových technológií pre zvýšenie flexibility a škálovateľnosti IT infraštruktúry.

1175

1176

· Integrácia IDM s active directory.

1177

)))

1178

|(((

1179

**Alternatíva 2: **Čiastočná implementácia projektu

1180

)))|(((

1181

· Základná implementácia SIEM systému s obmedzenými analytickými schopnosťami.

1182

1183

· Obmedzený IDM systém, ktorý pokrýva čiastočnú funkcionalitu.

1184

1185

· Obmedzená modernizácia zálohovej infraštruktúry a nevytvorenie sekundárnej DR lokality.

1186

)))|(((

1187

Preferované moduly alternatívy 2 sú v časti nutné moduly alternatívy 1.

1188

)))

1189

|(((

1190

**Alternatíva 3: **Udržiavanie súčasného stavu

)))|(((

Žiadne nové implementácie, udržiavanie existujúcich systémov a infraštruktúry bez zmien.

1195

)))|(((

1196

Neaplikuje sa, keďže žiadne nové moduly ani funkcionality nebudú pridané

1197

)))

1198

1199

Tabuľka 8 Alternatívy v aplikačnej vrstve

1200

1201

1202

Tieto aplikačné alternatívy sa priamo odvíjajú od biznis alternatív a sú zamerané na konkrétne technologické riešenia, ktoré majú podporovať stanovené biznis ciele a požiadavky.

// //

== {{id name="projekt_2841_Projektovy_zamer_detailny-3.11.Stanoveniealternatívvtechnologickejvrstvearchitektúry"/}}3.11. Stanovenie alternatív v technologickej vrstve architektúry ==

1207

1208

Technologická architektúra nemá definované varianty. Preferované sú riešenia prevádzkované "on premise" z dôvodu plnej kontroly nad technologickou infraštruktúrou a zabezpečenia vyššej miery prispôsobenia a integrácie s existujúcimi systémami, čo je zásadné pre splnenie špecifických bezpečnostných a regulačných požiadaviek. Zároveň prevádzka "on premise" riešení predstavuje nižšie dlhodobé prevádzkové náklady v porovnaní s neustálymi poplatkami za cloudové služby, čo je pre Mestskú časť z hľadiska udržateľnosti jeden z kľúčových faktorov.

1209

1210

1211

= {{id name="projekt_2841_Projektovy_zamer_detailny-4.POŽADOVANÉVÝSTUPY(PRODUKTPROJEKTU)"/}}4. POŽADOVANÉ VÝSTUPY (PRODUKT PROJEKTU) =

1212

1213

Po ukončení projektu "Podpora v oblasti kybernetickej a informačnej bezpečnosti v Mestskej časti Bratislava - Petržalka " budú dodané:

1214

1215

* Projektové výstupy podľa vyhlášky 401/2023 o riadení projektov, vrátane: Zdrojových kódov všetkých vyvinutých alebo modifikovaných aplikácií a systémov.

1216

* Dokumentácie k implementovaným systémom a infraštruktúre, vrátane technickej, používateľskej a údržbovej dokumentácie.

1217

* Protokoly z testovania a validácie systémov.

1218

* V rámci hlavnej aktivity projektu sa budú realizovať nasledovné opatrenia s danými výstupmi:

|(((

**Č.**

)))|(((

**Názov opatrenia**

)))|(((

**Popis**

)))|(((

**Výstup**

)))|(((

**Dopad/následok**

)))

|(((

**1.**

)))|(((

**Vykonanie analýzy rizík a implementácia integrovaného informačného systému pre identifikáciu a riadenie rizík**

1235

)))|(((

1236

Implementácia IS zahŕňa funkcionalitu správy aktív, zraniteľností, hrozieb a opatrení. Systém umožní dynamické aktualizovanie a hodnotenie rizík založené na aktuálnych dátach a poskytne nástroje pre efektívne riadenie a minimalizáciu rizík.

1237

)))|(((

1238

1. Vypracovanie analýzy rizík, hrozieb a zraniteľností, ktorej výsledky budú slúžiť ako východisko pre klasifikáciu informácií, kategorizáciu sietí a informačných systémov.

1239

1240

2. Vypracovanie klasifikácie informácií a kategorizácie sietí a informačných systémov, podľa klasifikačnej schémy v súlade s prílohou č.2 vyhlášky 362/2018.

3. Implementácia IS.

4. Vypracovanie prvotnej analýzy rizík a šablón.

1245

1246

5. Dokumentácia a školenie.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenie rizík a opatrení v oblasti KB//

)))

|(((

**2.**

)))|(((

**Vypracovanie, aktualizácia a implementácia smerníc a plánov pre rozvoj IT vyplývajúcich z aktuálnej legislatívy týkajúcej sa KIB:**

1256

)))|(((

1257

Prísne dodržiavanie aktuálnej legislatívy a bezpečnostných štandardov prostredníctvom implementácie a aktualizácie relevantných smerníc zníži zraniteľnosti vyplývajúce z nedostatočného riadenia a dodržiavania opatrení kybernetickej bezpečnosti.

1258

)))|(((

1259

1. Vypracovanie a aktualizácia definovanej dokumentácie:

1260

1261

- stratégia kybernetickej bezpečnosti

1262

1263

- bezpečnostná politika

1264

1265

- smernica pre riadenie informačnej bezpečnosti

1266

1267

- smernica výkonu analýzy rizík a dopadov

1268

1269

- smernice o bezpečnostnej prevádzke IS a sietí

1270

1271

- smernica o monitorovaní a riešení kybernetických bezpečnostných incidentov,

1272

1273

- politika BCM vrátane stratégie obnovy

1274

1275

- bezpečnostný projekt informačného systému

- výkon AR/BIA

)))|(((

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

|(((

**3.**

)))|(((

**Nasadenie systému pre riadenie a správu zmien v IT a KIB (GLPI change management**

1285

)))|(((

1286

Systém umožní mestskej časti systematicky a efektívne plánovať, sledovať a vyhodnocovať zmeny, aby minimalizovali riziká spojené so zmenami a zabezpečili, že všetky zmeny budú vykonané kontrolovaným spôsobom.

)))|(((

1. Nastavenie modulov a zásuvných modulov.

1291

1292

2. Definovanie procesov a pracovných postupov.

1293

1294

3. Riadenie prístupov a oprávnení.

1295

1296

4. Integrácia s inými systémami.

1297

1298

5. Notifikácie a komunikácia.

1299

1300

6. Školenie a podpora.

1301

)))|(((

1302

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného dodržiavania opatrení v oblasti KB //

)))

|(((

**4.**

)))|(((

**Zavedenie systému pre riadenie prístupov IDM**

1308

)))|(((

1309

Zavedenie IDM systému poskytne centralizovanú platformu pre správu prístupov, zjednoduší auditovanie a zvýši celkovú bezpečnosť IT infraštruktúry

1310

)))|(((

1311

1. Inštalácia a nasadenie IAM.

1312

1313

2. Implementácia core IAM procesov.

1314

1315

3. Školenie a podpora.

1316

)))|(((

1317

- //zníženie zraniteľnosti vyplývajúcej z nedostatočného riadenia prístupov//

)))

|(((

**5.**

)))|(((

**Vybudovanie SIEM**

)))|(((

Monitorovanie hrozieb v reálnom čase prostredníctvom systémov ako SIEM, zabezpečí rýchlu reakciu na potenciálne bezpečnostné incidenty a výrazne prispieva k celkovej odolnosti mesta.

1325

)))|(((

1326

1. Implementácia SIEM.

1327

1328

2. Dokumentácia a školenie.

1329

)))|(((

1330

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

|(((

**6.**

)))|(((

**Vytvorenie sekundárnej DR lokality**

1336

)))|(((

1337

Zriadenie sekundárnej lokality za účelom minimalizácie rizík spojených s výpadkami a zabezpečenia rýchlej obnovy prevádzky., Týmto spôsobom sa zabezpečí nepretržitá dostupnosť kľúčových služieb a dát, čím sa zvýši odolnosť proti výpadkom a zlepší celková bezpečnosť a spoľahlivosť IT infraštruktúry.

)))|(((

1. Zriadenie a prenájom optického prepojenia medzi obstarávateľom a poskytovateľom DR lokality.

1342

1343

2. Migrácia, zriadenie, konfigurácia a otestovanie Sekundárnej DR lokality.

1344

1345

3. Aktualizácia plánov obnovy a relevantnej dokumentácie.

4. Nákup HW.

)))|(((

- //zníženie zraniteľnosti vyplývajúcej z potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

1350

1351

//- zníženie zraniteľnosti vyplývajúcej nízkej dostupnosti poskytovania základnej služby. //

// //

)))

|(((

**7.**

)))|(((

**Modernizácia zálohovacej infraštruktúry**

1359

)))|(((

1360

Modernizáciou zálohovacích riešení a zavedením šifrovania záloh sa výrazne zníži riziko straty údajov v prípade bezpečnostných incidentov alebo zlyhania hardvéru.

)))|(((

1. Aktualizácia existujúcej licencie Veeam.

1365

1366

2. Nasadenie a konfigurácia diskového pola.

1367

)))|(((

1368

//- zníženie zraniteľnosti vyplývajúcej z potencionálnej straty údajov (zlyhanie HW, ransomware atd.) //

// //

)))

|(((

**8.**

)))|(((

**Obstaranie a implementácia nástroja na správu zraniteľností**

1376

)))|(((

1377

Tento nástroj zabezpečí, že všetky identifikované zraniteľnosti budú riadne dokumentované, sledované a riešené v súlade s osvedčenými postupmi a bezpečnostnými štandardmi. Implementácia takéhoto nástroja zvýši schopnosť proaktívne reagovať na bezpečnostné hrozby, zlepší celkovú bezpečnostnú postoj a zabezpečí, že IT infraštruktúra bude odolnejšia voči potenciálnym útokom a zneužitiam.

)))|(((

1. Implementácia nástroja na správu zraniteľností.

1382

1383

2. Dokumentácia a školenie.

1384

)))|(((

1385

//- zníženie zraniteľnosti vyplývajúcej z nedostatočného detegovania existujúcich zraniteľností programových a technických prostriedkov a ich častí.//

)))

|(((

**9.**

)))|(((

**Zavedenie a správa nástroja na riadenie kapacít**

1391

)))|(((

1392

Nástroj na riadenie kapacít umožní nepretržité sledovanie všetkých IT aktív, poskytovanie včasných upozornení na potenciálne problémy a umožní rýchlu reakciu na incidenty. Týmto spôsobom sa zlepší viditeľnosť a kontrolu nad IT infraštruktúrou, čím sa zabezpečí jej spoľahlivú a bezpečnú prevádzku.

)))|(((

1. Inštalácia a základná konfigurácia.

1397

1398

2. Nastavenie monitorovacích objektov.

1399

1400

3. Konfigurácia upozornení a eskalácií.

1401

1402

4. Vizuálne rozhrania a reporty

1403

1404

5. Integrácia a rozšírenia.

1405

1406

6. Bezpečnosť a prístupové práva.

1407

1408

7. Školenie a podpora.

)))|(((

- //zníženie zraniteľnosti - zrýchlenie reakcie pri bezpečnostných incidentoch (okamžité upozornenia na neobyvyklé udalosti)//

)))

|(((

**10.**

)))|(((

**Zavedenie systému pre správu a aktualizáciu softvérových záplat a endpointov: **

1418

)))|(((

1419

Implementácia nástroja na správu záplat a endpointov zabezpečí, že všetky systémy budú pravidelne a včas aktualizované, čím sa zlepší celková bezpečnosť a výkon IT prostredia.

)))|(((

1. Implementácia nástrojov pre správu a aktualizáciu softvérových záplat a endpointov.

1424

1425

2. Dokumentácia a školenie.

1426

)))|(((

1427

- //zníženie zraniteľnosti vyplývajúcej s nedostatočnej kontroly zraniteľností technických a programových prostriedkov //

)))

|(((

**11.**

)))|(((

**Vykonanie auditu kybernetickej bezpečnosti**

1433

)))|(((

1434

Vykonanie auditu a na začiatku a na konci projektu poskytne hodnotný prehľad o efektívnosti prijatých opatrení a pomôže identifikovať ďalšie možnosti zlepšenia.

)))|(((

1. Audit kybernetickej bezpečnosti v zmysle platného zákona o kybernetickej bezpečnosti.

a. Vykonaný audit

b. Záverečná správa o výsledkoch vykonaného auditu

1443

)))|(((

1444

- //vyhodnotenie dopadu prijatých opatrení na zvýšenie kybernetickej bezpečnosti//

1445

)))

1446

1447

Tabuľka 9 Výstupy hlavnej aktivity projektu

1448

1449

1450

V nasledujúcej tabuľke sú definované jednotlivé výstupy podľa vyhlášky 401/2023 o riadení projektov po fázach projektu pre každú etapu

|(((

**Etapy**

)))|(((

**Požadované výstupy**

1456

)))

1457

|(% rowspan="3" %)(((

1458

Analýza a dizajn

1459

)))|(((

1460

· Projektový iniciálny dokument (PID)

1461

1462

· Akceptačné kritériá

1463

)))

1464

|(((

1465

· Detailný návrh riešenia (DNR)

1466

1467

o Zámer riešenia, analýza požiadaviek, používateľský prieskum a motivačná architektúra

1468

1469

o Popis postupu analýzy a návrhu riešenia

1470

1471

o Biznis architektúra

1472

1473

o Dátová architektúra

1474

1475

o Aplikačná architektúra

1476

1477

o Technologická architektúra

1478

1479

o Softvérové licencie a zdrojové kódy

1480

1481

o Požiadavky na úrovne služieb (SLA) a výkonnosť

1482

1483

o Zabezpečenie dostupnosti, zálohovanie a obnova riešenia

1484

1485

o Bezpečnosť – riešenie požiadaviek na bezpečnosť

o Migrácia dát

o Harmonogram realizácie a nasadenia, závislosti

1490

)))

1491

|(((

1492

· Plán a stratégia testovania

1493

1494

o Testovacie prípady (UC/TC)

1495

1496

o Testovacie prostredia

o Testovacie dáta

o Defekt manažment, monitoring a reporting testov

1501

)))

1502

|(% rowspan="4" %)(((

1503

Implementácia a testovanie

1504

)))|(((

1505

· Vývoj, migrácia údajov a integrácia

)))

|(((

· Testovanie

o Funkčné testovanie (FAT)

1511

1512

o Systémové a integračné testovanie (SIT)

1513

1514

o Záťažové a výkonnostné testovanie voliteľné

1515

1516

o Bezpečnostné testovanie (SW/HW a kybernetická bezpečnosť)

1517

1518

o Používateľské testy funkčného používateľského rozhrania (UX)

1519

1520

o Používateľské akceptačné testovanie (UAT)

)))

|(((

· Školenia personálu

)))

|(((

· Dokumentácia

o Aplikačná príručka

o Integračná príručka

1531

1532

o Používateľská príručka

1533

1534

o Zdrojové kódy a licencie

1535

1536

o Inštalačná a konfiguračná príručka

1537

1538

o Prevádzkový opis a pokyny pre diagnostiku, servis a údržbu

1539

1540

o Pokyny na obnovu pri výpadku alebo havárii (Havarijný plán)

1541

1542

o Bezpečnostný projekt voliteľné

1543

1544

o Údaje o monitorovaní úrovne poskytovaných služieb (SLA) aktív IT

1545

)))

1546

|(% rowspan="2" %)(((

1547

Nasadenie a postimplementačná podpora

1548

)))|(((

1549

· Nasadenie do produkčnej prevádzky (vyhodnotenie)

1550

)))

1551

|(((

1552

· Akceptácia spustenia do produkčnej prevádzky (vyhodnotenie)

)))

|(((

Dokončovacia fáza

)))|(((

· Manažérske správy, plány, reporty, zoznamy, odporúčania a požiadavky:

1558

1559

o Správa o dokončení projektu (etapy/fázy)

1560

1561

o Plán kontroly po odovzdaní projektu

1562

1563

o Odporúčanie nadväzných krokov

1564

1565

o Plán monitorovania a hodnotenia po odovzdaní projektu

1566

)))

1567

1568

Tabuľka 10 Výstupy projektu podľa vyhlášky 401/2023 o riadení projektov po jednotlivých fázach pre každú etapu

1569

1570

**Vlastníci procesov: **

1571

1572

* IT oddelenie MsÚ: Zodpovedné za správu a údržbu IT infraštruktúry, vrátane zabezpečenia a monitorovania systémov.

1573

* Manažér pre kybernetickú bezpečnosť: Zodpovedný za implementáciu a riadenie bezpečnostných systémov, ako napr. SIEM.

1574

1575

Títo vlastníci procesov budú mať kľúčovú úlohu pri riadení projektu a schvaľovaní jeho výstupov, zabezpečujúc, že realizované riešenia spĺňajú stanovené ciele a požiadavky MsÚ.

1576

1577

1578

V rámci projektu je definovaná jedna hlavná aktivita /v zmysle Výzvy/. Mestská časť Bratislava - Petržalka hlavnú aktivitu nedelilo na jednotlivé podaktivity/fázy, keďže nie je možné vzhľadom na obsah projektu rozdeliť jednotlivé opatrenia na dané fázy /Analýza a dizajn, Implementácia a testovanie, Nasadenie/. Dokumentácia v zmysle požiadaviek bude vykonávaná priebežne, počas celej realizácie projektu.

1579

1580

1581

= {{id name="projekt_2841_Projektovy_zamer_detailny-5.NÁHĽADARCHITEKTÚRY"/}}5. NÁHĽAD ARCHITEKTÚRY =

1582

1583

Architektúra celého riešenia je v súlade s usmernením MIRRI SR rámcová, s cieľom ozrejmiť, ktoré komponenty v rámci realizácie projektu budú vytvorené a budú realizované opatrenia KIB.

1584

1585

1586

Obrázok 2 Náhľad architektúry v notácii ArchiMate

1587

1588

Táto architektúra predstavuje komplexný prístup k zabezpečeniu kybernetickej a informačnej bezpečnosti na MsÚ. Zahrnuté komponenty a služby sú navrhnuté tak, aby spolu synergicky pracovali na posilnení ochrany pred kybernetickými hrozbami a zabezpečení citlivých údajov.

1589

1590

V biznis vrstve máme "Zvýšenie úrovne KIB" ktorému slúžia služby Detekcia a reakcia na bezpečnostné incidenty, Zabezpečenie dostupnosti základnej služby a Manažovanie KIB, ktoré sú nevyhnutné pre efektívne riadenie bezpečnostných rizík a zabezpečenie dôvernosti dát. Tieto procesy sú podporované tímom pre kybernetickú bezpečnosť, čo zabezpečuje, že organizácia má potrebné odborné znalosti a zdroje na riadenie a implementáciu bezpečnostných stratégií. Aktualizácie a implementácia smerníc a plánov pre rozvoj IT je dôležitou pre zabezpečenie správneho manažmentu KIB v Mestskej časti Bratislava - Petržalka.

1591

1592

V aplikačnej vrstve sú implementované kľúčové technologické riešenia:

1593

1594

* **SIEM **systém poskytuje komplexnú detekciu incidentov a analýzu bezpečnostných logov.

1595

* **Nástroj na riadenie kapacít** zabezpečuje monitoring IT infraštruktúry

1596

* **Nástroj na správu zraniteľností** zabezpečuje manažment zraniteľnosti v reálnom čase.

1597

* **Systém pre správu a aktualizáciu softvérových záplat a endpointov** zabezpečuje, že všetky systémy budú pravidelne a včas aktualizované.

1598

* **IDM** poskytuje centralizovanú platformu pre správu prístupov.

1599

1600

Tieto systémy sú základnými stavebnými blokmi pre detekciu a reakciu na potenciálne hrozby a incidenty.

1601

1602

Na technologickej vrstve je umiestnená serverová, ktoré poskytujú potrebné hardvérové pre fungovanie aplikačných komponentov. Serverová infraštruktúra hostí všetky systémy vrátane SIEM, nástroj na riadenie kapacít,** **nástroj na správu zraniteľností, systém pre správu a aktualizáciu softvérových záplat a endpointov, IDM a IS základnej služby. Zálohovanie je zabezpečené prostredníctvom serverovej infraštruktúry. Rovnako je realizované prepojenie medzi sekundárnou lokalitou a MsÚ infraštruktúrou.

1603

1604

Táto architektúra zabezpečuje, že MsÚ je schopný proaktívne čeliť kybernetickým hrozbám, ochraňovať svoje dáta a udržiavať nepretržitú operáciu svojich kritických služieb, čím prispieva k vyššej úrovni bezpečnosti a dôvery verejnosti v digitálne služby MsÚ.

1605

1606

1607

= {{id name="projekt_2841_Projektovy_zamer_detailny-6.LEGISLATÍVA"/}}6. LEGISLATÍVA =

1608

1609

Pri návrhu a implementácii riešenia budeme vychádzať z nasledujúcej legislatívy:

|(((

**PRÍRUČKY PROGRAMU SLOVENSKO**

1614

)))

1615

|(((

1616

Príručka pre žiadateľa

1617

)))

1618

|(((

1619

Príručka pre prijímateľa (vrátane jej príloh)

1620

)))

1621

|(((

1622

Príručka k oprávnenosti výdavkov (vrátane jej príloh)

1623

)))

1624

|(((

1625

Komunikačná stratégia Program Slovensko programové obdobie 2021-2027 (vrátane jej príloh)

1626

)))

1627

|(((

1628

Všeobecná informácia k predkladaniu a schvaľovaniu ŽoNFP

1629

)))

1630

|(((

1631

Dizajn manuál Programu Slovenso (vrátane jej príloh)

1632

)))

1633

|(((

1634

Vzor Zmluvy o poskytnutí NFP

1635

)))

1636

|(((

1637

Príručka pre žiadateľov/prijímateľov k procesu a kontrole verejného obstarávania/obstarávania

1638

)))

1639

|(((

1640

**ŠTANDARDY pre eGOVERNMENT**

1641

)))

1642

|(((

1643

Zákon č. 95/2019 Z.z. o ITVS

1644

)))

1645

|(((

1646

Zákon č. 305/2013 Z.z. o eGovernmente a o elektronickej podobe výkonu pôsobnosti orgánov verejnej moci

1647

)))

1648

|(((

1649

Zákon č. 177/2018 Z.z. proti byrokracii a o niektorých opatreniach na znižovanie administratívnej záťaže využívaním ISVS

1650

)))

1651

|(((

1652

Zákon č. 18/2018 Z.z. o ochrane osobných údajov

1653

)))

1654

|(((

1655

Vyhláška č. 85/2020 Z.z. o riadení IT projektov

1656

)))

1657

|(((

1658

Vyhláška č. 78/2020 Z.z. o štandardoch pre ITVS

1659

)))

1660

|(((

1661

Vyhláška č. 438/2019 Z.z. o výkone ustanovení zákona o e-Governmente (eDesk modul)

1662

)))

1663

|(((

1664

Vyhláška č. 331/2018 Z.z. o zaručenej konverzii

1665

)))

1666

|(((

1667

Vyhláška č. 29/2017 Z.z. o alternatívnom autentifikátore

1668

)))

1669

|(((

1670

Vyhláška č. 85/2018 Z.z. o spôsobe vyhotovenia listinného rovnopisu elektronického úradného dokumentu

1671

)))

1672

|(((

1673

Vyhláška č. 25/2014 Z.z. o IOM

1674

)))

1675

|(((

1676

Metodické usmernenie nariadeniu (GDPR) k spracúvaniu osobných údajov (prostredníctvom web stránok) v súlade s požiadavkami Nariadenia Rady EÚ č. 2016/679 z 27. apríla 2016 o ochrane fyzických osôb pri spracúvaní osobných údajov a o voľnom pohybe takýchto údajov

1677

)))

1678

|(((

1679

Štandardné zmluvné doložky pre sprostredkovateľov (UOOU)

1680

)))

1681

|(((

1682

**ŠTANDARDY pre KYBERNETICKÚ a INFORMAČNÚ BEZPEČNOSŤ**

1683

)))

1684

|(((

1685

Zákon č. 69/2018 Z.z. o Kybernetickej bezpečnosti

1686

)))

1687

|(((

1688

Zákon č. 45/2011 Z.z. o Kritickej infraštruktúre

1689

)))

1690

|(((

1691

Zákon č. 351/2011 Z.z. o elektronických komunikáciách (ochrana súkromia a osobných údajov, ochrana sietí a zariadení)

1692

)))

1693

|(((

1694

Zákon č. 272/2016 Z.z. o dôveryhodných službách (elektronický podpis) a o dôveryhodných službách pre elektronické transakcie na vnútornom trhum (EiDAS)

1695

)))

1696

|(((

1697

Trestný zákon č. 300/2005 Z.z. (trestné činy páchané pomocou elektronických prostriedkov a v elektronickom prostredí)

1698

)))

1699

|(((

1700

Vyhláška č. 179/2020 Z.z. k spôsobom kategorizácie a obsahu bezpečnostných opatrení ITVS

1701

)))

1702

|(((

1703

Metodika pre Systematické zabezpečenie organizácií verejnej správy v oblasti informačnej bezpečnosti (CSIRT)

1704

)))

1705

|(((

1706

Smernica č. 7/2019 o riešení Bezpečnostných incidentov Vládnou jednotkou CSIRT

1707

)))

1708

|(((

1709

Vyhláška NBU č. 166/2018 Z.z., o podrobnostiach o technickom, technologickom a personálnom vybavení jednotky pre riešenie kybernetických bezpečnostných incidentov

1710

)))

1711

|(((

1712

Vyhláška NBU č. 164/2018 Z.z., ktorou sa určujú identifikačné kritériá prevádzkovanej služby (kritériá základnej služby)

1713

)))

1714

|(((

1715

Vyhláška NBU č. 362/2018 Z.z., ktorou sa ustanovuje obsah bezpečnostných opatrení, obsah a štruktúra bezpečnostnej dokumentácie a rozsah všeobecných bezpečnostných opatrení

1716

)))

1717

|(((

1718

Vyhláška NBU č. 436/2019 Z.z., o audite kybernetickej bezpečnosti a znalostnom štandarde audítora

1719

)))

1720

|(((

1721

**ŠTANDARDY pre VLÁDNY CLOUD**

1722

)))

1723

|(((

1724

Katalóg služieb a požiadavky na realizáciu služieb Vládneho Cloudu

1725

)))

1726

|(((

1727

Metodické usmernenie pre proces zaradenia cloudovej služby do katalógu č. 4542/2019/oSAEG-1

1728

)))

1729

|(((

1730

Usmernenie na aktualizáciu plánu migrácie IKT rezortu do dátového centra štátu

1731

)))

1732

|(((

1733

**ŠTANDARDY pre RIADENIE PROJEKTU a PROGRAMU**

1734

)))

1735

|(((

1736

Metodický pokyn k spracovaniu:

1737

_Štúdie uskutočniteľnost (ŠÚ)

1738

_Finančnej analýzy projektu

1739

_Analýzy nákladov a prínosov projektu (CBA)

1740

_Finančnej analýzy žiadateľa o NFP

1741

_Celkových nákladov na vlastníctvo v programovom období 2014 – 2020

1742

)))

1743

|(((

1744

Metodický pokyn UPVII č. 3425/2019/oPK-1 na rozpočtovanie nákupu IT v rámci medzirezortného programu 0EK Informačné technológie financované zo štátneho rozpočtu

1745

)))

1746

|(((

1747

Metodické usmernenie o postupe pri príprave investícií a koncesií podliehajúcich hodnoteniu MFSR

1748

)))

1749

|(((

1750

Rámec na hodnotenie verejných investičných projektov v SR

1751

)))

1752

|(((

1753

Použivatelská priručka MetaIS

1754

)))

1755

|(((

1756

Použivatelská príručka MetaIS Confluence

1757

)))

1758

|(((

1759

Informatizácia 2.0 - revízia výdavkov

1760

)))

1761

|(((

1762

**ŠTANDARDY pre RIADENIE ARCHITEKTÚRY**

1763

)))

1764

|(((

1765

Používateľská príručka MetaIS č. 3642/2018/oSAEG-1

1766

)))

1767

|(((

1768

Metodický pokyn ÚPVII č. 514/2017-313 z 10.1.2017 na aktualizáciu obsahu centrálneho metainformačného systému verejnej správy povinnými osobami v znení neskorších predpisov

1769

)))

1770

|(((

1771

[[Metodické usmernenie č. 5651/2019/oSAEG-1 z 20.09.2019 na odpočet plnenia NKIVS orgánmi riadenia>>url:https://metais.vicepremier.gov.sk/confluence/download/attachments/2621442/2019_Metod_usmer_na_odpocet_NKIVS.pdf?version=1&modificationDate=1572960541260&api=v2||shape="rect"]]

1772

)))

1773

|(((

1774

Pravidlá publikovania elektronických služieb do multikanálového prostredia verejnej správy (Číslo: 3204/2018/oAeG-1)

1775

)))

1776

|(((

1777

**ŠTANDARDY pre KVALITU ÚDAJOV**

1778

)))

1779

|(((

1780

[[Zákon č. 305/2013 Z.z. o eGovernmente (§52) - povinnosť referencovania sa a využívať referenčné údaje.>>url:https://metais.vicepremier.gov.sk/refregisters/list?page=1&count=20||shape="rect"]]

1781

)))

1782

|(((

1783

Zákon č. 305/2013 Z.z. o eGovernmente (§10) - povinnosť využívať „Modul procesnej integrácie a integrácie údajov (jeho časti IS CSRÚ)“ a realizovať integráciu údajov, synchronizáciu údajov pri referencovaní a pri výmene údajov s referenčnými registrami a základnými číselníkmi.

1784

)))

1785

|(((

1786

Metodické umernenie o postupe zaraďovania referenčných údajov do zoznamu referenčných údajov vo väzbe na referenčné registre (č. 3639/2019/oDK-1)

1787

)))

1788

|(((

1789

Metodické usmernenie č. 1/2019 k zálohovaniu údajov v databázach domén, registrátorov a kontaktov súvisiacich so správou domén najvyššej úrovne

1790

)))

1791

|(((

1792

Postup pripojenia OVM v roli konzumenta údajov do IS CSRÚ

1793

)))

1794

|(((

1795

**ŠTANDARDY pre DIZAJN a OPTIMALIZACIU PROCESOV a ŽIVOTNÝCH SITUÁCII**

1796

)))

1797

|(((

1798

[[Metodika Používateľské princípy pre návrh a rozvoj elektronických služieb verejnej správy>>url:https://www.mirri.gov.sk/sekcie/oddelenie-behavioralnych-inovacii/index.html||shape="rect"]]

1799

)))

1800

|(((

1801

[[Metodika optimalizácie procesov verejnej správy (najmä postupovať podľa bodu 3.5 b) pri vytváraní Procesnej analýzy) a v súlade s Metodikou optimalizácie procesov – konvenciami modelovania (aktualizovať diagramy životných situácií a karty životných situácií vedených na MVSR, ak Dielo ovplyvní výkon procesov životnej situácie)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1802

)))

1803

|(((

1804

[[Metodika merania výkonnosti procesov prostredníctvom KPI (dodať funkcionalitu exportu dát z Diela a meriania výkonnosti procesov)>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1805

)))

1806

|(((

1807

[[Metodika merania nákladovosti TB-ABC>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

1808

)))

1809

|(((

1810

[[Metodika identifikácie, vizualizácie a referencovania údajov pri dátovom modelovaní vo verejnej správe>>url:https://www.minv.sk/?np-optimalizacia-procesov-vo-verejnej-sprave||shape="rect"]]

)))

|(((

**ŠTANDARDY pre UX**

)))

|(((

Metodika Jednotný dizajn manuál elektronických služieb verejnej správy

1817

)))

1818

|(((

1819

Metodické usmernenie UVSR č. 002089/2018/oLŠISVS-7 zo dňa 11.05.2018

1820

)))

1821

|(((

1822

Metodické usmernenie pre tvorbu používateľsky kvalitných elektronických služieb verejnej správy (Číslo spisu v DKS: 004307/2019/oBI)

1823

)))

1824

|(((

1825

**ŠTANDARDY RIADENIA KVALITY**

1826

)))

1827

|(((

1828

Metodika riadenia QAMPR

1829

)))

1830

|(((

1831

Riadenie kvality podľa Smernice STN EN ISO 9001: 2016

1832

)))

1833

|(((

1834

**ŠTANDARDY pre LICENCIE**

1835

)))

1836

|(((

1837

Uznesenia vlády č. 286/2019 o povinnosti prednostne pristupovať k platným a účinným centrálnym IKT zmluvám

1838

)))

1839

|(((

1840

Metodický pokyn k zabezpečeniu centrálneho nákupu produktov a služieb spoločnosti ORACLE v rámci Centrálnej rámcovej dohody na poskytovanie licencií a produktov ORACLE a služieb s nimi súvisiacich

1841

)))

1842

|(((

1843

**ŠTANDARDY OBSTARAVANIA**

1844

)))

1845

|(((

1846

Zákon č.343/2015 Z.z. o verejnom obstarávaní

1847

)))

1848

|(((

1849

Koncepcia nákupu IT vo verejnej správe (v kontexte rokovania o licencnych pravach k zdrojovemu kodu)

1850

)))

1851

|(((

1852

**OSTATNÉ ŠTANDARDY**

1853

)))

1854

|(((

1855

Zákon č. 211/2000 Z.z. o slobodnom prístupe k informáciám

1856

)))

1857

|(((

1858

Zákon č. 315/2016 Z.z. o registri partnerov verejného sektora

1859

)))

1860

1861

Tabuľka 11 Zoznam legislatívy

1862

1863

Projekt je realizovaný za účelom dosiahnutia súladu s platnou legislatívou /vyššie uvedený kompletný zoznam/.

1864

1865

1866

= {{id name="projekt_2841_Projektovy_zamer_detailny-7.HARMONOGRAMJEDNOTLIVÝCHFÁZPROJEKTUaMETÓDAJEHORIADENIA"/}}7. HARMONOGRAM JEDNOTLIVÝCH FÁZ PROJEKTU a METÓDA JEHO RIADENIA =

|(((

ID

)))|(((

FÁZA/AKTIVITA

)))|(((

ZAČIATOK

(odhad termínu)

)))|(((

KONIEC

(odhad termínu)

)))

|(((

1.

)))|(((

Prípravná fáza a Iniciačná fáza

)))|(((

05/2024

)))|(((

12/2024

)))

|(((

2.

)))|(((

Realizačná fáza

)))|(((

01/2025

)))|(((

12/2025

)))

|(((

3.

)))|(((

Dokončovacia fáza

)))|(((

12/2025

)))|(((

12/2025

)))

|(((

4.

)))|(((

Podpora prevádzky (SLA)

)))|(((

01/2026

)))|(((

12/2030

)))

Tabuľka 14 Harmonogram projektu

1920

1921

Projekt sa realizuje metódou Waterfall s logickými nadväznosťami realizácie jednotlivých modulov na základe funkčnej a technickej špecifikácie vypracovanej v rámci prípravy projektu. Niektoré opatrenia sa budú realizovať paralelne, dokonca rôznymi tímami, avšak na základe vopred stanovej stratégie a plánu celého projektu.

1922

1923

Agilný prístup bol vylúčený s ohľadom na potrebu realizácie projektu za plnej prevádzky základnej služby Mestskej časti Bratislava - Petržalka.

1924

1925

Prípravná a Iniciačná fáza zahŕňa prípravu obsahu projektu, prípravu Manažérskych produktov v zmysle požiadaviek výzvy, definovanie zloženia projektového tímu a Riadiaceho výboru, príprava žiadosti o NFP. Iniciačná fáza bude ukončená schválením žiadosti o NFP a podpisom Zmluvy o poskytnutí NFP. Následne sa bude realizovať verejné obstarávanie, ktoré bude ukončené pred začiatkom hlavnej aktivity projektu.

1926

1927

V rámci realizačnej fázy sa bude realizovať obsah projektu /vyššie popísané/ s cieľom dosiahnutia hlavných cieľov a merateľných ukazovateľov. Taktiež sa bude pripravovať dokumentácia v zmysle požiadaviek definovaných vo Vyhláške 401/2023 Z.z. o riadení projektov.

1928

1929

Dokončovacia fáza vytvorí dokumenty a podklady pre ZMS, ako aj dokumenty v rámci požiadaviek Vyhlášky 401/2023 Z.z. stanovené pre dokončovaciu fázu.

1930

1931

Po uzatvorení dokončovacej fázy začne podpora prevádzky /totožná s obdobím udržateľnosti projektu/. Mestská časť Bratislava - Petržalka zabezpečí využívanie implementovaných systémov a udržiavanie dosiahnutých výsledkov. Podpora bude zabezpečená aj uzatvorenými SLA zmluvami s dodávateľmi /pri podpore prevádzky/. Udržateľnosť projektu bude zabezpečená počas tohto obdobia vlastnými zdrojmi Mestskej časti.

1932

1933

1934

= {{id name="projekt_2841_Projektovy_zamer_detailny-8.ROZPOČETAPRÍNOSY"/}}8. ROZPOČET A PRÍNOSY =

1935

1936

Rozpočet bol zostavený na základe prieskumu trhu, ako výsledkov realizovania prieskumu s cieľom určenia predpokladanej hodnoty zákazky. V závislosti na výške rozpočtu projektu /do 1 000 000 Eur/ nebola spracovaná CBA analýza /Analýza nákladov a prínosov/.

|(((

**Názov výdavku**

)))|(((

**MJ**

)))|(((

**Jednotková cena bez DPH (v EUR)**

)))|(((

**Počet jednotiek**

)))|(((

**Spolu s DPH (v EUR)**

)))

|(((

**Analýza rizík**

)))|(((

projekt

)))|(((

3660

)))|(((

1

)))|(((

**4392**

)))

|(((

**Informačný systém pre identifikáciu a riadenie rizík v zmysle zákona č. 69/2018 Z. z. a vyhlášky 362/2018 Z. z. (§6) v rovine riadenia, revízie a aktualizácie potrebnej dokumentácie.**

)))|(((

projekt

)))|(((

6763,33

)))|(((

1

)))|(((

**8116**

)))

|(((

**Revízia a doplnenie/ aktualizácia bezpečnostnej dokumentácie**

)))|(((

projekt

)))|(((

9630

)))|(((

1

)))|(((

**11556**

)))

|(((

**Nastavenie GLPI pre modul change management**

)))|(((

projekt

)))|(((

7783,33

)))|(((

1

)))|(((

**9340**

)))

|(((

**IDM**

)))|(((

projekt

)))|(((

30 933,33

)))|(((

1

)))|(((

**37120**

)))

|(((

**Zavedenie bezpečnostných a analytických systémov na monitorovanie hrozieb v reálnom čase (SIEM)**

)))|(((

projekt

)))|(((

107 866,67

)))|(((

1

)))|(((

**129440**

)))

|(((

**Sekundárna DR site**

)))|(((

projekt

)))|(((

134 333,33

)))|(((

1

)))|(((

**161200**

)))

|(((

**Modernizácia zálohovacieho systému**

)))|(((

projekt

)))|(((

8083,33

)))|(((

1

)))|(((

**9700**

)))

|(((

**Nástroj na správu zraniteľností**

)))|(((

projekt

)))|(((

37 350

)))|(((

1

)))|(((

**44820**

)))

|(((

**Nástroj na riadenie kapacít**

)))|(((

projekt

)))|(((

31 400

)))|(((

1

)))|(((

**37680**

)))

|(((

**Nástroj na patch a endpoint management**

)))|(((

projekt

)))|(((

9 873,33

)))|(((

1

)))|(((

**11848**

)))

|(((

**Audit kybernetickej bezpečnosti**

)))|(((

projekt

)))|(((

4 833,33

)))|(((

1

)))|(((

**5800**

)))

|(((

**Manažér kybernetickej bezpečnosti**

)))|(((

hodina

)))|(((

24,7

)))|(((

1468

)))|(((

**36 259,6**

)))

|(((

**IT Analytik**

)))|(((

hodina

)))|(((

14,18

)))|(((

1957,5

)))|(((

**27 757,35**

)))

|(((

**Paušálna sadzba**

)))|(((

projekt

)))|(((

37 452

)))|(((

1

)))|(((

**37 452**

)))

|(((

**Celkom**

)))|(((

)))|(((

)))|(((

)))|(((

**572 480,95**

)))

Tabuľka 13 Celkové náklady projektu

2128

2129

2130

Vzhľadom na obsah projektu a definované ciele projektu /oblasť kybernetickej a informačnej bezpečnosti/ je pomerne náročné jednoznačne kvantifikovať návratnosť realizovanej investície. Realizované náklady primárne prispejú k zabezpečeniu poskytovania základnej služby, k minimalizovaniu zraniteľnosti systémov Mestskej časti a zvýšeniu ochrany MsÚ. Z pohľadu návratnosti je však možné zdôrazniť hodnotenie možných škôd, ktoré by vznikli v prípade, že nebude vhodne riešená oblasť kybernetickej a informačnej bezpečnosti na úrovni PZS.

2131

2132

Jedná sa o nasledovné škody v závislosti na daných rizikách:

2133

2134

* **__reputačné riziko__** - v prípade neplnenia legislatívnych požiadaviek v zmysle Zákona o kybernetickej bezpečnosti a Zákona o ISVS a následného výpadku prevádzky základnej služby, či prípadného úniku citlivých a osobných údajov v kombinácii s prípadnou medializáciou je toto riziko pomerne vysoké v nadväznosti na zákonné povinnosti Mestskej časti Bratislava - Petržalka.

2135

* **__finančné riziko__** /externé/- súvisí s možnými sankciami, pokutami vyplývajúce priamo z legislatívnych rámcov v rámci prípadných súdnych sporov /napr. pri úniku osobných údajov v súvislosti s kybernetickým útokom na MsÚ/. Výšku finančných sankcií/pokút nie je možné jednoznačne vyčísliť, keďže je závislá od rozsahu uniknutých informácií a ďalších faktorov. Môže však dôjsť k výraznému zaťaženiu rozpočtu Mestskej časti.

2136

* **__finančné riziko__** /interné/- súvisí s výpadkom poskytovania základnej služby, kedy zamestnanci úradu nebudú schopní pracovať so systémami MsÚ a zabezpečovať poskytovanie základnej služby. Celková strata v prípade výpadku poskytovania základne služby na úrovni straty miezd zamestnancov je závislá na dĺžke výpadku poskytovania základnej služby. Pri jednodňovom výpadku sa jedná približne o 17980 Eur pri 200 zamestnancoch /mesačná priemerná mzda verejnej správy v roku 2023 bola 1796 Eur, pri 20 dňovom pracovnom čase je priemerná denná mzda 89,9 Eur/.

2137

2138

= {{id name="projekt_2841_Projektovy_zamer_detailny-9.PROJEKTOVÝTÍM"/}}9. PROJEKTOVÝ TÍM =

2139

2140

2141

Mestská časť Bratislava - Petržalka v rámci prípravnej fázy zostavila Riadiaci výbor v zmysle požiadaviek Vyhlášky 401/2023 Z.z., v nasledovnom zložení:

2142

2143

* Predseda Riadiaceho výboru - **Matúš Súlovec** / zástupca prednostu Mestskej časti Bratislava - Petržalka

2144

* Zástupca prevádzky - **Kamil Vojtech** / vedúci referátu IT

2145

* Biznis vlastník - **Ján Hrčka**/ starosta Mestskej časti Bratislava - Petržalka

2146

2147

2148

Projektový tím v rámci projektu bol zostavený vzhľadom na obsah projektu a potrebu zabezpečenia podpory realizácie projektu interným prostredím MSÚ. Na realizácii projektu budú participovať interní zamestnanci, ktorí budú úzko kooperovať s externým dodávateľom v rámci implementácii konkrétnych opatrení popísaných v rámci realizácie projektu.

|(((

ID

)))|(((

Meno a Priezvisko

)))|(((

Pozícia

)))|(((

Oddelenie

)))|(((

Rola v projekte

)))

|(((

2.

)))|(((

Mgr. Juaj Petrovič

)))|(((

IT Analytik

)))|(((

Referát inovácií

)))|(((

IT analytik

)))

|(((

5.

)))|(((

Ing. Matúš Súlovec

)))|(((

Manažér kybernetickej bezpečnosti/Zástupca prednostu pre verejné obstarávanie a inovácie

)))|(((

Kancelária prednostu

)))|(((

Manažér kybernetickej a informačnej bezpečnosti

)))

|(((

6.

)))|(((

PhDr. Vladimíra Pazderová, PhD.

)))|(((

Projektový manažér

)))|(((

Externý dodávateľ

)))|(((

Projektový manažér

)))

Tabuľka 15 Projektový tím

2199

2200

== {{id name="projekt_2841_Projektovy_zamer_detailny-9.1.PRACOVNÉNÁPLNE"/}}9.1. PRACOVNÉ NÁPLNE ==

|(((

**Projektová rola:**

)))|(((

**~ **

**IT ANALYTIK**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za zber a analyzovanie funkčných požiadaviek, analyzovanie a spracovanie dokumentácie z pohľadu procesov, metodiky, technických možností a inej dokumentácie. Podieľa sa na návrhu riešenia vrátane návrhu zmien procesov v oblasti biznis analýzy a analýzy softvérových riešení. Zodpovedá za výkon analýzy IS, koordináciu a dohľad nad činnosťou SW analytikov.

2216

2217

· analyzuje požiadavky na informačný systém/softvérový systém, formálnym spôsobom zaznamenáva činnosti/procesy, vytvára analytický model systému, okrem analýzy realizuje aj návrh systému, ten vyjadruje návrhovým modelom.

2218

2219

· Analytik informačných technológií pripravuje špecifikáciu cieľového systému od procesnej až po technickú rovinu. Mapuje a analyzuje existujúce podnikateľské a procesné prostredie, analyzuje biznis požiadavky na informačný systém, špecifikuje požiadavky na informačnú podporu procesov, navrhuje koncept riešenia a pripravuje podklady pre architektov a vývojárov riešenia, participuje na realizácii zmien, dohliada na realizáciu požiadaviek v cieľovom riešení, spolupracuje pri ich preberaní (akceptácie) používateľom.

2220

2221

· Pri návrhu IT systémov využíva odbornú špecializáciu IT architektov a projektantov. Študuje a analyzuje dokumentáciu, požiadavky klientov, legislatívne a technické podmienky a možnosti zvyšovania efektívnosti a výkonnosti riadiacich a informačných procesov. Navrhuje a prerokúva koncepcie riešenia informačných systémov a analyzuje ich efekty a dopady. Zabezpečuje spracovanie analyticko-projektovej špecifikácie s návrhom dátových a objektových štruktúr a ich väzieb, užívateľského rozhrania a ostatných podkladov pre projektovanie nových riešení.

2222

2223

· Spolupracuje na projektovaní a implementácii návrhov. Môže tiež poskytovať poradenstvo v oblasti svojej špecializácie. Zodpovedá za návrhovú (design) časť IT - pôsobí ako medzičlánok medzi používateľmi informačných systémov (biznis pohľad) a ich realizátormi (technologický pohľad).

2224

)))

2225

|(((

2226

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Vykonanie analýzy procesných a ďalších požiadaviek a vytvorenie špecifikácie súčasného alebo budúceho užívateľa softwaru („zákazníka“) a následne navrhuje dizajn a programátorské riešenie.

2233

2234

· Participáciu na vývoji nových, ale i vylepšovaní existujúcich aplikácií v rámci celého vývojového cyklu – systémová analýza, dizajn, kódovanie, užívateľské testovanie, implementácia, podpora, dokumentácia. Úzko spolupracuje aj s IT architektom.

2235

2236

· Analýza potrieb zákazníka vrátane tvorby úplnej analytickej dokumentácie a vstupov do verejného obstarávania (VO).

2237

2238

· Mapovanie požiadaviek do návrhu funkčných riešení.

2239

2240

· Návrh a správa katalóg požiadaviek - registra požiadaviek riešenia

2241

2242

· Analýza funkčných a nefunkčných požiadaviek,

2243

2244

· Návrh fyzického a logického modelu,

2245

2246

· Návrh testovacích scenárov,

2247

2248

· V priebehu implementácie robí dohľad nad zhodou výstupov s pôvodným analytickým zadaním.

2249

2250

· Zodpovednosť za dodržovanie správnej metodiky pri postupe analýzy

2251

2252

· Definovanie akceptačných kritérií v projekte

2253

2254

· Odsúhlasenie opisu produktov, ktoré predstavujú vstupy alebo výstupy (priebežné alebo konečné) úloh dodávateľov, alebo ktoré ich priamo ovplyvňujú a zabezpečovať akceptáciu produktov po ich dokončení

2255

2256

· Priraďuje priority a poskytuje stanoviská používateľov na rozhodnutia Riadiaceho výboru projektu – k realizácii zmenových požiadaviek

2257

2258

· Poskytuje merania aktuálneho stavu pre potreby porovnania s výsledkami projektu vzhľadom na realizáciu prínosov

2259

2260

· Rieši požiadavky používateľov a konflikty iných priorít

2261

2262

· Posúdenie prevádzkovo-infraštruktúrnej dokumentácie pred akceptáciou a prevzatím od dodávateľa

2263

2264

· Aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2265

2266

· Plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**MANAŽER KYBERNETICKEJ BEZPEČNOSTI**

**~ **

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za dodržanie princípov a štandardov na kybernertickú a IT bezpečnosť, za kontrolu a audit správnosti riešenia v oblasti bezpečnosti.

2288

2289

· koordinuje a riadi činnosť v oblasti bezpečnosti prevádzky IT, spolupracuje na projektoch, na rozvoji nástrojov a postupov k optimalizácii bezpečnostných systémov a opatrení. Stanovuje základné požiadavky, podmienky a štandardy pre oblasť bezpečnosti programov, systémov, databázy či sieti. Spracováva a kontroluje príslušné interné predpisy a dohliada nad plnením týchto štandardov a predpisov. Kontroluje a riadi činnosť nad bezpečnostnými testami, bezpečnostnými incidentmi v prevádzke IT. Poskytuje inštrukcie a poradenstvo používateľom počítačov a informačných systémov pre oblasť bezpečnosti

2290

2291

2292

**PODMIENKY SPRÁVNEHO a EFEKTÍVNEHO VÝKONU ČINNOSTI role Manažér KYBERNETICKEJ BEZPEČNOSTI:**

2293

2294

1) neobmedzený aktívny prístup ku všetkým projektovým dokumentom, nástrojom a výstupom projektu, v ktorých sa opisuje predmet projektu z hľadiska jeho architektúry, funkcií, procesov, manažmentu informačnej bezpečnosti a spôsobov spracúvania dát, ako aj dát samotných.

2295

2296

2) rola manažér Kybernetickej a IT bezpečnosti si vyžaduje mať sprístupnené všetky informácie o bezpečnostných opatreniach zavádzaných projektom v zmysle:

2297

2298

a) § 20 zákona č.69/2018 Z. z. o kybernetickej bezpečnosti a o zmene a doplnení niektorých zákonov

2299

2300

b) ustanovení zákona č. 95/2019 Z. z. o informačných technológiách vo verejnej správe a o zmene a doplnení niektorých zákonov

2301

)))

2302

|(((

2303

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· špecifikovanie štandardov, princípov a stratégií v oblasti KIB,

2308

2309

· ak je projekt primárne zameraný na problematiku KIB – je priamo zodpovedný za špecifikáciu a analýzu funkčných požiadaviek na KIB,

2310

2311

· špecifikovanie požiadaviek na KIB, kontroluje ich implementáciu v realizovanom projekte,

2312

2313

· špecifikovanie požiadaviek na bezpečnosť vývojového, testovacieho a produkčného prostredia,

2314

2315

· špecifikovanie funkčných a nefunkčných požiadaviek pre oblasť KIB,

2316

2317

· špecifikovanie požiadaviek na bezpečnosť v rámci bezpečnostnej vrstvy,

2318

2319

· špecifikovanie požiadaviek na školenia pre oblasť KIB,

2320

2321

· špecifikovanie požiadaviek na bezpečnostnú architektúru riešenia a technickú infraštruktúru pre oblasť KIB,

2322

2323

· špecifikovanie požiadaviek na dostupnosť, zálohovanie, archiváciu a obnovu IS vzťahujúce sa na KIB,

2324

2325

· realizáciu posúdenie požiadaviek agendy KIB na integrácie a procesov konverzie a migrácie, identifikácia nesúladu a návrh riešenia

2326

2327

· špecifikovanie požiadaviek na KIB, bezpečnostný projekt a riadenie prístupu,

2328

2329

· špecifikovanie požiadaviek na testovanie z hľadiska KIB, realizáciu kontroly zapracovania a retestu,

2330

2331

· špecifikovanie požiadaviek na obsah dokumentácie v zmysle legislatívnych požiadaviek pre oblasť KIB, ako aj v zmysle "best practies",

2332

2333

· špecifikovanie požiadaviek na dodanie potrebnej dokumentácie súvisiacej s KIB kontroluje ich implementáciu v realizovanom projekte,

2334

2335

· špecifikovanie požiadaviek a konzultácie pri návrhu riešenia za agendu KIB v rámci procesu „Mapovanie a analýza technických požiadaviek - detailný návrh riešenia (DNR)“,

2336

2337

· špecifikáciu požiadaviek na bezpečnosť KIB v rámci procesu "akceptácie, odovzdania a správy zdroj. kódov“

2338

2339

· špecifikáciu akceptačných kritérií za oblasť KIB,

2340

2341

· špecifikáciu pravidiel pre publicitu a informovanosť s ohľadom na KIB,

2342

2343

· poskytovanie konzultácií pri tvorbe šablón a vzorov dokumentácie pre oblasť KIB,

2344

2345

· získavanie informácií nutných pre plnenie úloh v oblasti KIB,

2346

2347

· špecifikáciu podmienok na testovanie, reviduje výsledky a výstupy z testovania za oblasť KIB,

2348

2349

· konzultácie a vykonávanie kontrolnej činnosť zameranej na obsah a komplexnosť dok. z hľadiska KIB,

2350

2351

· špecifikáciu požiadaviek na bezpečnostný projekt pre oblasť KIB,

2352

2353

· realizáciu kontroly zameranej na naplnenie požiadaviek definovaných v bezp. projekte za oblasť KIB

2354

2355

· realizáciu kontroly zameranú na správnosť nastavení a konfigurácii bezpečnosti jednotlivých prostredí,

2356

2357

· realizáciu kontroly zameranú realizáciu procesu posudzovania a komplexnosti bezpečnostných rizík, bezpečnosť a kompletný popis rozhraní, správnu identifikácia závislostí,

2358

2359

· realizáciu kontroly naplnenia definovaných požiadaviek pre oblasť KIB,

2360

2361

· realizáciu kontroly zameranú na implementovaný proces v priamom súvise s KIB,

2362

2363

· realizáciu kontroly súladu s planou legislatívou v oblasti KIB (obsahuje aj kontrolu leg. požiadaviek)

2364

2365

· realizáciu kontroly zameranú zabezpečenie procesu, interfejsov, integrácii, kompletného popisu rozhraní a spoločných komponentov a posúdenia z pohľadu bezpečnosti,

2366

2367

· poskytovanie konzultácií a súčinnosti pre problematiku KIB,

2368

2369

· získavanie a spracovanie informácií nutných pre plnenie úloh v oblasti KIB,

2370

2371

· aktívnu účasť v projektových tímoch a spoluprácu na vypracovaní manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2372

2373

· plnenie pokynov projektového manažéra a dohôd zo stretnutí projektového tímu

)))

|(((

**Projektová rola:**

)))|(((

**~ **

**PROJEKTOVÝ MANAŽÉR**

)))

|(((

**Stručný popis:**

)))|(((

· zodpovedá za riadenie projektu počas celého životného cyklu projektu. Riadi projektové (ľudské a finančné) zdroje, zabezpečuje tvorbu obsahu, neustále odôvodňovanie projektu (aktualizuje BC/CBA) a predkladá vstupy na rokovanie Riadiaceho výboru. Zodpovedá za riadenie všetkých (ľudských a finančných) zdrojov, členov projektovému tím objednávateľa a za efektívnu komunikáciu s dodávateľom alebo stanovených zástupcom dodávateľa.

2390

2391

2392

· zodpovedá za riadenie prideleného projektu - stanovenie cieľov, spracovanie harmonogramu prác, koordináciu členov projektového tímu, sledovanie dodržiavania harmonogramu prác a rozpočtu, hodnotenie a prezentáciu výsledkov a za riadenie s tým súvisiacich rizík. Projektový manažér vedie špecifikáciu a implementáciu projektov v súlade s firemnými štandardami, zásadami a princípmi projektového riadenia.

2393

2394

2395

· zodpovedá za plnenie projektových/programových cieľov v rámci stanovených kvalitatívnych, časových a rozpočtovým plánov a za riadenie s tým súvisiacich rizík. V prípade externých kontraktov sa vedúci projektu/ projektový manažér obvykle podieľa na ich plánovaní a vyjednávaní a je hlavnou kontaktnou osobou pre zákazníka.

2396

)))

2397

|(((

2398

**Detailný popis rozsahu zodpovednosti, povinností a kompetencií**

)))|(((

Zodpovedný za:

· Riadenie projektu podľa pravidiel stanovených vo Vyhláške 85/2020 Z.z.

2403

2404

· Riadenie prípravy, inicializácie a realizácie projektu

2405

2406

· Identifikovanie kritických miest projektu a navrhovanie ciest k ich eliminácii

2407

2408

· Plánovanie, organizovanie, motivovanie projektového tímu a monitorovanie projektu

2409

2410

· Zabezpečenie efektívneho riadenia všetkých projektových zdrojov s cieľom vytvorenia a dodania obsahu a zabezpečenie naplnenie cieľov projektu

2411

2412

· Určenie pravidiel, spôsobov, metód a nástrojov riadenia projektu a získanie podpory Riadiaceho výboru (RV) pre riadenie, plánovanie a kontrolu projektu a využívanie projektových zdrojov

2413

2414

· Zabezpečenie vypracovania manažérskej a špecializovanej dokumentácie a produktov v minimálnom rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1

2415

2416

· Zabezpečenie realizácie projektu podľa štandardov definovaných vo Vyhláške 78/2020 Z.z.

2417

2418

· Zabezpečenie priebežnej aktualizácie a verzionovania manažérskej a špecializovanej dokumentácie v minimálnom rozsahu Vyhlášky 85/2020 Z.z., Prílohy č.1

2419

2420

· Vypracovanie, pravidelné predkladanie a zabezpečovanie prezentácie stavov projektu, reportov, návrhov riešení problémov a odsúhlasovania manažérskej a špecializovanej dokumentácie v rozsahu určenom Vyhláškou 85/2020 Z.z., Prílohou č.1 na rokovanie RV

2421

2422

· Riadenie a operatívne riešenie a odstraňovanie strategických / projektových rizík a závislostí

2423

2424

· Predkladanie návrhov na zlepšenia na rokovanie Riadiaceho výboru (RV)

2425

2426

· Zabezpečenie vytvorenia a pravidelnej aktualizácie BC/CBA a priebežné zdôvodňovanie projektu a predkladanie na rokovania RV

2427

2428

· Celkovú alokáciu a efektívne využívanie ľudských a finančných zdrojov v projekte

2429

2430

· Celkový postup prác v projekte a realizuje nápravné kroky v prípade potreby

2431

2432

· Vypracovanie požiadaviek na zmenu (CR), návrh ich prioritizácie a predkladanie zmenových požiadaviek na rokovanie RV

2433

2434

· Riadenie zmeny (CR) a prípadné požadované riadenie konfigurácií a ich zmien

2435

2436

· Riadenie implementačných a prevádzkových aktivít v rámci projektov.

2437

2438

· Aktívne komunikuje s dodávateľom, zástupcom dodávateľa a projektovým manažérom dodávateľa s cieľom zabezpečiť úspešné dodanie a nasadenie požadovaných projektových výstupov,

2439

2440

· Formálnu administráciu projektu, riadenie centrálneho projektového úložiska, správu a archiváciu projektovej dokumentácie

2441

2442

· Kontrolu dodržiavania a plnenia míľnikov v zmysle zmluvy s dodávateľom,

2443

2444

· Dodržiavanie metodík projektového riadenia,

2445

2446

· Predkladanie požiadaviek dodávateľa na rokovanie Riadiaceho výboru (RV),